Jokowi menjelaskan bahwa UU PDP berisi kesepakatan pembentukan pusat data nasional yang diharapkan mampu mengakselerasi potensi data hingga mampu memberi daya manfaat, sekaligus menjamin keamanan.
“Saya ingin menyampaikan soal pentingnya atau urgensinya pengembangan data center di Indonesia,” jelas Jokowi. “Karena melihat negara kita memiliki daya tarik, memiliki potensi yang besar, dan kita memiliki ekosistem startup yang paling aktif di Asia Tenggara dengan market digital yang terbesar.”
Dalam sebuah rapat terbatas bulan Februari tahun 2020, Jokowi melihat bagaimana Indonesia punya daya tarik dari banyak perusahaan layanan pusat data seperti Amazon, Alibaba, Google, Microsoft.
Faktanya, inisiatif empat tahun lalu dan diikuti dilahirkannya UU PDP belum terlihat dalam dimensi keamanan data. Peretas kerap mempublikasikan penjualan data milik publik Indonesia di forum dark web, termasuk BreachForums, sebagai etalase transaksi data hasil pencurian.
Hasil rangkuman atas kasus kebocoran data pribadi milik publik, terdapat puluhan kasus terjadi. Dimulai dari dugaan kebocoran data daftar pemilih tetap (DPT) 2019 maupun DPT 2024 dari Komisi Pemilihan Umum (KPU) oleh peretas bernamakan Jimbo (sebelumnya juga disinyalir Bjorka melakukan hal serupa).
Peretasan dilakukan pada 2022 dan satu tahun berikutnya data DPT dikabarkan telah bocor dan dijual di Breached Forums. Masih di tahun 2023 sebuah akun BreachForums bernama Mendung_Ireng menyatakan memiliki data kompresi berukuran 351 MB atau file utuh 1,28 GB milik Mahkamah Agung (MA). Ia dengan reputasi peretasan baik ini, mempublikasikan sampel data pada 27 Juni 2023 dan klaim menguasai kompilasi data catatan tagihan, kode satuan kerja, tanggal surat, dokumen, ataupun lainnya.
Di awal tahun ini, sebuah akun Blastoise (juga di BreachForums) mempublikasi daftar tautan yang diduga berisi sampel Kartu Tanda Penduduk (KTP), Surat Izin Mengemudi (SIM), Kartu Indonesia Sehat (KIS), Kartu Peserta (KP), Kartu Keluarga (KK), dan data Direktorat Jenderal Pajak (DJP). Saat tidak belum dapat dipastikan perihal apakah sampel data ini valid atau diperjualbelikan.
Tahun 2024 menjadi masa terkelam kebocoran data. Puluhan kasus data diperjualbelikan dikabarkan, mulai dari Badan Intelijen Strategis (BAIS), Indonesia Automatic Finger Indentification System (Inafis) di bawah Kepolisian RI, atau situs resmi Polri sendiri, hingga PDNS.
Beberapa kementerian/lembaga negara yang diduga menjadi korban membantah bahwa data yang mereka simpan dan kelola bocor, termasuk dari Dirjen Dukcapil Kementerian Dalam Negeri (Kemendagri) yang memastikan Sistem Informasi Administrasi Kependudukan (SIAK) belum terhubung dengan server PDNS yang berlokasi di Surabaya, saat kasus pusat data down akhir bulan Juni lalu.
Pengamanan Data Mustahil Tanpa Lembaga Penyelenggara PDP
Pratama Persadha, Chairman Lembaga Riset Keamanan Siber CISSReC menegaskan bahwa pemerintah Presiden Jokowi mustahil bisa menjamin keamanan data tanpa adanya lembaga yang diamanatkan dalam UU PDP. Hingga kini kehadiran institusi baru ini belum juga terbentuk padahal pada 18 Oktober depan regulasi ini mulai berlaku usai pengesahannya terjadi 17 Oktober dua tahun lalu. Situasi yang terjadi saat ini menjadikan Presiden Berpotensi Melanggar UU PDP.
Badan baru sebagai sebuah amanah UU adalah pihak yang paling bisa mewujudkan perlindungan data, sebab mereka punya kewenangan memberi sanksi baik sanksi administratif maupun sanksi berupa denda kepada pihak yang melanggar.
UU PDP “telah memberikan waktu selama 2 tahun untuk Pengendali Data Pribadi serta Prosesor Data Pribadi dan pihak lain yang terkait dengan pemrosesan data pribadi untuk melakukan penyesuaian,” ucap dia.
