Petinggi Kominfo mundur 'sebagai tanggung jawab moral' setelah Pusat Data Nasional diretas

Direktur Jenderal Aplikasi Informatika (Dirjen Aptika) Kementerian Komunikasi dan Informatika (Kominfo), Semuel Pangerapan, mengumumkan pengunduran dirinya setelah insiden ransomware yang menyerang Pusat Data Nasional Sementara (PDNS) baru-baru ini.

"Ini merupakan tanggung jawab moral saya, karena secara teknis, masalah PDN ini seharusnya bisa saya tangani dengan baik," kata Semuel dalam konferensi pers yang digelar di kantor Kominfo pada Kamis (04/07), sebagaimana dikutip dari Kompas.com.

Semuel juga mengatakan bahwa saat ini Kominfo dan pihak terkait lainnya sedang melakukan pemulihan secara berkala sehingga PDN yang terkena ransomware pulih total.

Ia juga menyebutkan bahwa Kominfo sudah mencoba kunci enkripsi gratis yang diberikan peretas PDN.

Namun, Semuel mengaku belum bisa memastikan apakah PDN bisa pulih segera atau tidak.

"Semalam kami mencoba kunci tersebut, dan berfungsi. Tapi, data-data yang dikunci itu banyak, jadi saya masih belum tahu itu prosesnya bagaimana," tambah Semuel.

Pengumuman pengunduran diri Semuel Pangerapan mengemuka setelah kelompok Brain Cipher meminta maaf.

Kelompok itu mengeklaim bertanggung jawab atas serangan ransomware terhadap Pusat Data Nasional Sementara (PDNS) di Surabaya, Jawa Timur, dan berjanji akan memberikan kunci untuk membuka akses data-data pemerintah yang dienkripsi di fasilitas itu secara cuma-cuma.

Brain Cipher menegaskan tidak ada motif politis di balik serangannya dan meminta maaf kepada publik Indonesia.

Hal itu mereka lakukan karena aksinya telah memengaruhi banyak orang.

Pernyataan tertulis kelompok itu dilaporkan StealthMole, organisasi intelijen yang memantau ancaman dark web, di akun X-nya pada Selasa pagi (02/07).

"Rabu ini, kami akan memberikan pada Anda kuncinya secara cuma-cuma," tulis Brain Cipher.

"Kami berharap serangan kami membuat Anda paham betapa pentingnya membiayai industri ini dan merekrut spesialis yang berkualifikasi."

Selain itu, Brain Cipher meminta ada pernyataan terbuka kepada publik yang menunjukkan rasa terima kasih kepada mereka dan mengonfirmasi bahwa mereka "secara sadar dan independen telah mengambil keputusan ini".

"Jika perwakilan pemerintah merasa salah berterima kasih pada peretas, Anda bisa melakukannya secara privat melalui kantor pos," tambahnya.

Di hari yang sama dengan munculnya pernyataan Brain Cipher, beredar kabar pula bahwa sebuah akun bernama "aptikakominfo" menjual data-data milik Kementerian Komunikasi dan Informatika seharga US$121.000 (Rp1,98 miliar) di forum hacker BreachForums.

Data yang dijual mencakup data pribadi, lisensi software sistem keamanan, dan dokumen kontrak dari Pusat Data Nasional dari 2021 hingga 2024, merujuk laporan Falconfeeds.io, organisasi intelijen keamanan siber, di akun X-nya.

Belum jelas apakah data yang dijual terkait dengan serangan ransomware yang dilakukan Brain Cipher terhadap PDNS di Surabaya.

Hingga tulisan ini tayang, belum ada tanggapan dari pemerintah terkait pernyataan Brain Cipher dan dijualnya data Kementerian Komunikasi dan Informatika di BreachForums.

Sebelumnya, pakar keamanan siber dan praktisi teknologi informasi menyoroti berbagai kejanggalan terkait serangan ransomware terhadap PDNS di Surabaya yang mengganggu layanan ratusan instansi pemerintah.

Kejanggalan yang dimaksud mencakup lemahnya sistem keamanan, tidak adanya kebijakan backup data yang memadai, dan kemungkinan adanya kelalaian manusia yang menyebabkan terjadinya serangan ransomware.

