“PDN isinya tambang emas, bukan data pribadi saja, tapi data strategi perekonomian,” papar dia. Ia menyebut proyek PDN yang bernilai cukup besar tidak cukup menjamin adanya keamanan data selama tidak ada bukti upaya antisipasi seperti memasukkannya ke dalam asuransi.

Tersirat Menganggap Remeh

Nenden S. Arum, Direktur Eksekutif SAFEnet menjelaskan, pernyataan awal Kominfo bahwa ganggugan server di PDNS 2 Surabaya hanya 'sementara' terkesan menganggap remeh risiko keamanan dan dan informasi.

“Padahal, PDN menyimpan data yang bersifat pribadi dan rahasia serta kebocoran berarti juga ancaman terhadap keseluruhan keamanan nasional Indonesia. Tidak ada pembedaan apakah data tersebut ada pada PDN sementara maupun permanen,” jelas Nenden dikutip dari keterangan resmi.

SAFEnet menambahkan langkah Kominfo menimbulkan tanda tanya, apakah prosudur keamanan beratti tidak seketat pusat data nasional sebagai sebuah infrastruktur kritis, yang baru akan operasi tahun 2024. Dengan sebelumnya Kominfo klaim PDN menerapkan standar level global tier-4 (tertinggi).

Keberadaan pusat data justru menimbulkan risiko yang lebih besar, sebagaimana telah dikritisi sejak rencana pembangunan PDN ini bergulir. Terlebih pelibatan dana asing dalam proses mewujudkan PDN.

“Kasus-kasus dugaan kebocoran data yang melibatkan institusi pemerintahan seperti registrasi prabayar nomor layanan telekomunikasi seluler, hingga kebocoran 34 juta data paspor Indonesia yang diperjualbelikan di situs daring, menjadi bagian pertanyaan besar mengenai kemampuan tata kelola PDN dalam menjaga keamanan data-data yang disimpan secara sepihak oleh pemerintah pusat,” jelas dia.

Baca Juga: Data Asal Indonesia yang Diduga Dibocorkan Hacker Ransomware

Pembangunan pusat data awalnya bertujuan mengintegrasikan data dan file, mulai dari penyimpanan, operasi, hingga keamanan informasi, sebagaimana diamantkan dalam Peraturan Presiden (Perpres) Nomor 95 Tahun 2018 tentang Sistem Pemerintahan Berbasis Elektronik, terutama pasal 27 dan pasal 30. Termasuk Peraturan Presiden (Perpres) Nomor 132 Tahun 2022,, sebagai payung hukum PDNS.

SAFENet pada akhirnya menilai kasus peretasan hingga membuat pusat data lumpuh menjadi bukti ketidakkonsistenan dan ketiadaan komitmen penyelenggara negara dalam menjalankan proses pembangunan infrastruktur vital.

Menunggu Jadi Satu-Satunya Cara

Menurut Nenden, PDN terjadi Single Point of Failure (SPOF) sehingga tidak banyak yang bisa dilakukan kecuali menunggu, termasuk bagi para penyelenggara layanan publik imigrasi, yang viral efek antrean mengular keimigrasinya efek PDNS lumpuh.

Dengan rangkaian kasus kebocoran data, sebelum PDNS 2 Surabaya diberitakan,  membuat publik semakin sulit mempercayai penyelenggara pusat data nasional. Catatan SAFENet sepanjang 2023 ada 32 insiden kebocoran data mulai dari Polri, KPU, Kementerian Pertahanan, hingga BPJS Kesehatan. 

Serangkaian serangan siber dan terakhir menimpa pusat data yang dikelola Telkom Sigma serta Kominfo, menjadi “puncak gunung es dari lemahnya sistem keamanan siber Indonesia,” imbuh Nenden.

10 Institusi Besar Korban Ransomware

Pengamat Keamanan Siber dari Vaksin.com, Alfons Tanujaya mencatat ada 10 institusi yang menjadi korban serangan ransomware sepanjang 2024, baik swasta atau pemerintah dari berbagai sektor, mulai dari perbankan hingga jasa IT. Bahkan ada insiden berulang di institusi keuangan yang merupakan perusahaan publik.

“Dimana pada Juli 2023 bank tersebut menjadi korban ransomware dengan total data yang berhasil dicuri dan dienkripsi sebanyak 450 GB oleh Ransomhouse,” jelas dia. Berdasarkan pengamatan Alfons, data tersebut menyimpan informasi data nasabah, data sensitif, hingga fasilitas kredit.

“Hal tersebut rupanya tidak menjadikan bank tersebut menjadi lebih berhati-hati, terbukti pada awal April 2024 bank tersebut kembali menjadi korban ransomware Medusa dengan data yang berhasil dicuri dan dienkripsi sebanyak 108 GB,” Alfons dalam laporan terbaru dikutip Kamis.

Pada 21 Juni terjadi pula serangan pada salah satu perusahaan logistik Indonesia dengan Darkvault memberikan batas waktukepada korban untuk menbayar tebusan, serta mengancam data akan dibocorkan.

Bulan Mei lalu institusi pemerintah bidang consumer finance sektor UMKM turut menjadi korban. Ia mencatat data lebih dari 15 TB dari institusi di bawah Kementerian Koperasi dan UKM tersebut dibocorkan Ransomhub.

Awal bulan Mei, “pengelola shopping center terkenal di Indonesia turut menjadi korban ransomware, kali ini dilakukan oleh Lockbit 3.0.” Menurut Alfons LockBot 3.0 kerap membidik institusi besar dan lembaga pemerintah dengan sistem keamanan buruk. Institusi BUMN di bawah pengawasan Kementerian Keuangan juga jadi korban ransomware Qilin bulan Maret kemarin. Peretas menyalin 13 GB data.

“Selain institusi yang disebutkan di atas, institusi Indonesia lain yang menjadi korban ransomware juga bergerak dalam bidang IT Services (pengarsipan), pialang saham, airline dan transportasi.”

(fik/wep)