Pakar keamanan siber dan pakar teknologi informasi menyoroti berbagai kelemahan terkait serangan ransomware terhadap Pusat Data Nasional Sementara (PDNS) di Surabaya, Jawa Timur, yang mengganggu layanan sistem ratusan instansi pemerintah.
Dalam rapat kerja Komisi I DPR dan pemerintah pekan lalu, para ahli menyebut pemerintah “tidak siap” mengelola banyak faktor.
Saat itu, pemerintah mengakui ada kesalahan pada sistem PDNS, terutama terkait kebijakan penyimpanan data, meski terkesan ada pihak yang saling menyalahkan.
Pakar dan pakar TI menyoroti penggunaan perlindungan keamanan Windows Defender yang tidak cukup melindungi informasi penting pemerintah, serta kemungkinan serangan ransomware karena kecerobohan masyarakat.
Pemerintah bermaksud mengembalikan operasional PDNS Surabaya secara penuh pada Agustus mendatang dan telah meminta pihak ketiga untuk melakukan audit keamanan menyeluruh terhadap PDNS.
Para ahli mengatakan pejabat yang ceroboh dan menyebabkan kebocoran data di masa depan harus dilarang. Bagaimana serangan dimulai dan apa dampaknya?
Berdasarkan kronologi kejadian versi pemerintah, PDNS Surabaya awalnya berupaya menonaktifkan proteksi Windows Defender mulai 17 Juni pukul 23.15 WIB.
Aktivitas jahat tersebut telah berlangsung sejak 20 Juni pukul 00.54 WIB, antara lain menginstal file berbahaya, menghapus file sistem, dan memblokir layanan aktif. File yang terkait dengan penyimpanan tiba-tiba mulai menutup dan menutup.
Semenit kemudian, Windows Defender “crash” dan dikatakan tidak dapat dijalankan.
Pada tanggal 20 Juni, Badan Siber dan Sandi Negara (BSSN) mendapat laporan dari grup PT Sigma Cipta Caraka (Telkomsigma) sebagai pemasok PDNS di Surabaya bahwa tidak bisa mengakses seluruh layanan di lembaga tersebut.
Akibatnya, banyak layanan publik yang terganggu, termasuk migrasi dan pendaftaran siswa sekolah baru.
Setelah beberapa hari melakukan forensik digital, tim BSSN menemukan pada tanggal 23 Juni bahwa BrainCypher – varian dari ransomware Lockbit 3.0 – adalah penyebab insiden tersebut.
Pada dasarnya ransomware adalah salah satu jenis malware atau program jahat yang jika diinstal dapat mengunci file atau perangkat seperti komputer dan smartphone. Jika ingin mendapatkan password untuk membuka kunci, korban diminta membayar sejumlah tertentu.
Sementara itu, ransomware Lockbit pada dasarnya tidak mengunci file yang ada, melainkan mencurinya. Jika korban tidak membayar, pelaku dapat mengancam akan melepaskan data yang dicuri.
Pada 24 Juni lalu, Menteri Komunikasi dan Informatika Budi Ari Setiadi membenarkan bahwa pelaku serangan ransomware Brain Cipher terhadap PDNS Surabaya menuntut uang tebusan sebesar 8 juta dolar atau sekitar satu miliar rupiah 131,8 untuk membuka kunci data di fasilitas tersebut. .
Namun sejauh ini belum ada tanda-tanda data PDNS Surabaya juga dicuri. Cuma “terkunci” jadi tidak bisa diakses.
“Tentu kita tidak bisa yakin 100% bahwa [data] belum bocor karena proses forensik sedang berjalan, tapi yang kita tahu selama ini data itu ada di tempat yang disembunyikan [PDNS Surabaya],” kata Hinsa. , kata Kepala BSSN dalam rapat kerja dengan Komisi I DPR pada 27 Juni lalu.
“Jika Anda mengambil [berita], Anda akan melihat bahwa lalu lintas dari luar juga sangat besar. Informasinya banyak.”
Hingga 26 Juni, pemerintah melaporkan total 282 instansi pemerintah yang datanya tersimpan di PDNS Surabaya terkena serangan ransomware. Hal ini mencakup masukan dari departemen dan lembaga, serta pemerintah provinsi, kabupaten, dan kota.
