BATAM (gokepri) – Pusat Data Nasional yang dikelola pemerintah disebut tidak mengaplikasikan sistem keamanan atau firewall terpadu. Firewall diserahkan kepada instansi pemilik data, sementara pemerintah pusat hanya menyediakan ruang simpan data di server.
Hal ini disampaikan kandidat Direktur Komunikasi dan Politik Bappenas tahun 2022, Iskandar Zulkarnaen Nasution yang merespons peretasan Pusat Data Nasional (PDN) Indonesia.
Baca:
- Penyerang Pusat Data Nasional Sementara Minta Tebusan 8 Juta Dolar AS
- Google Tambah Investasi Pusat Data di Singapura Jadi Rp81 Triliun
Pengalaman Iskandar saat bertugas di Dinas Komunikasi dan Infomatika Provinsi Kepulauan Riau tahun 2017-2021, menunjukan bahwa instansi disarankan untuk menggunakan ruang simpan di data center Kominfo yang gratis.
Namun, kata dia, seluruh keamanan data dan firewall harus dibangun sendiri oleh pemilik data. Sementara keamanan di setiap vendor yang dipekerjakan memiliki teknologi yang berbeda-beda.
“Waktu itu kami menolak dan memilih untuk membangun server sendiri, sehingga kalaupun ada kaitan data simpan di server Kominfo, back up data recovery tetap ada di server milik Pemprov Kepri,” ujar Iskandar Nasution, Rabu (26/6).
Kondisi di Kepulauan Riau berbeda dengan Batam yang langsung dikelola oleh BP Batam. Data center di Batam, kata Iskandar, lebih berfungsi sebagai Disaster Recovery Center (DRC) untuk data yang disimpan di server utama Pusat Data Nasional.
Secara teknologi, data center di Batam juga sudah terintegrasi dengan sistem keamanan dan firewall, sehingga instansi pengguna hanya dibebankan biaya sewa ruang simpan tanpa memikirkan sistem keamanan data.
“Fakta ini pula yang saya tulis dalam makalah ketika maju memperebutkan jabatan Direktur Politik dan Komunikasi. Salah satu kritikan saya adalah banyaknya pembuatan aplikasi dengan sistem berbeda secara teknologi,” jelas Iskandar yang kini menjabat Staf Analis Pendapatan Daerah di Bapenda Provinsi Kepri.
Dalam makalah tersebut, Iskandar mengusulkan adanya satu aplikasi untuk semua instansi sehingga lebih terfokus dalam penerapan teknologi, baik teknologi guna pakai maupun teknologi keamanan dan DRC.
“Tapi sayangnya, makalah saya itu tidak dibahas dalam tahap wawancara, malah membahas tentang isu-isu tentang politik identitas,” sesalnya.
Di sisi lain, ia berharap kasus peretasan Pusat Data Nasional bisa menjadi pelajaran pemerintah pusat untuk lebih mengintegrasikan sistem keamanan data sehingga tidak membebankan instansi pemilik data untuk membuat sistem keamanan data sendiri.
Untuk diketahui, Pusat Data Nasional yang dikelola oleh Kementerian Komunikasi diretas sejak 20 Juni 2024. Namun pemerintah baru mengakui bahwa server yang mengelola 73 kementerian dan lembaga negara serta layanan digital pemerintah daerah itu diretas pada Senin 24 Juni.
Badan Siber dan Sandi Negara (BSSN) menyebutkan virus yang menyerang Pusat Data Nasional berupa serangan ransomware LockBit 3.0. Varian itu disebut mirip virus yang menyerang data pelanggan Bank Syariah Indonesia (BSI) pada Mei 2023. Ransomware adalah istilah jenis malware yang menyerang sistem data.
Pelaku peretasan meminta uang tebusan USD8 juta atau sekitar Rp131 miliar kepada pemerintah Indonesia. Peretas menyatakan uang itu sebagai uang tebusan atas data yang akan mereka kembalikan.
Sepekan setelah peretasan, BSSN dan Kementerian Komunikasi belum dapat memulihkan Pusat Data Nasional. Juru bicara BSSN, Ariandi Putra, dikutip dari Tempo.co, mengatakan lembaganya bersama Kementerian Komunikasi, Cyber Crime Polri dan Telkom-Sigma-Lintasarta masih menginvestigasi lewat bukti-bukti forensik yang diperoleh. Namun BSSN terhambat karena bukti digital terenkripsi atau terkunci akibat serangan ransomware.
Kepala Communication and Information System Security Research Center (CISSRec) Pratama Persadha berpendapat bahwa BSSN yang merupakan garda terdepan negara dalam menghadapi serangan ancaman di ruang siber. BSSN merumuskan kebijakan serta strategi keamanan yang adaptif sesuai dengan perkembangan teknologi dan ancaman siber.
Pratama menyebutkan tanggung jawab BSSN itu sesuai dengan Peraturan Presiden Nomor 53 tahun 2017. BSSN, kata dia, bertugas melaksanakan keamanan siber secara efektif dengan mengkoordinasi semua unsur yang berkaitan dengan kemanan siber. “Baik itu untuk deteksi, pemantauan, penanggulangan, pemulihan, maupun evaluasi atas insiden serangan siber,” ujar Pratama dikutip dari Tempo.
Pratama menilai posisi BSSN serupa dengan National Security Agencies (NSA) milik pemerintah Amerika Serikat. Namun, kata dia, ada perbedaan antara kedua lembaga tersebut. Sebab, BSSN sering kali tak dilibatkan saat pemerintah mendesain aplikasi dan infrastruktur situs web di setiap lembaga negara. “BSSN hanya dilibatkan saat institusi tersebut mengalami serangan siber dan meminta bantuan kepada BSSN untuk audit serta penanganan gangguan,” kata dia.
Masalah lain, tanggung jawab BSSN yang besar tak diimbangi dengan alokasi anggaran yang cukup. Pagu anggaran BSSN pada 2024 sebesar Rp771 miliar. Alokasi anggaran yang rendah ini menjadi faktor penyebab BSSN tidak dapat melindungi negara dari serangan siber.
Dia mengatakan anggaran yang rendah itu membuat BSSN tidak dapat membeli lebih banyak alat untuk melindungi semua lembaga pemerintah dari serangan siber. Pratama menyebutkan sederet alat yang sudah dimilliki BSSN, seperti Firewall, IDS, IPS, WAF, SIEM dan XDR. Perangkat ini digunakan untuk memonitor dan mencegah serangan siber.
“Alat-alat yang dimiliki oleh BSSN tersebut sebetulnya sudah mumpuni untuk melindungi dari serangan siber. Namun, karena keterbatasan anggaran, jumlah peralatan yang bisa dibeli hanya sedikit sehingga belum bisa melindungi semua institusi di Indonesia,” kata dia. Dia melanjutkan, kondisi itu membuat BSSN ada kemungkinan akan memilih lembaga yang menjadi prioritas untuk diamankan.
Cek Berita dan Artikel yang lain di Google News