“Namun sangat disayangkan Presiden Joko Widodo sampai sekarang belum juga membentuk lembaga ini. Apabila Presiden tidak dengan segera membentuk Lembaga Penyelenggara PDP sampai batas waktu 17 Oktober 2024, Presiden Jokowi berpotensi melanggar UU PDP. UU PDP ini mengamanatkan kepada Presiden untuk membentuk Lembaga Penyelenggara PDP seperti yang tertera pada pasal 58 sampai dengan pasal 61 yang mengatur tentang kelembagaan UU PDP ini, dimana pasal 58 ayat (3) berbunyi “Lembaga sebagaimana pada ayat (2) ditetapkan oleh Presiden”.
Saat tidak ada badan khusus, setiap kasus kebocoran data dari milik organisasi atau perusahaan bisa saja mengabaikan insiden yang mereka alami.
“Padahal hal tersebut melanggar pasal 46 ayat 1 yang diamanatkan dalam Undang-Undang No. 27 Tahun 2022 tentang Pelindungan Data Pribadi dimana UU tersebut mengatur bahwa dalam hal terjadi kegagalan Pelindungan Data Pribadi, Pengendali Data Pribadi wajib pemberitahuan secara tertulis paling lambat 3 x 24 jam kepada Subjek Data Pribadi dan lembaga,” ucap dia.
Tata Kelola Pusat Data
Lebih jauh, tata kelola pusat data yang ideal juga penting untuk diurai baik dalam lingkup pemerintahan atau non pemerintahan. “Antara lain melakukan penerapan kebijakan keamanan dengan menentukan siapa yang memiliki akses ke pusat data dan apa saja yang bisa mereka akses berdasarkan peran dan tanggung jawab serta mengatur penggunaan peralatan, perangkat lunak, dan layanan dalam pusat data,” kata Pratama.
Pun dengan menjalankan evaluasi berbasis manajemen risiko atas segala kemungkinan yang dapat terjadi pada pusat data. Hal ini guna mencegah penyalahgunaan, termasuk ancaman siber, bencana alam, atau kegagalan perangkat, di kemudian hari. “Serta menyusun rencana mitigasi untuk mengurangi dampak dari risiko yang teridentifikasi,” ucap dia.
Selain ancaman siber, keamanan fisik penting diperhatikan. Utamanya atas sistem kontrol askses, laksana pengawasan via CCTV, biometrik, bahkan kartu identifikasi, guna membatasi dan memantau individu yang masuk dan luar dari sebuah pusat data.
“Manajemen akses dan identitas juga menjadi bagian tata kelola pusat data yang tidak kalah penting diantaranya adalah menerapkan Role Base Access Control (RBAC) untuk memastikan bahwa pengguna hanya memiliki akses ke data dan sistem yang relevan dengan tugas mereka serta menggunakan autentikasi multi-faktor (MFA) untuk meningkatkan keamanan akses ke sistem dan data,” jelas dia.
Pengamanan lainnya seperti sistem kontrol pendingin, kelembapan, dan penanggulanan jika terjadi kebakaran. “Juga perlu dilakukan pengamanan logis dengan menggunakan enkripsi untuk melindungi data baik saat disimpan atau at rest maupun saat dikirim in transit, serta menggunakan firewall dan sistem deteksi atau preventif intrusi untuk melindungi jaringan dari akses tidak sah dan serangan,” jelas Pratama.
Tak lupa standar backup recovery pada sebuah pusat data. Hal ini punya manfaat dalam waktu penyelesaian jika terjadi gangguan. “Karena tersedianya backup serta prosedur recovery yang sudah sering disimulasikan.”
Sadar Data Penting Tanpa Perlindungan Saja Tak Cukup
Presiden Jokowi sendiri yang menegaskan bahwa data di era teknologi saat ini amatlah berharga. Dengan begitu rentatan penguasaan jutaaan data oleh peretasan dan mempublikasinya dengan akun anonim, harus disadari menjadi kerugian bagi publik.
“Kedaulatan dan keamanan data dalam negeri juga harus menjadi perhatian bersama. Data adalah 'new oil' yang berharga dan tidak terhingga,” Jokowi dalam sambutan dalam acara puncak peringatan Hari Pers Nasional di Kabupaten Deli Serdang, Sumatera Utara, bulan Februari 2023.