Pemerintah menargetkan operasi PDNS Surabaya pulih sepenuhnya pada Agustus dan meminta pihak ketiga melakukan audit menyeluruh soal keamanan PDNS.

Pakar bilang mesti ada sanksi bagi pejabat yang teledor dan menyebabkan bocornya data masyarakat di masa depan.

Bagaimana serangan ke PDNS Surabaya bermula dan apa dampaknya?

Menurut kronologi versi pemerintah, mulanya ada upaya untuk menonaktifkan fitur keamanan Windows Defender di PDNS Surabaya sejak 17 Juni, pukul 23.15 WIB.

Aktivitas membahayakan lalu berlangsung sejak 20 Juni, pukul 00.54 WIB, termasuk instalasi file berbahaya, penghapusan file sistem penting, dan penonaktifan layanan yang sedang berjalan. File yang terkait dengan storage atau penyimpanan mulai dimatikan dan tertutup tiba-tiba.

Semenit berselang, Windows Defender disebut mengalami "crash" dan tidak bisa beroperasi.

Pada 20 Juni, Badan Siber dan Sandi Negara (BSSN) mendapat laporan dari tim PT Sigma Cipta Caraka (Telkomsigma) selaku vendor PDNS Surabaya bahwa seluruh layanan di fasilitas itu tidak bisa diakses.

Imbasnya, sejumlah layanan publik termasuk yang terkait imigrasi dan pendaftaran pelajar sekolah baru jadi terganggu.

Setelah melakukan forensik digital selama beberapa hari, tim BSSN pada 23 Juni menemukan bahwa Brain Cipher ada di balik insiden tersebut.

Brain Cipher adalah kelompok peretas yang beraksi menggunakan varian ransomware LockBit 3.0.

Secara umum, ransomware adalah jenis malware atau program berbahaya yang bila terinstal dapat mengunci file atau gawai seperti komputer dan ponsel pintar. Bila ingin mendapat sandi untuk membuka kuncinya, korban biasanya diminta untuk membayar sejumlah uang.

Sementara itu, secara khusus ransomware LockBit biasanya tak sekadar mengunci file yang ada, tapi juga mencurinya. Bila korban tak membayar, pelaku bisa mengancam untuk menyebarkan data yang telah diambil.

Pada 24 Juni, Menteri Komunikasi dan Informatika, Budi Arie Setiadi, mengonfirmasi bahwa pelaku serangan ransomware ke PDNS Surabaya memang meminta uang tebusan US$8 juta atau sekitar Rp131,8 miliar untuk membuka gembok pada data-data di fasilitas itu.

Namun, hingga kini, belum ada indikasi bahwa data-data di PDNS Surabaya juga telah dicuri. Ia "hanya" dikunci sehingga tidak bisa diakses.

"Tentunya belum bisa kita pastikan 100% tidak bocor [datanya] karena proses forensiknya masih jalan, tapi sampai saat ini yang kita tahu data itu ada di dalam [PDNS Surabaya] dalam keadaan terenkripsi," kata Kepala BSSN, Hinsa Siburian, saat rapat kerja dengan Komisi I DPR pada 27 Juni.

"Kalau itu diambil [datanya], akan kelihatan traffic keluarnya juga besar. Itu kan datanya cukup banyak."

Baca juga:

Per 26 Juni, pemerintah mencatat ada total 282 instansi pemerintah yang datanya tersimpan di PDNS Surabaya sehingga terdampak serangan ransomware. Ini mencakup data kementerian dan lembaga, serta pemerintah provinsi, kabupaten, dan kota.

Dari 282 instansi itu, ada 239 yang layanan publiknya terganggu dan tidak memiliki backup data. Layanan 43 instansi lainnya juga terkendala, tapi disebut bisa segera pulih karena memiliki backup.

Saling menyalahkan soal backup

Saat rapat kerja dengan Komisi I DPR pada 27 Juni lalu, pemerintah menjelaskan cara kerja dua PDNS milik Indonesia yang masing-masing terletak di Serpong, Banten, dan Surabaya, Jawa Timur.

