Direktur Jenderal Aplikasi Informatika (Dirjen Aptika) Kementerian Komunikasi dan Informatika (Comifo), Samuel Panjerapan, mengumumkan pengunduran dirinya menyusul insiden ransomware yang menyerang Pusat Data Nasional Sementara (PDNS) baru-baru ini.
“Ini tanggung jawab moral saya, karena secara teknis saya harus bisa menangani permasalahan PDN ini dengan baik,” kata Samuel dalam jumpa pers di kantor Kominfo, Kamis (07/04), seperti dikutip Kompas.com.
Samuel juga mengatakan, saat ini Cominfo dan organisasi terkait lainnya kembali melakukan upaya agar PDN yang terkena tebusan bisa pulih sepenuhnya.
Ia juga mengungkapkan bahwa Cominfo mencoba kunci enkripsi gratis yang disediakan oleh peretas PDN.
Namun Samuel mengaku belum bisa memastikan apakah PDN akan cepat pulih atau tidak.
“Kami mencoba kuncinya tadi malam dan berhasil.” Tapi datanya banyak yang tertutup, jadi saya belum tahu bagaimana prosesnya,” tambah Samuel.
Pengumuman pengunduran diri Samuel Panjerapan terjadi setelah tim Brain Cipher mengeluarkan permintaan maaf.
Kelompok tersebut mengaku bertanggung jawab atas serangan ransomware di Pusat Data Nasional Sementara (PDNS) di Surabaya, Jawa Timur, dan berjanji akan memberikan kunci untuk membuka akses ke data pemerintah terenkripsi di pusat tersebut secara gratis.
Brain Cipher menegaskan tidak ada motif politik di balik penyerangan tersebut dan meminta maaf kepada masyarakat Indonesia.
Mereka melakukannya karena tindakan mereka berdampak pada banyak orang.
Pernyataan tertulis kelompok tersebut diposting oleh StealthMole, sebuah organisasi intelijen yang memantau ancaman web gelap, di akun X-nya pada Selasa pagi (02/07).
“Kami membagikan kunci gratis pada hari Rabu ini,” tulis Brain Cipher.
“Kami berharap serangan kami akan membuat Anda memahami betapa pentingnya membiayai industri ini dan mempekerjakan profesional yang berkualitas.”
Selain itu, Brain Cipher meminta pernyataan publik terbuka yang mengungkapkan rasa terima kasih mereka dan menegaskan bahwa mereka “membuat keputusan ini secara sadar dan independen”.
“Jika pejabat pemerintah merasa tidak pantas berterima kasih kepada penjahat, Anda dapat melakukannya secara pribadi melalui surat,” tambahnya.
Di hari yang sama ketika pernyataan Brain Cipher muncul, forum peretasan BreachForums membagikan kabar bahwa sebuah akun bernama “aptikacomnfo” menjual informasi tersebut ke Kementerian Komunikasi dan Informatika seharga US$121.000 (Rs 1,98 miliar).
Data yang dijual termasuk data pribadi, lisensi perangkat lunak sistem keamanan, dan dokumen kontrak dari Pusat Data Nasional dari tahun 2021 hingga 2024, menurut laporan Falconfeeds.io, sebuah organisasi intelijen keamanan siber, di akun X-nya.
Belum jelas apakah data yang dijual tersebut terkait dengan serangan ransomware yang dilakukan Brain Cipher terhadap PDNS di Surabaya.
Hingga artikel ini diterbitkan, belum ada tanggapan dari pemerintah terkait pernyataan Brain Shipher dan penjualan data Kementerian Komunikasi dan Informatika ke BreachForums.
Sebelumnya, pakar keamanan siber dan pekerja teknologi informasi menyoroti berbagai kejanggalan terkait serangan ransomware terhadap PDNS di Surabaya yang mengganggu layanan ratusan instansi pemerintah.
Kerentanan umum mencakup sistem keamanan yang lemah, kurangnya kebijakan perlindungan data yang memadai, dan kemungkinan kelalaian manusia yang menyebabkan serangan ransomware.
