Oleh HAFIED RUM, MSc, analis senior bidang ekonomi digital di Manajemen Eksekutif Komite Nasional Ekonomi dan Keuangan Syariah (KNEKS) 

Pada 20 Juni 2024 diberitakan bahwa terdapat gangguan sistem pengecekan imigrasi di Bandara Internasional Soekarno-Hatta yang berimbas pada antrian panjang di pintu imigrasi. Kemudian Badan Siber dan Sandi Negara (BSSN) menyampaikan bahwa gangguan tersebut diakibatkan oleh adanya serangan ransomware pada Pusat Data Nasional Sementara (PDNS) dan berdampak pada sistem-sistem di berbagai instansi pemerintah seperti Ditjen Imigrasi, Kemendikbud, dan sejumlah pemerintah daerah.

Ransomware adalah sejenis malware yang menyerang sistem dengan cara mengunci berkas-berkas (file) sehingga tidak dapat diakses dan sistem tidak dapat berjalan sebagaimana mestinya. Peretas meminta sejumlah uang tebusan agar sistem yang terkunci dapat dibuka namun tidak ada jaminan bahwa peretas akan benar-benar memberikan kunci setelah uang tebusan dibayarkan.

PDNS dioperasikan oleh Kementerian Kominfo sesuai amanat Perpres 95 Tahun 2018 tentang Sistem Pemerintahan Berbasis Elektronik (SPBE). Merujuk pada Perpres SPBE, Pusat Data Nasional (PDN) adalah sekumpulan pusat data yang harus digunakan oleh instansi pemerintah. Kementerian Kominfo menyelenggarakan PDN Sementara (PDNS) dengan memanfaatkan infrastruktur pada pihak ketiga untuk mengantisipasi belum siapnya infrastrukur PDN yang saat ini masih terus dibangun di berbagai lokasi seperti Batam dan Cikarang.

Sampai seminggu setelah awal serangan ransomware, sebagian besar sistem pemerintah yang terdampak serangan ransomware pada PDNS masih belum dapat dipulihkan. Pada rapat kerja antara DPR dengan Kementerian Kominfo dan BSSN pada tanggal 27 Juni 2024 terungkap adanya kesulitan langkah pemulihan (recovery) dikarenakan minimnya pelaksanaan prosedur pencadangan (backup).

Tata Kelola Keamanan Informasi 

Dalam berbagai literatur disebutkan bahwa terdapat tiga aspek pada keamanan informasi yaitu kerahasiaan (confidentiality), keutuhan (integrity), dan ketersediaan (availability). Perpres Nomor 95 Tahun 2018 sebagai landasan hukum dalam pelaksanaan tata kelola pemerintahan digital juga telah memberikan berbagai acuan yang cukup komprehensif termasuk di antaranya terkait keamanan yang menjadi salah satu prinsip pelaksanaan SPBE. Bahkan selain kerahasiaan, keutuhan, dan ketersediaan, Perpres SPBE juga mencantumkan keaslian dan kenirsangkalan sebagai cakupan keamanan SPBE.

Menurut Perpres Nomor 95 Tahun 2018, penjaminan kerahasiaan dilakukan melalui berbagai langkah pengendalian seperti penetapan klasifikasi dan pembatasan akses; penjaminan keutuhan dilakukan dengan pendeteksian modifikasi; penjaminan keaslian dilakukan dengan mekanisme verifikasi dan validasi; penjaminan kenirsangkalan dilakukan dengan penggunaan sertifikat digital; dan penjaminan ketersediaan dilakukan dengan langkah-langkah pencadangan dan pemulihan.

Pencadangan dan Pemulihan

Pencadangan mengacu pada prosedur dan teknologi untuk membuat salinan sistem (aplikasi dan data) pada perangkat sekunder yang terpisah. Sedangkan pemulihan mengacu pada penggunaan salinan sistem dari mekanisme pencadangan untuk mengembalikan sistem ke kondisi semula jika terjadi kerusakan atau kehilangan aplikasi maupun data yang dapat terjadi karena berbagai hal seperti kesalahan sistem, kesalahan perangkat keras, kesalahan manusia, bencana alam, termasuk juga serangan siber seperti ransomware.

Pencadangan dan pemulihan tercakup dalam berbagai kerangka kerja keamanan informasi yang banyak dipakai, misalnya kerangka kerja NIST yang mendefinisikan identifikasi, proteksi, deteksi, tanggapan, dan pemulihan sebagai fungsi-fungsi pada siklus hidup keamanan informasi. Pencadangan termasuk bagian dari fungsi proteksi sedangkan pemulihan menjadi satu fungsi tersendiri.

Sebagai turunan dari Perpres Nomor 95 Tahun 2018, BSSN mengeluarkan Peraturan Nomor 4 Tahun 2021 sebagai acuan untuk Manajemen, Standar Teknis, dan Prosedur Keamanan SPBE. Pada Pasal 24 disebutkan perlu penerapan sistem pencadangan dan sistem pemulihan serta perencanaan untuk menjamin agar data dan informasi dapat selalu diakses sebagai prosedur untuk memenuhi aspek ketersediaan pada keamanan SPBE.

Tindak Lanjut

Melihat bahwa saat ini PDN dipergunakan oleh sebagian besar instansi pemerintah dan nantinya akan dipergunakan oleh seluruh instansi pemerintah untuk melaksanakan pelayanan publik, maka penting untuk memperhatikan aspek-aspek keamanan informasi. Berkaca pada kasus serangan ransomware ke PDNS, salah satu yang perlu menjadi perhatian adalah aspek ketersediaan (pencadangan dan pemulihan) mengingat bahwa layanan publik harus selalu tersedia dan harus segera dapat dipulihkan jika terjadi gangguan baik karena faktor teknis, manusia, alam, maupun serangan siber.
Jika mengacu pada kerangka kerja PPT (people, process, technology), penyelenggaraan keamanan pemerintahan digital melalui SPBE sudah memiliki landasan yang kuat pada aspek proses (process) dengan adanya berbagai kebijakan yang dituangkan dalam berbagai regulasi yang kemudian perlu diperkuat dengan prosedur-prosedur yang sifatnya lebih teknis.

Kemudian pada aspek manusia (people) dan teknologi (technology) perlu dievaluasi kembali apakah sumber daya manusia (SDM) dan perangkat-perangkat yang digunakan sekarang sudah memadai dan dapat diandalkan untuk mendukung pelaksanaan tata kelola pada aspek proses.

Gerakan “Literasi Umat” merupakan ikhtiar untuk memudahkan masyarakat mengakses informasi. Gerakan bersama untuk menebarkan informasi yang sehat ke masyarakat luas. Oleh karena informasi yang sehat akan membentuk masyarakat yang sehat.

Donasi Literasi Umat