“Kalau enggak ada backup sih itu bukan (soal) tata kelola, Ini masalah kebodohan…”
Begitulah ucap legislator Meutya Hafid kepada Kepala Badan Siber dan Sandi Negara (BSSN) saat rapat dengan komisi I DPR RI lalu. Perempuan yang pernah disandera kelompok jihadis Timur Tengah ini nampak kesal atas kinerja pemerintah yang mengakibatkan tercurinya data nasional yang disimpan di Pusat Data Nasional (PDN). Lebih parahnya lagi, pemerintah tidak memiliki back up atau salinan data. Hal ini sempat mengakibatkan gangguan pada sistem imigrasi selama berjam-jam. Data yang disimpan di PDN adalah data-data penting yang dimiliki oleh lembaga pemerintah dari tingkat kabupaten hingga lembaga selevel kementrian.
Dari 282 instansi pemerintah yang datanya tersimpan di Pusat Data Nasional Sementara (PDNS), ada 239 yang layanan publiknya terganggu dan tidak memiliki back up data.
Melansir Kompas, hal ini bermula dari adanya aktivitas tidak biasa yang dialami oleh PDNS Surabaya pada 17 Juni 2024, pukul 23.15 WIB. Gangguan yang lebih parah berlangsung pada 20 Juni, pukul 00.54 WIB. Aktivitas ini meliputi instalasi file berbahaya, penghapusan file sistem penting, dan penonaktifan layanan yang sedang berjalan. Beberapa menit kemudian sistem keamanan komputer lokal windows defender mengalami crash dan berhenti beroperasi. Setelah diselidiki, baru pada 23 Juni diketahui bahwa kelompok peretas Brain Cipher berada di balik insiden tersebut. Brain Cipher adalah kelompok peretas yang beraksi menggunakan varian ransomware LockBit 3.0.
Baca Juga: Belajar dari Tren ‘Asoka Challenge’, TikTok Ubah Cara Berkomunikasi dan Berekspresi
Mengutip Microsoft Security, ransomware adalah sejenis program jahat atau malware. Ia mengancam korban dengan menghancurkan atau memblokir akses ke data atau sistem penting hingga tebusan dibayar. Secara historis, sebagian besar ransomware menargetkan individu. Namun belakangan ini, ransomware kiriman manusia yang menargetkan organisasi menjadi semakin meluas. Juga kian sulit untuk dicegah dan ditanggulangi. Dengan ransomware kiriman manusia, sekelompok penyerang dapat menggunakan intelijen yang telah mereka kumpulkan untuk memperoleh akses ke jaringan organisasi.
Sejalan dengan penjelasan di atas, peretas data di PDNS pun meminta sejumlah uang tebusan sebesar US$8 juta atau sekitar Rp. 131,8 miliar untuk membuka gembok data-data di fasilitas itu. Hal tersebut diungkapkan Menteri Komunikasi dan Informatika, Budi Arie Setiadi pada 24 Juni lalu. Ini menunjukkan betapa teledor, rawan, dan lemahnya sistem keamanan data nasional.
Serangan semacam ini bukanlah yang pertama di duni. Sebelumnya, beberapa negara juga pernah mengalami serangan serupa. Pada Maret 2022, sistem pos Yunani menjadi korban ransomware. Juga pada Mei 2021, saluran bahan bakar A.S. mematikan layanannya untuk mencegah pelanggaran lebih lanjut setelah serangan ransomware membobol ribuan informasi pribadi karyawannya. Sayangnya, kejadian-kejadian tersebut tidak membuat pemerintah melakukan mitigasi pencegahan serangan siber.
Serangan ke Pusat Data dan Hilangnya Kepercayaan Masyarakat
Keputusan pemerintah—dalam hal ini Menteri Komunikasi dan Informatika Budi Arie Setiadi—terkesan terlambat. Sebab, data yang dimiliki negara terlanjur lepas. Himbauan pencadangan data seharusnya adalah wajib dilakukan pusat data, apa lagi Pusat Data Nasional. Hal ini akhirnya memicu komentar negatif dari masyarakat. Terkait hal ini, Konde.co mewawancarai Nenden Sekar Arum selaku Direktur Eksekutif Southeast Asia Freedom of Expression Network (SAFEnet) pada 4 Juli 2024. Nenden menyebut respon negatif masyarakat adalah hal yang wajar karena melihat track record kinerja pemerintah tanpa adanya keterbukaan dan akuntabilitas.