Pemerintah bertujuan agar operasional PDNS Surabaya pulih sepenuhnya pada bulan Agustus dan telah meminta pihak ketiga untuk melakukan audit keamanan komprehensif terhadap PDNS.
Para ahli mengatakan harus ada hukuman bagi pejabat yang ceroboh dan menyebabkan kebocoran informasi publik di masa depan. Bagaimana awal mula penyerangan PDNS Surabaya dan apa dampaknya?
Kronologi versi pemerintah, awalnya ada upaya menonaktifkan fitur keamanan Windows Defender di PDNS Surabaya mulai 17 Juni pukul 23.15 WIB.
Aktivitas berbahaya telah berlangsung sejak 20 Juni 00:54 WIB, termasuk menginstal file berbahaya, menghapus file program penting, dan mematikan layanan aktif. File yang terhubung ke penyimpanan mulai menutup dan menutup secara tiba-tiba.
Semenit kemudian, Windows Defender diberitahu bahwa ia menghadapi “bahaya” dan tidak dapat dijalankan.
Pada tanggal 20 Juni, Badan Siber dan Sandi Negara (BSSN) mendapat laporan dari tim PT Sigma Cipta Caraka (Telkomsigma) selaku vendor PDNS Surabaya bahwa seluruh layanan di pusat ini tidak bisa diakses.
Akibatnya, banyak aktivitas masyarakat yang terganggu, termasuk terkait keimigrasian dan pendaftaran mahasiswa baru.
Setelah melakukan digital forensik selama beberapa hari, tim BSSN menemukan pada 23 Juni bahwa Brain Cipher berada di balik kejadian tersebut.
Brain Cipher adalah kelompok peretas yang menggunakan varian ransomware LockBit 3.0.
Secara umum ransomware adalah salah satu jenis malware atau program jahat yang jika diinstal dapat mengunci file atau perangkat seperti komputer dan smartphone. Jika ingin mendapatkan password untuk membuka kunci, biasanya korban diminta membayar sejumlah uang.
Sementara itu, ransomware LockBit khususnya tidak hanya mengunci file yang ada, tetapi juga mencurinya. Jika korban tidak membayar, pelaku bisa mengancam akan melepaskan data yang diambilnya.
Pada 24 Juni, Menteri Komunikasi dan Informatika Budi Arieh Setiadi membenarkan bahwa pelaku serangan ransomware PDNS Surabaya meminta uang tebusan sebesar US$8 juta atau R131,8 miliar untuk membuka situs data tersebut.
Namun sejauh ini belum ada indikasi data di PDNS Surabaya juga dicuri. Vele terkunci dari akses.
“Tentu kami tidak bisa yakin 100% [data] itu tidak bocor karena proses intelijen masih berjalan, tapi sejauh ini yang kami tahu datanya di [PDNS Surabaya] dalam keadaan terenkripsi. Kepala BSSN Hinsa Sibourian saat rapat kerja sama dengan Komisi DPR pada 27 Juni.
“Jika Anda mengambil [data], Anda akan melihat lalu lintas keluar juga besar. Itu data yang banyak.
Hingga 26 Juni, pemerintah mencatat total 282 instansi pemerintah yang datanya tersimpan di PDNS Surabaya terkena serangan ransomware. Data ini mencakup data dari kementerian dan lembaga, serta pemerintah negara bagian, kabupaten, dan kota.
Dari 282 instansi tersebut, 239 instansi mengalami gangguan pelayanan publik dan tidak mempunyai cadangan data. Layanan 43 instansi lainnya juga sempat terganggu, namun disebut bisa pulih dengan cepat karena memiliki cadangan. Keraguan tentang cadangan
Dalam rapat gabungan dengan Komisi I DPR pada 27 Juni lalu, pemerintah menjelaskan cara kerja dua PDNS Indonesia yang masing-masing berlokasi di Serpong, Banten dan Surabaya, Jawa Timur.
PT Aplikanusa Lintasarta merupakan reseller atau penyedia jasa PDNS 1 di Serpong.
