HALO SEMARANG – Anggota Komisi I DPR RI Sukamta, menegur keras Kemenkominfo dan Badan Siber dan Sandi Negara (BSSN), terkait serangan ransomware lockbit 3.0 terhadap Pusat Data Nasional Sementara (PDNS).
Sukamta mengatakan seharusnya Kominfo dan BSSN mengakui kegagalan dalam perlindungan PDN. Menurutnya, mereka seharusnya meminta maaf atas kegagalan tersebut.
“Tadi Bapak sudah minta maaf, tetapi Bapak minta maaf atas terganggunya layanan publik, tapi tidak minta maaf atas kegagalan di dalam perlindungan data di PDN ini. Ini kegagalan Pak, yang itu menyangkut keamanan nasional,” kata dia, dalam rapat kerja Komisi I DPR dengan Kominfo dan BSSN di gedung DPR RI, Jakarta Pusat, baru-baru ini.
Sebelumnya, Sukamta juga menyinggung BSSN yang hanya memprediksi serangan siber di 2024.
Dia bahkan menyebut BSSB layaknya mendiang peramal Mama Lauren, yang hanya bisa meramal.
Sukamta pun mengibaratkan PDNS seperti locker room di bandara, di mana penumpang diminta menitipkan barangnya, tetapi kemudian penyimpanan itu ditembus maling.
“(Ibaratnya) calon penumpang disuruh nitipkan kopernya ke lockerroom, terus Kominfo membangun infrastrukturnya, BSSN jadi satpamnya, ternyata locker room-nya dimasuki maling dan dikunci dari dalam,” kata Sukamta, seperti dirilis dpr.go.id
“Terus Bapak berdua menyalahkan kepada penumpangnya, ‘Kenapa Anda tidak punya koper cadangan gitu? Anda salah, sehingga koper Anda tertinggal di dalam nggak bisa diambil lagi, Anda tidak punya koper cadangan’, seolah-olah begitu yang kami tangkap,” sambungnya.
Politisi Fraksi PKS ini, menyayangkan BSSN yang dalam konteks itu, ibarat sebagai satpam, namun hanya bisa memprediksi. Padahal BSSN seharusnya bertugas melindungi keamanan siber negara.
“Terus satpam mengatakan ‘aku kan sudah memprediksi bakal ada maling nih, kenapa kamu kaya gitu?’ Padahal satpam ditugasi oleh negara, tugasnya dengan gagah melindungi seluruh sistem kementerian lembaga pemerintah daerah seluruh Indonesia, menjamin keamanan sibernya, tapi kali ini mengatakan, ini kayak Mama Lauren, ‘2024 bakal ada serangan siber bakal ada ransomware itu’,” ujarnya.
Sukamta mengatakan perlu adanya kerja keras lagi mengenai PDNS. Dia lantas menyinggung hanya 2 persen data ter-backup.
“Menurut saya (backup data) yang di Batam itu, saya nggakngerti tempat penyimpanan apa fungsinya karena ternyata di situ tidak ada backup, padahal klaim yang ada adalah PDN ini tier 4 Pak, tapi mana mungkin tier 4 nggak punya backup, Pak?” ujarnya.
Tier atau tingkatan ini merupakan istilah yang merujuk pada teknologi dan tingkat keamanan sebuah data center atau pusat data.
Ada sejumlah lembaga yang memberikan standardisasi tier di pusat data, salah satunya adalah Telecommunications Industry Association 942 (TIA-942) yang biasanya digunakan sebagai referensi saat merancang pusat data.
Ada beberapa standar yang ditetapkan oleh TIA-942, termasuk keamanan jaringan, desain kelistrikan, kontrol pada ancaman listrik, hingga manajemen lingkungan. Ada empat tingkatan dalam pusat data menurut TIA-942: Tier 1 atau Basic Site Infrastructure; Tier 2 atau RedundantSite Infrastructure CapacityComponents; Tier 3 atau ConcurrentlyMaintainableSite Infrastructure; dan Tier 4 atau FaultTolerantSite Infrastructure.
Semakin tinggi tingkatannya, maka semakin tinggi pula keamanannya.