Melindungi data melalui pembentukan Lembaga Penyelenggara PDP menjadi mendesak, pasalnya selain memberi jaminan atas data sensitif juga mampu mencegah atas upaya serangan siber. “memberikan pencegahan terhadap serangan siber, melakukan penegakan hukum terhadap pelanggaran, peningkatan kesadaran dan edukasi, kolaborasi dengan pihak terkait serta meningkatkan kepercayaan investor serta konsumen,” Pratama menambahkan.
Ketua Indonesia Cyber Security Forum (ICSF) Ardi Sutedja mengungkapkan setiap insiden peretasan data yang marak terjadi di Indonesia membawa konsekuensi kerugian finansial serta turunnya reputasi pengelola data, bagi organisasi ataupun perusahaan. Dengan menyisakan satu bulan berkuasa, pemerintahan Presiden Jokowi dinilai harus memprioritaskan pemulihan PDP.
“PDP itu akan jadi kunci, milestone ya, milestone buat kinerja Kominfo yang buat saya sangat strategis untuk sisa jabatan ini. Kalau tidak bisa terealisir,” ucap Ardi, yang juga menyinggung pada lembaga PDP. Pasalnya tidak ada jaminan bahwa isu PDP akan menjadi fokus pemerintahan baru Presiden Terpilih Prabowo Subianto.
“Kalau tidak diselesaikan dalam masa kabinet ini, akan sangat berat buat industri terkait, karena PDP ini belum bisa diselesaikan, kepastian hukum dan kenyamanan keamanan masyarakat itu akan terusik, kekhawatiran masyarakat itu akan meningkat, dan berimbas, sehingga pada nanti bagaimana pemerintah mendorong transformasi digital, ketidakpercayaan itu akan juga membuat untuk membujuk orang ke arah sana, karena tidak ada perlindungan hukum,” kata Ardi.
Tanpa kehadiran lembaga PDP tentu menjadi preseden buruk bagi pemerintahan Presiden Jokowi dan secara langsung tertuju pada kinerja Kementerian Kominfo. “Taruhannya besar banget kalau lembaga tidak terbentuk pada akhir jabatan kabinetnya. Taruhannya reputasi dan integritas pemerintah, Kominfo,” papar dia.
“Karena mereka sudah menjanjikan kedua UU PDP ini kan Oktober ini berlaku ya. Sudah diberikan tenggat waktu dua tahun setelah UU No. 27 Tahun 2022 itu diundangkan.”
Meski demikian Ardi mengakui bahwa beban Kementerian Kominfo memang tidak ringan, terlebih dengan hadirnya kasus lumpuhnya server PDNS (sebagai persiapan hadirnya PDN di awal tahun 2025).
Persoalan Sumber Daya Manusia
Mandeknya penyelesaian pembentukan lembaga PDP diduga karena ketidaksiapan stakeholder, bukan hanya pemerintah namun juga pelaku dunia usaha itu sendiri. Keterbatasan seperti Sumber Daya Manusia (SDM), persiapan kepatuhan, pemahaman atas dampak hukum dari regulasi PDP.
“Banyak perlu pemahaman dampak hukum, kemudian kualifikasi SDM yang nanti harus menggawangi masalah ini. Namun kembali lagi, yang jadi pertanyaan, apakah bala bantuan tenaga yang masuk Kominfo itu akan mendukung itu? Saya tidak bisa menjawab karena saya tidak tahu kompetensi mereka,” jelad Ardi.
Meski Jokowi sudah berkuasa selama dua periode pemerintah, dengan fokus perlindungan data pada empat tahun terakhir, lanjut Ardi, sangat berat mewujudkannya.
Praktisi keamanan siber, Alfons Tanujaya dari Vaksincom, dan Direktur Eksekutif ICT Institute Heru Sutadi juga berharap Kominfo bisa segera menyelesaikan masalah perlindungan data, termasuk kaitannya dengan pengelolaan PDN, recovery.
Meski “kalau dilihat [periode singkat menjabat] ya sulit,” terang Alfons .
Perlu juga adanya penyamaan prespesi atas perlindungan data. Jangan ada lagi anggapan bahwa pengelolaan data berbasis proyek, jika ingin menyelesaikan kebocoran. Data adalah komitmen jangka panjang dan tidak bisa sembarangan.
Hal lain adalah standarisasi pengelolaan data. Harus ada penyeragaman dalam implementasi, seperti parameter ISO 27001, PCI DSS, HIIPA, GDPR dan lainnya.
