Oleh: Dr. KRMT Roy Suryo
Hari ini, Kamis, 27/06/2024, Komisi 1 DPR-RI menggelar rapat kerja dengan memanggil Menkominfo (Menteri Komunikasi & Informatika) Budi Arie Setiadi dan Kepala BSSN (Badan Siber & Sandi Negara) Hinsa Siburian terkait lumpuhnya PDNs-2 (Pusat Data Nasional sementara-2) yang sudah memasuki hari ke-7 sejak 20/06/2024. Rapat dimulai molor 20 menit dari rencana semula pukul 16.00 dan dipimpin langsung oleh Ketua Komisi, Meutya Hafidz (FGolkar) didampingi Abdul Kharis Almasyhari (FPKS).
Banyak statement dan jawaban dari Menkominfo dan Kepala BSSN dalam rapat tersebut yang membuat yang mendengar geleng-geleng kepala, bukan mau meniru gaya “Ela elo” (baca: Gela-gelo alias plongah-plongoh, seperti kebiasaan Pemerintah selama ini), namun memang jawaban dari kedua pihak yang bertanggung jawab atas tragedi yang dialami oleh PDNs-2 saat ini memang membagongkan, alias membuat terkejut atau membingungkan. Bagaimana tidak? Keduanya sama sekali tidak tampak menguasai masalah dan cenderung saling lempar tanggung jawab.
Dimulai dari statement apa yang akan dilakukan oleh Kemkominfo pasca tragedi peretasan dengan jenis ransomware Brain Chiper Lockbit 3.0 tersebut, Budi AS hanya mempresentasikan tiga langkah (jangka pendek, menengah, dan panjang), di mana periode waktunya adalah sampai dengan 6 bulan ke belakang. Come on, ini sudah era IT, di mana orang berpikir industri 4.0 bahkan society 5.0 yang hitungannya adalah per-detik, bahkan nano detik hingga pico detik, kok masih hitungan bulan? Katrok, kalau kata netizen jika mendengar ini semua.
Jadi, solusi yang ditawarkan oleh Kemkominfo selama 6 bulan ke depan tersebut sama sekali sangat tidak memuaskan, karena jangka pendek sebulan ke depan hanya melakukan inventarisasi dan recovery aset. Kemudian jangka pendek 3 bulan melakukan full-recovery, re-deploy, dan perbaikan SOP. Baru 6 bulan mendatang melakukan audit keamanan dan implementasi audit. Solusi yang ditawarkan Menteri yang terpilih berdasarkan pengalamannya selaku Ketua Relawan ProJo ini benar-benar sangat KuDet (= kurang update) di tengah zaman yang sudah memasuki era IoT (Internet of Things), big data, bahkan menggunakan AI (artificial intelligence) saat ini.
Jadi, statement Lodewijk F. Paulus (FGolkar) yang mengambil istilah dalam dunia otomotif “one step ahead” dalam rapat kerja tadi benar-benar jauh bisa dipenuhi oleh Kemkominfo dan BSSN, karena presentasinya bahkan seperti “two-or-three steps behind”. Jelas Indonesia selalu akan ketinggalan langkah oleh para penjahat cyber dan menjadi bulan-bulanan di kemudian hari yang lagi-lagi korbannya adalah rakyat semua. Demikian juga pandangan serupa dari TB Hasanuddin (FPDIP) yang mengistilahkan obyek vital di masa lalu, data sekarang adalah sangat vital dan tampaknya Pemerintah tidak mampu mengelola semua data viral ini. Beliau sampai-sampai menyebut kasus ini sebagai “kebodohan nasional”.
Bagaimana tidak, diakui oleh BSSN bahwa hanya tinggal 2% (baca: dua persen) saja data yang tersisa dari peretasan PDNs-2 minggu lalu, alias 98% sudah rusak terenkripsi. Secara rinci dari 239 talent yang terdampak, 30 adalah kementerian atau lembaga, 15 provinsi, 148 kabupaten, dan 46 kota yang kesemuanya tidak bisa diakses lagi. Sedangkan 5 talent yang disebut-sebut “pulih” (KemenkumHAM migrasi, Kemenko Marves event, Kemenag siHalal, LKPP, dan Kota Kediri) sebenarnya “selamat” karena masih punya data backup-nya sendiri-sendiri di server lama yang masih dimilikinya, alias bukan yang berada di PDNs-2 yang diserang tersebut.