“Dari respon masyarakat seolah-olah sudah hilang kepercayaan terhadap pemerintah. Ini dilihat dari track record ya, karena sudah berkali-kali terjadi,” ungkap Nenden. “Yang kita lihat itu tidak adanya keterbukaan dari pemerintah. Jadi sebagai warga bingung sendiri karena kita tidak tahu kronologi dan langkah pemerintah.”
Nenden melanjutkan, “Jadi aku wajar ya, melihat respon masyarakat terhadap pemerintah. Idealnya mengomunikasikan masalah ini as soon as possible. Jadi ketika ada upaya serangan harusnya disebarluaskan kepada publik. Mitigasi apa yang harus dilakukan. Memberi kepastian kepada publik. Tapi saat ini mulai ketahuan ada serangan sampai pemberitahuan itu 3 hari. Bahkan sampai layanan apa aja yang terdampak dari serangan ini tidak disebutkan, hanya dibilang ada 200-an aja jumlahnya. Ini yang membuat masyarakat kebingungan sendiri.”
Baca Juga: Mau Spill Pelaku Kekerasan Seksual di Media Sosial? Perhatikan “Rambu-Rambu” Berikut!
Lebih lanjut, Nenden menjelaskan tidak ada koordinasi di level pemerintahan. Hal ini bisa dilihat dari saling lempar tanggung jawab antar-instansi seperti Menkominfo dan BSSN.
“Ini menunjukkan koordinasi di level negara masih hancur. Tidak adanya tanggung jawab yang diemban,” tukas Nenden. “Padahal semuanya saling terkait dan harusnya tanggung jawab bersama sama. Saling lempar tanggung jawab itu menunjukkan keamanan siber atau data itu nggak jadi prioritas bagi mereka, tidak ada komitmen bersama. Karena komitmennya rendah, jadi masing-masing instansi tidak ada inisiatif mengamankan dan memastikan keamanan atas keamanan siber.”
Permasalahan Mesti Dicek dari Audit Pengadaan
Proses pengadaan dan penunjukkan pejabat pemangku di bidang keamanan siber juga menjadi sorotan. Dari kronologi yang dibeberkan pemerintah, nampak PDNS menggunakan sistem keamanan bawaan windows defender. Hal ini sempat juga dibahas netizen karena sistem ini dianggap kurang mumpuni untuk level pusat data.
“Sebenernya perlu dicek mulai dari proses pengadaan infrastruktur. Pakai windows sebenernya tidak apa-apa as long as mumpuni. Ini kan tidak dibuka secara tranparan sehingga ada asumsi-asumsi dari netizen.” Nenden menegaskan.
SAFEnet menilai pihak pemerintah belum benar-benar serius dalam mengolah keamanan data masyarakat. Pemerintah seharusnya bisa memulai dengan proses assessment yang benar. Menggandeng pihak ketiga sebagai vendor yang bukan hanya bisa memberikan keuntungan kepada pejabat di instansi terkait namun juga memilih vendor yang benar-benar memiliki niat baik dan profesional.
Dari peristiwa ini, SAFEnet membuat petisi yang menuntut pertanggungjawaban pihak Kominfo, khususnya menuntut Menteri Budi Arie untuk mundur. Saat artikel ini ditulis, petisi tersebut sudah ditandatangani oleh 23.000 lebih orang. Nenden mengatakan petisi tersebut adalah simbol penuntutan keseriusan pemerintah terhadap keamanan siber. Lebih jauh, SAFEnet meminta presiden memiliki tanggung jawab dalam menunjuk orang untuk duduk di posisi strategis.
Baca Juga: Detoks Medsos Bikin Hidup Tenang? Ini Kata Riset
“Ya, ada petisi yang menuntut menteri Budi Arie untuk mundur. Tapi yang mundur kemarin malah Dirjen Aptika Kominfo dan itu sebenernya nggak menyelesaikan masalah. Lebih jauh lagi kita sebenernya meminta pertanggungjawaban presiden karena dia yang memilih orang tidak kompeten untuk duduk di posisi strategis,” ungkap Nenden.