Sedangkan PT Sigma Cipta Caraka (Telkomsigma) – anak perusahaan PT Telkom Indonesia – merupakan vendor PDNS 2 di Surabaya dan cold site atau data center di Batam, Kepulauan Riau.
Berdasarkan materi pemaparan Kementerian Komunikasi dan Informatika dan BSSN di DPR, kedua PDNS tersebut akan saling menghubungkan dan mereplikasi atau menyalin data, serta menyimpan cadangannya di fasilitas cold storage di Batam.
“Desain PDNS yang diterbitkan Cominfo dan BSSN sebenarnya bagus jika implementasi dan pengelolaannya konsisten dengan desain tersebut,” kata Pratama Persada, pakar keamanan Internet di Information and Communications Security Research Center (CISSReC).
Namun kenyataannya proses replikasi tidak berjalan karena jika PDNS 2 mengalami masalah maka PDNS 1 akan mengambil alih dan data yang ada di PDNS 2 akan dikembalikan ke pendingin.
Silmi Karim, Direktur Jenderal Imigrasi Departemen Hukum dan Hak Asasi Manusia, juga mengatakan informasi PDNS departemennya tidak diduplikasi.
Menurut Silmi, pihaknya sejak April sudah mengirimkan surat ke Kementerian Komunikasi dan Informatika yang meminta agar data tersebut diulang, namun tidak digubris.
Oleh karena itu, Silmi meminta jajarannya terus memperbarui cadangan data internal di Pusat Data Keimigrasian (Pusdakim), jika memungkinkan.
“Memang [suratnya] tidak dibalas. Makanya kami siapkan di Pusdakim,” kata Silmi pada 28 Juni seperti dilansir Kompas.com.
Karena kami memiliki cadangan data, layanan imigrasi dapat cepat pulih setelah terganggu oleh serangan ransomware PDNS Surabaya.
Kepala BSSN Hinsa Siburian mengatakan, hanya 2% data di PDNS Surabaya yang dibackup di fasilitas cold storage di Batam.
Karena itu, pengguna layanan PDNS dan Kementerian Komunikasi dan Informatika disebut belum mematuhi Peraturan BSSN nomor 4/2021.
Pasal 35 ayat 2d aturan tersebut menyatakan bahwa salah satu syarat untuk memenuhi standar keamanan teknis pusat data adalah “membuat salinan cadangan informasi dan perangkat lunak di pusat data nasional secara berkala”.
“Secara umum kami lihat, mohon maaf Pak Menteri [Budi Arieh Setiadi], permasalahan utamanya adalah manajemen – ini hasil penilaian kami – dan tidak adanya salinannya,” kata Hinsa.
Meutya Hafid, Ketua Komisi I DPR, merespons keras hal tersebut.
“Kalau tidak ada cadangan, itu bukan persoalan manajemen,” kata Mutya.
“Itu cerita yang bodoh,” tambahnya.
Di sisi lain, Menteri Budi dan Samuel Abridjani Pangjerapan selaku Direktur Jenderal Permintaan Informasi Kementerian Komunikasi dan Informatika menegaskan, keputusan pelestarian data ada di tangan instansi pengguna PDNS.
Kementerian Komunikasi dan Informatika, kata Samuel, hanya berperan sebagai pengolah, bukan pengontrol data sehingga tidak berhak meninjau data yang ada.
“Jadi kami [hanya] memberikan layanan, dan setiap mereka menggunakan layanan kami, ada kontraknya,” kata Samuel.
Salah satu ketentuan dalam perjanjian tersebut adalah pengguna layanan PDNS wajib “membackup datanya secara mandiri,” tambahnya.
Masalahnya, kata Budi, tidak banyak pengguna PDNS yang melakukan backup datanya.
Banyak instansi pemerintah, kata Budi, seringkali kesulitan menyisihkan dana untuk menyediakan “infrastruktur cadangan” karena keterbatasan anggaran atau “kesulitan menjelaskan” kepada auditor pentingnya penyimpanan data.