Artinya, meski ada cloud-storage di Batam dan PDNs-1 di Serpong, dan yang disebut-sebut diserang hanya PDNs-2 Surabaya, faktanya sebagian besar data penting Republik ini bisa dikuasai oleh hacker dan sekarang dalam kondisi terenkripsi sekaligus dimintakan tebusan senilai USD 8 juta (senilai Rp 132 miliar). Kalau melihat aturan dalam UU No. 27/2022 tentang PDP (Perlindungan Data Pribadi) Pasal 26 dan 27, seharusnya Pemerintah bertanggung jawab karena gagal dalam melakukan perlindungan data-data tersebut, alias tidak hanya bisa “ngeles” saja dan terkesan saling lempar tanggung jawab seperti sekarang ini.
Khusus untuk sikap menghadapi pihak peretas, saya memang mendukung Pemerintah untuk tidak membayar tebusan tersebut, karena pasti akan hilang uangnya dikarenakan tidak ada jaminan data dikembalikan, apalagi transaksi pasti menggunakan cryptocurrency (Bitcoin) yang tidak bisa dilacak. Sekali lagi di sini saya sangat mengecam oknum yang masih mendorong Pemerintah untuk mau membayarnya, sebagaimana saran si “Y” yang disebut-sebut “pakar” dari ITB pengembang SIREKAP dalam sarannya di media online mainstream kemarin. Pantas saja SIREKAP amburadul dan menjadi alat kecurangan/kejahatan Pemilu -menurut berbagai pakar IT independen- karena sikapnya patut dicurigai seperti ini, apalagi si “Y” ini juga sempat menjadi saksi ahli yang diajukan KPU dalam sidang di MK, berbahaya.
Namun meski data terenkripsi dan secara fisik PDNs-2 masih di Surabaya, tidak berarti data-data tersebut aman seperti statement Kemkominfo dan BSSN yang tampak “bangga” sudah memutus akses PDNs-2. Di sinilah saya mengkritisi keras statement yang hanya “Ela Elo” saja, malah tampak santai mensimplifikasi tragedi ini, karena peretas yang berhasil masuk dan meretas sistem dipastikan sebelum mengenkripsi pasti sudah meng-copy semua data-data tersebut ke server miliknya guna backup bilamana ransomnya dipenuhi. Secara kronologis dia akan melakukan empat hal berikut: 1. Akses data, 2. Mencuri data, 3. Enkripsi data, dan 4. Meminta tebusan. Dengan metode ini, peretas tidak hanya memiliki kontrol atas data yang terenkripsi tetapi juga memiliki salinan data tersebut yang dapat digunakan sebagai komoditas untuk dijual di pasar gelap.
Kesimpulannya, kasus ini adalah tragedi alias bencana besar bagi Indonesia, tidak bisa dianggap enteng apalagi dipandang sebelah mata. Data-data publik yang sekarang dienkripsi tersebut aslinya sudah dicuri dan siap dibocorkan sewaktu-waktu, alias menjadi bom waktu di kemudian hari. Dapat dibayangkan data tersebut meliputi data kependudukan, kesehatan, keuangan, bahkan intelijen dan sebagainya seperti data-data BPJS-Kesehatan, Kemenhub, KPU, INAFIS, BAIS-TNI, dan sebagainya yang sudah bocor. Jadi, kalau tadi di rapat kerja DPR disebut ada dampak?, ini bukan lagi minor atau major, tetapi sudah kritis. Seharusnya penanggung jawab semua ini, yakni Menkominfo Budi Arie Setiadi, mundur sebagaimana petisi SafeNet saat ini…
* Dr. KRMT Roy Suryo – Pemerhati Telematika, Multimedia, AI & OCB Independen