Dari 282 organisasi, 239 organisasi mengalami gangguan pelayanan publik dan tidak memiliki cadangan data. Layanan 43 organisasi lainnya juga terganggu, namun dikatakan dapat pulih dengan cepat karena memiliki cadangan. Mengklaim cadangan
Dalam rapat kerja dengan Komisi I DPR pada 27 Juni lalu, pemerintah menjelaskan kerja dua PDNS di Indonesia yang masing-masing berada di Serpong, Banten, dan Surabaya, Jawa Timur.
PT Aplikanusa Lintasarta merupakan vendor atau penyedia jasa PDNS 1 Serpong.
Sementara itu, PT Sigma Cipta Caraka (Telkomsigma) – anak usaha PT Telkom Indonesia – memiliki vendor PDNS 2 di Surabaya dan cold storage atau data center di Batam, Kepulauan Riau.
Berdasarkan masukan dari Kementerian Komunikasi dan Informatika dan BSSN mengenai DPR, agar kedua PDNS saling terhubung dan membuat salinan atau copy informasi masing-masing, dengan cadangannya disimpan di cold storage Batam.
“Desain PDNS yang diberikan Kominfo dan BSSN sangat cocok jika implementasi dan pengelolaannya sesuai rencana,” kata Pratama Parsadha, pakar keamanan siber di Pusat Penelitian Keamanan Sistem Komunikasi dan Informasi (CISSREC).
Namun proses replikasinya belum tentu berkelanjutan karena begitu PDNS 2 bermasalah maka PDNS 1 akan mengambil alih, kemudian data PDNS 2 akan dikembalikan dari tempat yang dingin.
Silmi Karim, Direktur Jenderal Imigrasi Kementerian Hukum dan Hak Asasi Manusia, juga mengatakan data PDNS di departemennya tidak terulang kembali.
Menurut Silmi, pihaknya telah menyurati Kementerian Komunikasi dan Informatika sejak April untuk meminta salinan data tersebut, namun tidak digubris.
Oleh karena itu, Silmi meminta jajarannya terus memperbarui cadangan data di Pusat Data Keimigrasian (Pusdakim).
Sebenarnya [surat itu] tidak dibalas. Makanya kami siapkan untuk Pusadakim, kata Silmi pada 28 Juni, dilansir Kompas.com.
Karena kami memiliki cadangan data sendiri, layanan imigrasi dapat pulih dengan cepat setelah terganggu oleh serangan ransomware di PDNS Surabaya.
Kepala BSSN Hinsa Siburian mengatakan, data di PDNS Surabaya yang didukung di zona dingin Batum hanya 2% saja.
Karena itu, pengguna layanan PDNS dan Kementerian Komunikasi dan Informatika disebut tidak mematuhi Peraturan BSSN No. 4/2021.
Pasal 35 ayat 2e beleid tersebut menyebutkan bahwa salah satu syarat untuk memenuhi standar teknis keamanan pusat data nasional adalah “pencadangan informasi dan perangkat lunak pusat data nasional secara berkala”.
“Secara umum kami lihat, mohon maaf Pak Menteri [Budi Ari Setiadi], kendala utamanya adalah sistemnya – ini hasil pemeriksaan kami – dan tidak adanya cadangan,” kata Hinsa.
Mutya Hafid, Ketua Komisi I DPR, bereaksi keras terhadap hal tersebut.
“Kalau tidak ada cadangan, itu bukan urusan [pemerintah],” kata Meutya.
“Ini konyol,” tambahnya.
Di sisi lain, Menteri Budi dan Samuel Abrijani Pangerapan selaku Direktur Jenderal Permohonan Informasi Kementerian Komunikasi dan Informatika menegaskan keputusan penyimpanan data ada di tangan organisasi pengguna PDNS.
Kementerian Komunikasi dan Informatika, kata Samuel, hanya berperan sebagai pengolah, bukan pengontrol data, sehingga tidak berhak melihat data yang ada.
“Jadi kami menyediakan peralatannya dan setiap mereka menggunakan jasa kami mereka ada kontraknya,” kata Samuel.