“Masalahnya pengelolaan dan pembuatan aplikasi data dikelola dalam bentuk project based. Jadi setelah proyeknya selesai, maka datanya tidak di-maintain lagi. Bagaimana memiliki ketahanan data yang baik?” kritik Alfons.
Hokky Situngkir yang baru menjabat sebagai Direktur Jenderal Aplikasi dan Informatika Kominfo, menggantikan Semuel, (pada bulan Agustus) menyatakan bahwa upaya recovery PDNS yang diretas sudah mendekati fase akhir.
“90% layanan prioritas sudah pulih. Tinggal mungkin nanti ada beberapa tweak dari pengampunya, dari pemilik layanannya,” jelas dia, yang merupakan kolaborasi BSSN dan Kementerian Lembaga Negara lainnya.
“Karena Kominfo kan nggak bisa masuk ke layanannya, itu kan jaringan masing-masing.” Seluruh kerja perbaikan pusat data di bawah komando Menteri Polhukam Hadi Tjahjanto.
Persoalan Anggaran yang Minim
Setelah tiga bulan berlalu, penyelesaian atau recovery pusat data sementara (PDNS) 2 Surabaya dinyatakan tuntas 100% pasca serangan grup Ransomeware Braincipher. Hadi menegaskan sejak 8 Agustus “semuanya sudah bisa berjalan dengan normal.”
Pemerintah pada akhirnya memutuskan membangun ulang sistem PDNS 2 Surabaya alih-alihkan memindahkannya ke tempat lain. Hal ini juga menjadi bagian dari keinginan para peserta atau tenant yang sebelumnya memakai server PDNS 2 untuk kegiatan layanan publik berbasis digital.
“Karena keinginan dari tenant akan tetap menggunakan PDNS 2 [Surabaya], sehingga kami melakukan pembangunan sistem di PDNS 2 Surabaya,” terang Hadi usai rapat bersama Komisi I DPR, Senin (23/9/2024). Pemerintah menargetkan pembangunan ulang sistem PDNS selesai akhir September tahun ini.
Keterbatasan SDM turut menjadi pertimbangan, apabila menggunakan server di luar PDNS 2, atau bahkan membangun pusat data di lokasi yang berbeda. Hadi menjelaskan secara paralel pembangunan PDNS 1 juga terus diselesaikan dimana slot data pemerintah sebagian akan dipindahkan ke server yang berlokasi di Serpong, Tangerang tersebut.
“[Oktober] ini semuanya sudah selesai di Serpong pemindahan migrasi dari Surabaya ke Serpong,” terang Hadi.
Wakil Menteri Kominfo Nezar Patria yang hadir bersama Hadi, menambahkan pemerintah kini terhalang oleh keterbatasan anggaran dalam pengelolaan PDNS. Dari kebutuhan dana operasional Rp542 miliar, Kominfo hanya memiliki tidak sampai 50%, Bahkan, untuk kebutuhan ideal Rp486 miliar pengelolaan PDNS periode berikutnya, Kominfo hanya memiliki anggaran Rp27 miliar.
“Saat ini PDNS memerlukan anggaran Rp542 miliar untuk tahun 2024, dan hanya tersedia sebesar Rp257 miliar sehingga operasional PDNS Oktober-Desember 2024 belum memiliki anggaran,” jelas dia. “Untuk tahun 2025, terdapat kebutuhan anggaran sebesar Rp486 miliar dan saat ini hanya tersedia sebesar Rp27 miliar atau sekitar 5,6%.”
Sengkarut ini harus segera diurai dan ditemukan solusi jika pemerintah tetap ingin menghadirkan Sistem Pemerintahan Berbasis Elektronik (SPBE) demi mendorong transportasi digital berjalan optimal.
“Pemerintahan Presiden Joko Widodo, yang berkuasa selama 10 tahun terakhir, telah menghadapi berbagai tantangan dalam melindungi data pribadi di era digital ini,” pungkas Pratama.
Di sisi lain, Pengamat Kebijakan Publik Trubus Rahadiansyah menolak argumentasi kekurangan anggaran dari Kementerian Kominfo. Pasalnya dari pengakuan Menteri Keuangan Sri Mulyani, gelontoran dana Rp700 miliar sudah masuk dalam penganggaran Kemenkominfo.
“Itu juga sepertinya banyak perilaku koruptof di situ, jadi tidak digunakan sebagaimana mestinya. Jadi bancaan juga. Saya duga,” pungkas Trubus.
-Dengan asistensi Mis Fransiska Dewi, Whery Enggo Prayogi.
(wep/hps)