PT Aplikanusa Lintasarta adalah vendor atau penyedia layanan untuk PDNS 1 di Serpong.

Sementara itu, PT Sigma Cipta Caraka (Telkomsigma) – anak usaha BUMN PT Telkom Indonesia – adalah vendor PDNS 2 di Surabaya dan sebuah cold site atau fasilitas backup data di Batam, Kepulauan Riau.

Berdasarkan materi presentasi Kementerian Komunikasi dan Informatika serta BSSN di DPR, dua PDNS tersebut seharusnya terhubung dan saling mereplikasi atau membuat salinan data, sekaligus menyimpan backup di cold site di Batam.

"Desain PDNS seperti yang di-release oleh Kominfo serta BSSN sebetulnya sudah ideal jika memang implementasi serta pengelolaannya sesuai dengan desain tersebut," kata Pratama Persadha, pakar keamanan siber dari Communication and Information System Security Research Center (CISSReC).

"Namun, kenyatannya proses replikasi tidak berjalan karena seharusnya begitu PDNS 2 mengalami gangguan, maka PDNS 1 akan mengambil alih, kemudian data di PDNS 2 akan dipulihkan dari cold site."

Silmy Karim, Direktur Jenderal Imigrasi Kementerian Hukum dan HAM, juga sempat mengatakan bahwa data kementeriannya di PDNS tidak direplikasi.

Menurut Silmy, pihaknya telah mengirim surat kepada Kementerian Kominfo sejak April untuk meminta datanya direplikasi, tapi tidak digubris.

Maka, Silmy meminta stafnya terus membarui backup data internal di Pusat Data Keimigrasian (Pusdakim) untuk berjaga-jaga.

"Memang tidak dijawab [suratnya]. Makanya kita siapkan di Pusdakim,” kata Silmy pada 28 Juni, seperti dilaporkan Kompas.com.

Lantaran punya backup data sendiri, layanan keimigrasian bisa relatif cepat pulih setelah sempat terkendala karena serangan ransomware terhadap PDNS Surabaya.

Kepala BSSN, Hinsa Siburian, mengatakan hanya 2% data yang ada di PDNS Surabaya yang telah memiliki backup di cold site di Batam.

Karena itu, para pengguna layanan PDNS serta Kementerian Kominfo disebut tidak mematuhi Peraturan BSSN Nomor 4/2021.

Pasal 35 ayat 2e di peraturan itu menyebutkan bahwa salah satu syarat untuk memenuhi standar teknis keamanan pusat data nasional adalah dengan "melakukan backup informasi dan perangkat lunak yang berada di pusat data nasional secara berkala".

"Memang kami melihat secara umum, mohon maaf Pak Menteri [Budi Arie Setiadi], permasalahan utama adalah tata kelola – ini hasil pengecekan kita – dan tidak adanya backup," kata Hinsa.

Meutya Hafid, Ketua Komisi I DPR, menanggapi hal ini dengan keras.

"Kalau enggak ada backup sih itu bukan [soal] tata kelola," kata Meutya.

"Ini masalah kebodohan," tambahnya.

Baca juga:

Di sisi lain, Menteri Budi dan Semuel Abrijani Pangerapan selaku direktur jenderal aplikasi informatika Kementerian Kominfo, berkeras mengatakan bahwa keputusan melakukan pencadangan data ada di tangan para instansi pengguna PDNS.

Kementerian Kominfo, kata Semuel, hanya bertindak sebagai prosesor, bukan pengendali data, sehingga tidak berhak melihat data yang ada.

"Jadi kami [hanya] kasih fasilitasnya, dan tiap kali mereka menggunakan fasilitas kami, ada kontraknya," kata Semuel.

Salah satu ketentuan di kontrak itu adalah para pengguna layanan PDNS wajib "melakukan backup data secara mandiri", tambahnya.

Masalahnya, kata Budi, tidak banyak pengguna layanan PDNS yang mencadangkan datanya.

Sejumlah instansi pemerintahan, kata Budi, kerap kesulitan mengalokasikan dana untuk pengadaan "infrastruktur backup" karena keterbatasan anggaran atau "kesulitan menjelaskan" kepada auditor soal pentingnya mencadangkan data.