Belum jelas apakah dana “infrastruktur cadangan” yang dimaksud Budi ditujukan untuk penyimpanan data di PDNS atau di pusat data internal masing-masing instansi.
“Sebagai catatan, sejak diterbitkannya Perpres No. 39/2019 tentang data unik Indonesia, instansi pemerintah tidak diperbolehkan membeli server secara mandiri dan wajib menyimpan datanya di pusat data nasional,” kata Pratama dari CISSReC.
Sementara itu, saat ditanya anggota Komisi I DPR soal kebijakan perlindungan data, Direktur Pengiriman dan Operasional Telkomsigma I Wayan Sukerta mengatakan pihaknya hanya mengikuti prinsip operasional bekerja sebagai reseller PDNS Surabaya. .
Dan dari sisi operasional, kami mengikuti prosedur yang telah ditetapkan oleh Cominfo,” kata Vajan.
“Tentu saja cadangannya harus ada permintaan tiket yang dikirimkan oleh penyewa [pengguna layanan PDNS]. Keanehan lainnya
Pratama Persada, pakar keamanan Internet dari CISSReC, mempertanyakan penggunaan Windows Defender, program antivirus bawaan sistem operasi Windows PDNS.
Lebih lanjut, Menteri Keuangan Shri Mulyani Indrawati mengatakan Kementerian Komunikasi dan Informatika telah mengalokasikan dana sebesar Rp700 miliar untuk pengembangan pusat data nasional pada tahun 2024.
“Walaupun Windows Defender masih bisa digunakan untuk keperluan rumah tangga atau industri kecil, data centernya dengan anggaran Rp 700 miliar. tidak perlu lagi menggunakan perangkat otomatis untuk sistem operasinya,” kata Prata.
Menurutnya, masih banyak perangkat keamanan internet lain yang bisa menjadi pilihan. Metode lain dapat digunakan untuk menambahkan lapisan keamanan, baik dengan mengatur akses atau menggunakan metode autentikasi multifaktor.
Ronal Gorba Timothy, kepala departemen TI di kedai kopi lokal, mengatakan hal yang sama.
Bagi pengguna PC perorangan saja, ia menilai Windows Defender saja tidak cukup, terutama bagi pusat data milik pemerintah.
Soal pilihan sistem operasi, Ronal juga menilai Linux lebih aman dibandingkan Windows dan banyak digunakan di server data.
Ia mengatakan bahwa Windows benar-benar sistem operasi paling efisien di dunia. Namun, akibatnya, terdapat lebih banyak jenis serangan siber yang menargetkan Windows dibandingkan jenis lainnya. Dengan demikian, lapisan keamanan yang diperlukan menjadi berlipat ganda.
“Jika seorang pengembang fokus menggunakan ekosistem Windows, tidak apa-apa, tetapi perangkat lunak yang digunakan untuk mendukungnya juga harus mencukupi,” kata Ronal.
Sementara itu, Ciptoning Hestomo, seorang manajer TI di sebuah perusahaan rintisan keuangan, terus berpikir bahwa pemerintah tidak memiliki prosedur yang cukup untuk mendukung data.
Ia mengatakan, penyimpanan data merupakan kebutuhan pokok, layaknya makanan manusia.
“Backupnya standar, harusnya ada, bukan harus diwajibkan undang-undang,” kata Ciptoning. “Selanjutnya data satu negara dipantau.
“Jadi sepertinya pemerintah tidak memahami apa yang mereka lakukan.”
Ronal mengatakan, perusahaan swasta kecil pun cenderung memiliki prosedur backup data secara berkala dengan frekuensi minimal satu kali dalam sehari.
“Jadi jika ada serangan ransomware misalnya, data yang hilang hanyalah data hari terakhir.” “Itu yang terburuk,” kata Ronal.
Selain itu, Ronal dan Ciptoning menyoroti serangan ransomware yang sering terjadi karena kecerobohan pengguna komputer dengan mengklik link yang tidak jelas atau membuka aplikasi yang mengandung program jahat.