Salah satu syarat perjanjiannya adalah pengguna layanan PDNS harus “menjaga data secara mandiri”.
Masalahnya, kata Budi, banyak pengguna layanan PDNS yang tidak membackup informasinya.
Banyak instansi pemerintah, kata Budi, sering mengalami kesulitan mendanai infrastruktur cadangan karena keterbatasan anggaran atau “kesulitan membuat auditor memahami” pentingnya menyimpan informasi.
Belum jelas apakah anggaran “infrastruktur cadangan” yang dimaksud Budi ditujukan untuk PDNS atau penyimpanan data di pusat data internal masing-masing instansi.
“Sebagai catatan, sejak terbitnya Perpres Nomor 39 Tahun 2019 tentang Data Indonesia, instansi pemerintah tidak diperbolehkan membeli server secara bebas dan harus menyimpan datanya di data nasional,” kata Pratama dari CISSREC.
Sementara itu, saat ditanya anggota Komisi DPR soal kebijakan penyimpanan data, Direktur Administrasi dan Operasional TelkomSigma I Wayan Sukerta mengatakan, pihaknya sudah sepakat dengan syarat kerja sebagai reseller PDNS Surabaya.
“Untuk kinerja, kami juga mengikuti standar pelayanan yang ditetapkan Kominfo,” kata Wynne.
Tentu saja cadangannya harus ada permintaan tiket yang dikirim oleh tuan rumah [pengguna layanan PDNS]. Beberapa kejutan
Pratama Persadha, pakar keamanan siber di CISSREC, mempertanyakan penggunaan Windows Defender, alat antivirus bawaan sistem operasi Windows untuk PDNS.
Selain itu, Menteri Keuangan Bapak Mulyani Indrawati menyampaikan bahwa Kementerian Komunikasi dan Informatika telah mengalokasikan dana sebesar Rp700 miliar untuk pembangunan Pusat Informasi Nasional pada tahun 2024.
“Windows Defender tetap bisa digunakan untuk proyek rumahan atau usaha kecil, meski data center dengan anggaran Rp 700 miliar sebaiknya tidak menggunakan tools bawaan sistem operasi,” kata Pratama.
Menurutnya, masih banyak alat keamanan siber lain yang bisa menjadi pilihan. Cara lain juga dapat digunakan untuk meningkatkan tingkat keamanan, dengan membatasi akses atau menggunakan metode autentikasi multifaktor.
Ronal Gorba Timothy, kepala IT di kedai kopi lokal, mengatakan hal serupa.
Bagi pengguna komputer pribadi saja, mereka menilai Windows Defender saja tidak cukup, terutama untuk pusat data pemerintah.
Soal pilihan sistem operasi, Ronal juga merasa Linux lebih aman dibandingkan Windows dan banyak digunakan untuk server data.
Ia mengatakan bahwa Windows adalah sistem operasi paling populer di dunia. Namun, karena itu, lebih banyak serangan cyber yang menargetkan Windows dibandingkan serangan cyber lainnya. Dengan demikian, tingkat keamanan yang dibutuhkan juga meningkat.
“Kalau developer fokus menggunakan ekosistem Windows, boleh saja, tapi software yang digunakan untuk mendukungnya juga harus memadai,” kata Ronald.
Sementara itu, Siptoning Hestomo, manajer TI pada awal anggaran, terus berpikir bahwa pemerintah tidak memiliki cukup cara untuk menyimpan informasi.
Dikatakannya, backup data merupakan kebutuhan pokok manusia seperti halnya makanan.
“Pemeriksaan itu sebenarnya rutinitas, harusnya ada, bukan yang diwajibkan undang-undang,” kata Siptoning. “Selain itu, data suatu negara dilindungi.”
“Jadi sepertinya pemerintah sendiri tidak memahami apa yang mereka lakukan.”
Ronal mengatakan, perusahaan kecil mandiri pun biasanya memiliki proses backup data secara berkala minimal satu kali dalam sehari.
“Jadi, kalau ada serangan ransomware misalnya, yang hilang hanya data hari terakhir. Itu yang paling parah,” kata Ronald.
Selain itu, Ronal dan Syptoning menyoroti serangan ransomware yang seringkali disebabkan oleh kecerobohan pengguna komputer dengan mengklik link yang tidak terlihat atau membuka aplikasi yang berisi program jahat.