Tidak jelas apakah dana untuk "infrastruktur backup" yang dimaksud Budi adalah untuk menyimpan data di PDNS atau di pusat data internal masing-masing instansi.

Sebagai catatan, sejak terbitnya Peraturan Presiden Nomor 39/2019 tentang satu data Indonesia, instansi pemerintah tidak boleh melakukan pembelian server secara mandiri dan wajib menyimpan datanya di pusat data nasional, kata Pratama dari CISSReC.

Sementara itu, saat dicecar para anggota Komisi I DPR soal kebijakan backup data, I Wayan Sukerta, Direktur Delivery dan Operasi Telkomsigma, mengatakan pihaknya hanya mengikuti kerangka acuan kerja sebagai vendor untuk PDNS Surabaya.

"Untuk sisi operasinya sendiri, pelaksanaannya itu kita juga mengikuti prosedur layanan yang ditetapkan oleh Kominfo," kata Wayan.

"Memang backup itu harus ada permintaan tiket yang disampaikan oleh tenant [pengguna layanan PDNS]."

Beberapa kejanggalan

Pratama Persadha, pakar keamanan siber dari CISSReC, mempertanyakan penggunaan Windows Defender, aplikasi antivirus bawaan sistem operasi Windows untuk PDNS.

Apalagi, Menteri Keuangan Sri Mulyani Indrawati sempat mengatakan bahwa Kementerian Komunikasi dan Informatika mendapat alokasi dana Rp700 miliar untuk pengembangan pusat data nasional pada 2024.

"Meskipun Windows Defender masih bisa dipergunakan untuk keperluan rumahan atau untuk industri kecil, tidak seharusnya sebuah data center dengan nilai anggaran sebesar Rp700 miliar masih menggunakan perangkat bawaan sistem operasi," kata Pratama.

Menurutnya, masih banyak pilihan perangkat keamanan siber lainnya yang bisa menjadi opsi. Cara-cara lain pun bisa digunakan untuk menambah lapisan keamanan, entah dengan pengaturan akses ataupun penggunaan metode autentikasi multifaktor.

Ronal Gorba Timothy, kepala divisi IT di sebuah jaringan kedai kopi lokal, menyampaikan hal senada.

Untuk pengguna komputer individu saja, ia menilai Windows Defender tidak cukup, apalagi untuk sebuah pusat data yang dikelola pemerintah.

Terkait pilihan sistem operasi, Ronal pun merasa Linux lebih aman daripada Windows dan lebih umum digunakan untuk sebuah server data.

Ia bilang Windows memang sistem operasi paling populer di dunia. Namun, karena itu pula jenis serangan siber yang mengincar Windows lebih banyak dibanding yang lainnya. Maka, lapisan keamanan yang diperlukan juga berlipat.

"Kalau pengembangnya memang fokusnya pakai ekosistem Windows ya enggak apa-apa, tapi software-software yang digunakan untuk mendukung itu harus memadai juga," kata Ronal.

Baca juga:

Sementara itu Ciptoning Hestomo, manajer IT di sebuah startup keuangan, tidak habis pikir melihat pemerintah tidak memiliki prosedur backup data yang memadai.

Ia bilang backup data adalah kebutuhan yang sangat mendasar, layaknya makan bagi manusia.

"Backup itu sebenarnya default, sudah harus ada, bukan sesuatu yang harus diwajibkan dengan peraturan," kata Ciptoning. "Apalagi yang dijaga kan data satu negara."

"Jadinya pemerintah seakan enggak mengerti apa yang mereka buat sendiri."

Ronal bilang, bahkan perusahaan swasta kecil sekalipun biasanya punya prosedur backup data rutin dengan frekuensi paling tidak sekali setiap hari.

"Jadi, kalau misalnya ada serangan ransomware, data yang hilang ya data hari terakhir saja. Paling buruknya begitu," ujar Ronal.

Di luar itu semua, Ronal dan Ciptoning menyoroti serangan ransomware yang biasanya terjadi karena kelalaian pengguna komputer mengeklik tautan tidak jelas atau membuka aplikasi yang berisi program berbahaya.

