Gagal Lindungi Data PDN, Pemerintah Langgar UU PDP

JAKARTA – Pusat Data Nasional (PDN) mengalami serangan siber sejak Kamis 20 Juni dan belum pulih sepenuhnya. Meski berupaya mengembalikan data-data tersebut, pemerintah dalam hal ini tim dari Kemenkominfo, BSSN, Polri dan juga Telkom selaku pihak pengelola PDN akhirnya mengaku gagal memulihkan data-data yang tersimpan di PDN.

“Kita berupaya keras melakukan recovery resource yang kita miliki. Yang jelas data yang sudah kena ransomware sudah tidak bisa kita recovery. Jadi sekarang menggunakan sumber daya yang masih kita miliki,” ungkap Direktur Network dan IT Solution Telkom, Herlan Wijanarko, Rabu 26 Juni lalu.

Pusat Data Nasional Dijebol Hacker (Ist)

Menurut Direktur ELSAM, Wahyudi Djafar, peretasan terhadap PDN dan pembobolan data sejumlah instansi memperlihatkan sistem pelindungan diterapkan pemerintah sangat rentan, dan harus dibenahi mengacu pada standar undang-undang.

“Berbagai kasus dugaan pelanggaran data pribadi, dalam bentuk serangan terhadap kerahasiaan data (confidentiality), yang berdampak pada pengungkapan sejumlah elemen data, yang dikelola pengendali data pemerintah, semakin menegaskan rentannya sistem pelindungan data yang mereka terapkan,” ujarnya, Senin 1 Juli 2024.

Dia mengungkapkan, di tengah upaya pemulihan PDN Sementara akibat serangan ransomware, sejumlah data instansi pemerintahan dijajakan peretas melalui situs khusus. Sejumlah instansi yang diduga mengalami pembobolan data adalah Ditjen Perhubungan Udara (data dan foto karyawan, username dan password untuk seluruh aplikasi, peserta sertifikasi pilot drone, dan data penerbangan).

Lembaga lain yang datanya dibocorkan oleh peretas adalah Badan Penyelenggaran Jaminan Sosial Ketenagakerjaan (BPJS) yang mencakup nama dan tanggal lahir peserta BPJS Ketenagakerjaan, alamat email, nomor telepon, kelompok usia, alamat, kode pos.

Kemudian peretas juga mengaku mencuri data Badan Intelijen Strategis (BAIS) TNI, Indonesia Automatic Fingerprint Identification System (INAFIS) Polri (mencakup data sensitif foto sidik jari), Pemerintah Kota Denpasar, dan Pemerintah Kota Semarang.

Perlindungan Data Pemerintah Belum Sesuai Standar UU

Menko Polhukam RI Hadi Tjahjanto dan Kepala BSSN Hinsa Siburian di kantor BSSN Jakarta Selatan, Selasa (2/7/2024). ANTARA/Ho-Humas Menko Polhukam.
 

Meski belum diketahui apakah sumber data sejumlah instansi itu berasal dari peretasan PDN Sementara atau lainnya, pengelolaan data-data itu melibatkan pengendali data pribadi dari sektor publik dikelola pemerintah.

Wahyudi menegaskan, jika pemerintah lalai dalam mengelola dan menjamin pelindungan data maka sama saja melanggar Undang-Undang Pelindungan Data Pribadi (PDP). Sebab, Undang-Undang Nomor 27/2022 tentang Pelindungan Data Pribadi juga berlaku mengikat bagi seluruh pengendali data publik, termasuk untuk menerapkan seluruh standar kepatuhan.

“Pemerintah sebagai pengendali data wajib bertanggung jawab dan patuh terhadap UU, memastikan keamanan pemrosesan data, merekam kegiatan pemrosesan data, menjaga kerahasiaan data, menyampaikan pemberitahuan (notifikasi) bila terjadi pelanggaran, dan melakukan penilaian dampak pelindungan data,” terangnya.

Wahyudi menyatakan, karena merupakan amanat dalam UU PDP, seharusnya pemerintah melakukan langkah-langkah teknis dan organisasi untuk memastikan kepatuhan. Selain itu, pemerintah juga harus bergerak cepat mengambil langkah strategis setelah peristiwa peretasan ransomware terhadap PDN Sementara, dan dugaan pembobolan data sejumlah institusi, supaya tidak mengganggu penerapan Sistem Pemerintahan Berbasis Elektronik (SPBE).

Dia menyebut, rentannya pelindungan data pribadi warga negara yang dikelola institusi publik, tidak hanya berkaitan dengan besarnya risiko pengungkapan terhadap data-data itu. Tetapi juga dapat berdampak pada integritas sampai hilangnya data, seperti terjadi pada kasus peretasan PDN Sementara.