Nenden menyebut, komitmen negara terkait keamanan siber harus dipastikan. Keamanan siber tidak bisa lagi dilihat sekadar sebagai ‘urusan tambahan’. Kini keamanan siber menjadi sangat penting, seiring dengan integrasi kehidupan banyak orang dengan aktivitas di internet. Banyak layanan pemerintah juga sangat mengandalkan sistem online.
“Ini akan berhubungan dengan anggaran agar punya sistem mutakhir dan secure. Negara kan bisa menggaet pihak ketiga. Tergantung apakah pihak ketiga atau vendor ini punya potensi dan tujuan baik untuk memastikan keamanan siber yang kuat. Sehingga ketika memilih SDM dari puncak sampai ke level teknis sangat penting,” Nenden berkata.
“Dalam konteks SAFEnet, Budi Arie itu tidak kompeten, harusnya dipimpin orang yang punya perspektif baik soal keamanan data. Contohnya seperti pemblokiran akun yang berhubungan dengan judi online, harusnya melakukan filter terhadap perjudiannya bukan memblokir akun yang berhubungan dengan kata kunci judi online” tegas Nenden.
Perempuan Rentan Menjadi Korban Kebocoran Data
Peretasan data yang terjadi kali ini bukan hanya mengakibatkan raibnya data tersebut. Risiko terburuknya, data itu juga bisa diperjualbelikan kepada pihak lain sehingga info pribadi masyarakat menjadi tersebar. Dalam hal ini, perempuan dan kelompok rentan menjadi pihak yang paling terancam.
“Hal-hal begini sangat mungkin terulang. Dalam konteks perempuan ini penting, misal kebocoran data terjadi perempuan menjadi sangat lebih rentan karena situasi masyarakat yang patriarkal,” jelas Nenden. “Karena dengan mendapatkan data perempuan misalnya nomor telepon, penyalahgunaannya bisa berhubungan dengan gender atau seksualitas. Apalagi data yang tersebar lebih spesifik seperti alamat atau kondisi lainnya seperti ragam gender atau riwayat penyakit. Perempuan lebih rentan. Perlu pemangku kebijakan atau menteri yang punya perspektif itu tadi termasuk perspektif gender sehingga nggak merugikan perempuan.”
Gangguan akibat peretasan ini jelas memberikan dampak yang terasa bagi masyarakat. Meskipun begitu, pemerintah belum memahami bahwa hal ini terjadi akibat lemahnya sistem keamanan dan back up data yang dimiliki. Pemerintah hanya meminta maaf terkait terganggunya layanan publik, tapi belum meminta maaf atas kelalaiannya.
Baca Juga: Platform Sosmed Mesti Ikut Tanggung Jawab Cegah Penyebaran Konten Intim Non-Konsensual
“Pasti tuntutan kepada pemerintah sekarang itu layanan publik yang terdampak bisa segera pulih. Lalu komitmen negara melalui pengakuan kelalaian dan kesalahan itu tapi sampai sekarang belum terjadi. Yang adanya permohonan maaf karena layanan terganggu aja bukan kelalaian” lanjut Nenden.
Pemahaman akan keamanan siber memanglah masih belum dianggap serius oleh pemerintah. Bahkan ketika peretasan telah terjadi, pemerintah terkesan saling lempar tanggung jawab alih-alih mengatasi persoalan tersebut. Hal ini tentu mengecewakan publik karena publik tidak memiliki pilihan lain selain memberikan data mereka kepada pemerintah untuk urusan administrasi. Nenden menganggap bahwa pemerintah yang memberikan himbauan kepada masyarakat untuk turut berhati-hati menjaga data adalah statement yang tidak tepat. Pemerintah sebagai pengumpul satu-satunya data masyarakatlah yang harusnya berhati-hati dan membuat sistem mumpuni, bukan justru menghimbau hal itu kepada masyarakat karena masyarakat tidak punya pilihan.
“Yang benar sebenernya kita nggak bisa nolak kalau pemerintah minta data. Jadi statement itu bodoh sekali karena mereka yang ngumpulin ya mereka yang harusnya tanggung jawab. Kecuali kita diberi pilihan apakah boleh ngumpulin data atau enggak,” pungkas Nenden.