Jadi wajar saja, kata mereka, jika masyarakat mencurigai pejabat PDNS tidak tertarik membiarkan ransomware masuk ke sistem lembaga tersebut, meski hal ini memerlukan pengawasan lebih lanjut.
Dalam rapat kerja sama Komisi I DPR pada 27 Juni lalu, Ketua Komisi I DPR Meutya Hafid menanyakan hal tersebut kepada Kepala BSSN Hinsa Sibourian.
Hinsa mengatakan, hal itu baru bisa terjawab jika hasil audit forensik menyeluruh sudah keluar.
Tentu saja, Prathama mengatakan kejadian ini menunjukkan “ketidaksiapan” pemerintah, baik dalam mengelola data dalam jumlah besar atau menangani masalah dunia maya.
“Respon Pemerintah belum bisa dikatakan baik, karena kerusuhan yang terjadi pada 20 Juni hingga 24 Juni sudah disampaikan ke publik dan itu indikasi awal,” kata Prathama.
“Pemerintah sepertinya ingin mencoba memperbaikinya terlebih dahulu agar masyarakat tidak mengetahui sebenarnya permasalahannya di mana.” Penelitian yang komprehensif
Dalam paparannya di hadapan Komisi I DPR, Menteri Komunikasi dan Informatika Budi Arieh Setiadi menyampaikan bahwa Pemerintah telah menyiapkan strategi rehabilitasi dalam jangka pendek, menengah, dan panjang terkait layanan penyandang disabilitas di berbagai instansi pemerintah.
Rencana sementara dijadwalkan berlangsung mulai 20 Juni hingga 30 Juli.
Budi berencana segera mengeluarkan deklarasi menteri baru untuk mengimplementasikan pusat data nasional, yang salah satunya mewajibkan seluruh instansi pemerintah untuk melakukan backup data secara rutin.
Oleh karena itu wajib dan bukan pilihan seperti dulu,” kata Budi.
“Paling lambat Senin [1 Juli] saya akan menandatangani deklarasi menteri.
Proses penyidikan akan berlanjut hingga minggu pertama Juli. Akuisisi layanan inti dan layanan cadangan data harus diselesaikan pada akhir Juli.
Pada periode strategi jangka menengah, Kementerian Komunikasi dan Informatika menetapkan batas waktu pada minggu kedua bulan Agustus untuk pemulihan penuh layanan PDNS Surabaya, pelaksanaan rekomendasi hasil intelijen, pengembangan prosedur dan evaluasi pengelolaan PDNS.
Dalam strategi jangka panjang, pihak ketiga yang independen akan melakukan audit keamanan terhadap PDNS paling lambat minggu keempat September dan rencananya hasil audit akan keluar mulai minggu keempat November.
Pada 28 Juni lalu, dalam rapat terbatas di Istana Kerajaan, Jakarta, Presiden Joko Widodo juga memerintahkan Badan Pengawasan Keuangan dan Pembangunan (BPKP) mengusut pengelolaan pusat data nasional tersebut.
“Kami diperintahkan mengusut pengurus PDN. Tata kelola sama dengan keuangan,” kata Kepala BPKS Muhammad Yusuf usai rapat terbatas.
Pratama Persada, pakar keamanan siber dari CISSReC, mengingatkan pemerintah untuk menerapkan sistem keamanan berlapis jika tidak ingin kejadian serupa terulang di kemudian hari.
Hal ini termasuk memastikan tidak ada kesalahan dalam pemrograman API, mengenkripsi data di server, dan memilih paket keamanan siber yang tepat.
Manajer pusat data juga harus memiliki cadangan di penyimpanan data offline, memperbarui aplikasi secara rutin, dan menerapkan strategi kelangsungan bisnis setelah bencana.
Pemerintah juga diharapkan memperkuat peran dan kerja Badan Siber dan Sandi Negara (BSSN) serta menyiapkan sanksi bagi situs pemerintah atau situs pendidikan yang akan diretas.
Apalagi jika mengakibatkan kebocoran informasi, sanksi administratif seperti teguran, bahkan degradasi karena dianggap lalai mengelola situs, kata Pratama.