Serangan siber, lanjut Wahyudi, bisa membuat kerahasiaan (confidentiality), integritas, dan ketersediaan (availability) data terancam. Padahal, pembuatan PDN merupakan inti dari tujuan keamanan data publik dan pemerintah.

“Bila tidak segera dilakukan pembenahan menyeluruh, dikhawatirkan risiko dan ancaman bagi warga akan semakin parah, makin sulit mitigasinya, dan tentu akan mengakibatkan kerugian ekonomi yang tidak sedikit,” tukasnya.

Dia mencontohkan, pemerintah Korea Selatan pada tahun 2019, harus menggelontorkan anggaran sampai 650 juta dollar Amerika Serikat untuk penanganan peretasan data publik. Anggaran sebesar itu dikucurkan untuk mengganti identitas 50 juta warga Korea Selatan akibat 20 juta warganya menjadi korban pembobolan data pada 2014.

Pakar keamanan siber dari Laboratorium Kota Cerdas dan Keamanan Siber ITS, Ridho Rahman Hariadi kegagalan pemerintah melindungi data di PDN Sementara bukan hanya mengancam institusi besar, tetapi juga berdampak bagi masyarakat luas.

Ancaman bagi masyarakat bisa termasuk kehilangan data pribadi seperti foto, dokumen, dan informasi keuangan yang terinfeksi ransomware. Pelaku serangan dapat mencuri data sensitif dan mengancam untuk mempublikasikan atau menjualnya jika tebusan tidak dibayar.

“Selain itu, pelaku juga bisa menyerang akun-akun media sosial hingga bank untuk mendapat keuntungan tertentu. Hal ini pastinya akan membawa ketidaknyamanan dan potensi bahaya bagi masyarakat,” tuturnya.

Ridho menyarankan agar pemerintah memperkuat kerja sama dengan institusi pendidikan dan lembaga penelitian untuk mengembangkan solusi dan mengatasi serangan di masa depan. Termasuk melalui program pelatihan, seminar, dan penelitian, untuk memperkuat ketahanan siber nasional.

Melalui langkah-langkah ini, diharapkan insiden serangan ransomware dapat diminimalisasi dan ketahanan siber nasional dapat ditingkatkan. Pasalnya, kedua hal itu sangat krusial dalam melindungi data dan layanan publik yang penting bagi masyarakat.

“Kesadaran akan pentingnya keamanan siber harus terus ditingkatkan, baik di kalangan pemerintah, sektor swasta, maupun masyarakat umum, untuk memastikan bahwa data dan sistem yang kritis tetap terlindungi dari ancaman yang terus berkembang,” tegas Ridho.

Perlindungan Data Jadi Tugas Bersama Penyelenggara dan Pengguna

Tampilan situs gelap yang menjual data Kominfo (foto: @FalconFeedsio)

Menkominfo, Budi Arie Setiadi menyatakan bahwa keamanan siber termasuk perlindungan data menjadi tugas bersama dari seluruh pemangku kepentingan. Sebab setidaknya ada tiga aspek terkait jaminan keamanan dalam penyelenggaraan dan pemanfaatan PDN yang harus menjadi perhatian bersama antara penyelenggara dan pengguna layanan PDN.

“Ada tiga aspek yang harus diperhatikan penyelenggara PDN dan pengguna layanan PDN, yang disingkat dengan CIA, yaitu aspek confidentiality (kerahasiaan), integrity (keaslian), dan availability (ketersediaan) data dan informasi,” jelasnya.

Pada aspek kerahasiaan, PDN telah menerapkan keamanan fisik sampai dengan pengamanan IT di level perangkat keras, jaringan dan cloud system. Penerapan pengamanan tersebut juga mengacu pada beberapa standar internasional yaitu ISO 27001, diantaranya pengamanan fisik dengan mensyaratkan akses ke pusat data melalui beberapa lapis screening, seperti pendataan akses di gerbang masuk hingga masuk ke ruang pusat data dengan melakukan pendaftaran kembali untuk mendapatkan akses ke ruang data center dan rak server yang akan dituju dengan ID card elektronik + fingerprint, pemasangan perangkat seperti network firewall, Web Application Firewall, AntiDDOS, Automatic Vulnerability, File Integrity Monitoring, Email Security, Network Antivirus, dan SIEM, pengamanan di level Operating System, Management Platfom, Management Aplikasi, dan Manajemen Data karena pengguna layanan PDN yang menggunakan layanan IaaS (Infrastructure as a Service) yaitu penggunaan VPS/Virtual Machine dan manajemen data, khususnya data strategis dan rahasia.

“Pada aspek keaslian, pengguna layanan PDN juga harus mengantisipasi peretasan terhadap data dan informasi, dengan menerapkan keamanan pada aplikasi seperti penerapan anti SQL injection, Cross-Site Scripting (XSS), Phising, Social Engineering, Insider Threat, dll agar informasi yang disampaikan di dalam website tetap terjaga keasliannya,” kata Budi Arie.