Maka wajar, kata mereka, bila publik curiga ada keteledoran petugas PDNS yang membuat ransomware menyusup ke sistem di fasilitas itu, meski hal ini perlu dibuktikan lebih jauh.

Saat rapat kerja dengan Komisi I DPR pada 27 Juni, Meutya Hafid, Ketua Komisi I DPR, sempat menanyakan hal ini kepada Kepala BSSN Hinsa Siburian.

Hinsa hanya bilang itu bisa terjawab bila hasil audit forensik menyeluruh telah keluar.

Yang pasti, Pratama mengatakan kejadian ini menunjukkan "ketidaksiapan pemerintah", entah dalam mengelola data berjumlah besar ataupun menghadapi krisis siber.

"Respons pemerintah tidak dapat dikatakan baik-baik saja, karena gangguan yang sudah terjadi sejak tanggal 20 Juni baru diumumkan kepada masyarakat pada tanggal 24 Juni dan itupun baru sebatas indikasi awal," kata Pratama.

"Hal ini seolah-olah pemerintah ingin mencoba memperbaiki terlebih dahulu supaya tidak diketahui publik apa masalah yang sebenarnya."

Audit menyeluruh

Dalam paparannya di Komisi I DPR, Menteri Komunikasi dan Informatika Budi Arie Setiadi mengatakan pemerintah telah menyiapkan strategi pemulihan jangka pendek, menengah, dan panjang terkait lumpuhnya layanan berbagai instansi pemerintah.

Strategi jangka pendek dijadwalkan berlangsung sejak 20 Juni hingga 30 Juli.

Budi berencana segera menerbitkan Keputusan Menteri baru soal penyelenggaraan pusat data nasional, yang salah satunya mewajibkan seluruh instansi pemerintah untuk mencadangkan datanya secara rutin.

"Jadi sifatnya mandatori, bukan opsional seperti sebelumnya," kata Budi.

"Paling lambat, Senin, [1 Juli] Kepmen akan saya tanda tangani."

Proses forensik akan berlangsung hingga pekan pertama Juli. Pemulihan layanan prioritas dan layanan yang memiliki backup data ditargetkan rampung pada akhir Juli.

Pada strategi jangka menengah, Kementerian Kominfo memasang tenggat pada pekan kedua Agustus untuk pemulihan sepenuhnya layanan PDNS Surabaya, implementasi rekomendasi hasil forensik, perbaikan prosedur, dan evaluasi tata kelola PDNS.

Untuk strategi jangka panjang, pihak ketiga independen akan melakukan audit keamanan PDNS hingga pekan keempat September dan, rencananya, hasil audit akan dijalankan mulai pekan keempat November.

Pada 28 Juni, saat rapat terbatas di Istana Negara, Jakarta, Presiden Joko Widodo juga memerintahkan Badan Pengawasan Keuangan dan Pembangunan (BPKP) untuk mengaudit tata kelola pusat data nasional.

"Disuruh audit tata kelola PDN. Tata kelolanya sama finansialnya,” kata Kepala BPKS Muhammad Yusuf seusai rapat terbatas itu.

Pratama Persadha, pakar keamanan siber dari CISSReC, mengingatkan pemerintah untuk menerapkan sistem keamanan berlapis bila tidak ingin kejadian yang sama terulang lagi ke depan.

Ini termasuk memastikan tidak ada kesalahan pemrograman API, mengenkripsi data di server, dan memilih sistem keamanan siber yang tepat.

Pengelola pusat data juga harus memiliki backup di brankas data luring, selalu melakukan update aplikasi, dan menerapkan strategi kelangsungan usaha pascakrisis.

Pemerintah pun diharapkan menguatkan peran dan fungsi Badan Siber dan Sandi Negara (BSSN), sekaligus menyiapkan sanksi kepada pengelola situs pemerintah atau situs akademis yang mengalami peretasan.

"Apalagi yang sampai mengakibatkan bocornya data pribadi masyarakat, [pengelola situs bisa mendapat] sanksi administratif seperti peringatan sampai kepada demosi jabatan karena dianggap lalai dalam mengelola situs tersebut," kata Pratama.