Sehingga wajar, kata dia, jika masyarakat mencurigai aparat PDNS ceroboh dalam membiarkan ransomware menyusup ke sistem lembaga tersebut, padahal hal ini perlu diverifikasi lebih lanjut.
Dalam rapat kerja dengan Komisi I DPR pada 27 Juni, Ketua Komisi I DPR Mutya Hafid menanyakan hal tersebut kepada Kepala BSSN Hinsa Siburian.
Hal ini baru bisa terjawab setelah hasil pemeriksaan forensik menyeluruh keluar,
Pratama menyebut, kejadian tersebut menunjukkan “ketidaksiapan pemerintah”, baik dalam mengelola informasi dalam jumlah besar maupun menangani permasalahan jaringan.
“Respon pemerintah belum bisa dikatakan baik, karena kerusuhan sejak 20 Juni baru diumumkan ke publik pada 24 Juni dan itu merupakan gejala awal,” kata Pratama.
“Sepertinya pemerintah ingin mencoba memperbaikinya dulu agar masyarakat tidak tahu apa masalahnya sebenarnya.” Tinjauan menyeluruh
Menteri Komunikasi dan Informatika Budi Ari Setiadi dalam wawancaranya dengan Komisi I DPR mengatakan, pemerintah telah menyusun kebijakan jangka pendek, jangka menengah, dan jangka panjang terkait layanan penyandang disabilitas di berbagai instansi pemerintah.
Rencana jangka pendeknya akan dilaksanakan pada 20 Juni hingga 30 Juli.
Terkait dengan penyelenggaraan Pusat Penerangan Nasional, tenggelam dalam rencana segera mengeluarkan peraturan kabinet baru yang mengharuskan seluruh instansi pemerintah menjaga informasinya secara berkala.
Jadi wajib, bukan cara-cara lain yang dulu, kata Budi.
Sesegera mungkin, Senin, [1 Juli] saya akan menandatangani perintah layanan.
Proses peradilan akan berlanjut hingga minggu pertama bulan Juli. Tujuannya adalah untuk menyelesaikan perolehan layanan dan layanan pilihan dengan menyimpan cadangan data pada akhir Juli.
Dalam kebijakan jangka menengah, Kementerian Komunikasi dan Informatika menetapkan batas waktu pada minggu kedua bulan Agustus untuk menyelesaikan layanan PDNS di Surabaya, melaksanakan rekomendasi hasil forensik, menyempurnakan proses, dan meninjau sistem PDNS. .
Untuk kebijakan jangka panjang, pihak ketiga tersendiri akan melakukan audit keamanan terhadap PDNS pada minggu keempat bulan September, dan rencananya hasil audit tersebut akan dilakukan mulai minggu keempat bulan November.
Pada 28 Juni, dalam rapat terbatas di Istana Negara, Jakarta, Presiden Djoko Vidodo memerintahkan pengelolaan Pusat Informasi Nasional kepada Kantor Direktur Keuangan dan Pembangunan (BPKP).
“Kami diperintahkan untuk memeriksa ke otoritas PDN. Sistemnya sama,” kata Kepala BPKS Muhammad Yusuf usai rapat terbatas.
Pakar keamanan siber CSEC Pratama Parshada mengingatkan pemerintah untuk menerapkan sistem keamanan berlapis jika kejadian serupa terulang kembali di masa mendatang.
Hal ini termasuk memastikan program API error, menulis data ke server, dan memilih sistem keamanan siber yang tepat.
Manajer Pusat Data juga harus memelihara cadangan di brankas data, memperbarui sistem secara rutin, dan menerapkan strategi pemulihan bisnis setelah bencana.
Pemerintah diharapkan memperkuat peran dan fungsi Badan Siber dan Sandi Negara (BSSN), serta otorisasi bagi pengelola lembaga pendidikan yang memiliki situs pemerintah atau peretasan.
Apalagi jika hasilnya berupa kebocoran data pribadi masyarakat, maka [pengelola situs] bisa mendapat sanksi administratif seperti teguran dan syarat karena dianggap lalai mengelola situs tersebut, kata Pratama.