Pada Tier 4 atau tingkatan tertinggi, pusat data punya toleransi downtime 30 menit saja dalam satu tahun. Di tingkat ini juga seharusnya memiliki level keamanan tertinggi, baik secara sistem maupun fisik.
Lebih lanjut mengenai desain PDN, dirinya mempertanyakan proses desain PDN. Sebab, dia melihat adanya kesan menyalahkan pihak ketiga atau vendor dalam kasus serangan PDN tersebut.
“Padahal penanggung jawabnya kan Kominfo, Pak, dan BSSN sebagai penanggung jawab keamanan,” ucap dia.
“Sebetulnya yang paling bertanggung jawab ini owner-nya dari lockerroom atau satpamnya? Salah satpam atau owner-nya?” ujarnya dia.
Kebodohan
Sementara itu Ketua Komisi I DPR RI Meutya Hafid, menilai tidak adanya cadangan data atau backup yang dimiliki Kementerian Komunikasi dan Informasi (Kemenkominfo) dan Badan Siber dan Sandi Negara terhadap data Pusat Data Nasional (PDN) yang baru-baru ini mengalami serangan siber ransomware, bukanlah masalah tata kelola ketahanan siber, tapi sudah merupakan kebodohan.
“Intinya jangan lagi bilang tata kelola, ini bukan masalah tata kelola, Pak. Jadi, ini masalah kebodohan, punya data nasional tidak ada satu pun backup,” ujarnya.
Kemenkominfo memiliki dua Pusat Data Nasional Sementara (PDNS) yakni PDNS yang ada di Surabaya dan Serpong.
Sedangkan, satu Pusat Data Nasional (PDN) yang berada di Batam. Adapun serangan siber yang terjadi saat ini berlokasi di Pusat Data Nasional Sementara (PDNS) 2 yang ada di Surabaya, Jawa Timur.
BSSN merekomendasikan Kemenkominfo agar menyiapkan data cadangan. Dalam kasus ini misalnya, data dari PDNS 2 yang ada di Surabaya maupun PDNS 1 di Serpong seharusnya di-backup ke PDN yang ada di Batam.
“Ini kan kita enggak itung Batam backup kan karena cuma dua persen (data yang di-backup) kan, ya berarti itu bukan tata kelola, (pembobolan) data itu kebodohan saja sih, Pak”
Ia menambahkan, pernyataan dua persen data PDN yang dicadangkan di Batam terbilang kecil, sehingga kurang diperhitungkan.
Ia tegaskan, tidak adanya cadangan data ini bukanlah bentuk kurangnya tata kelola ketahanan siber karena memang tidak ada pengelolaan.
“Ini kan kita enggak itung Batam backup kan karena cuma dua persen (data yang di-backup) kan, ya berarti itu bukan tata kelola, (pembobolan) data itu kebodohan saja sih, Pak,” tegasnya.
Kepala BSSN Hinsa Siburian sebelumnya menyampaikan pengakuan bahwa adanya kekurangan dalam tata kelola ketahanan siber, yaitu dengan tidak adanya cadangan data-data PDN yang mengalami gangguan akibat serangan siber.
“Jadi itu yang mau saya sampaikan tadi kita ada kekurangan di tata kelola, kami memang akui itu, dan itu yang kita laporkan juga karena kami diminta untuk (menyampaikan) apa saja masalah kok bisa terjadi, itu salah satu yang kami laporkan juga,” katanya dalam rapat.
Sementara itu Menteri Komunikasi dan Informatika, Budi Arie Setiadi mengungkapkan bahwa berdasarkan temuan dari timnya, pelaku serangan siber terhadap Pusat Data Nasional Sementara (PDNS) 2 di Surabaya, bukan negara lain atau non-state actor dengan motif ekonomi.
Dengan adanya identifikasi bahwa serangan siber dilakukan oleh aktor non-negara, hal itu membuatnya bersyukur, apabila serangan siber itu dilakukan aktor negara, maka dampak yang ditimbulkan bisa lebih berat dan kompleks.
“Itu sudah Alhamdulillah dulu, karena kalau yang menyerang negara itu berat. Seperti beberapa bulan lalu pemerintah Arab Saudi diserang oleh hacker Iran karena negara aktornya, itu berat,” ucap dia. (HS-08)
