Situasi yang terjadi belakangan dengan peretasan Pusat Data Nasional (PDN) membuat masyarakat Indonesia seakan-akan sedang berada di dalam film cybercrime. Beberapa layanan publik lumpuh, imigrasi kacau, dan peretas meminta imbalan hingga Rp131 miliar. Tapi alih-alih ditutup dengan aksi heroik dan kekalahan penjahat seperti yang ada di film Hollywood, serangan siber ini justru ditutup dengan permintaan maaf dari Brain Cipher, kelompok peretas yang mengaku sebagai dalang dari peretasan PDN.
Selain meminta maaf karena telah menyulitkan masyarakat, mereka juga berjanji akan memberikan kunci enkripsi secara cuma-cuma pada Rabu (3/7/24). Hal ini dilakukan bukan karena mereka tiba-tiba merasa bersalah, melainkan karena merasa kasihan. Singkatnya, si penjahat tidak jadi melakukan kejahatan karena melihat korbannya terlampau tidak berdaya. Publik pun mempertanyakan kompetensi Kemenkominfo, dan mendesak agar Menteri Komunikasi dan Informatika Budi Arie Setiadi mundur dari jabatannya.
Kronologi Peretasan Pusat Data Nasional
Serangan siber terhadap Pusat Data Nasional Sementara (PDNS) Surabaya yang bermula sejak 20 Juni 2024 membuat semua pihak kalang kabut. Dengan menggunakan ransomware LockBit 3.0, kelompok peretas Brain Cipher mengunci semua data di PDNS yang membuat berbagai layanan publik tidak bisa dilakukan dan harus beralih ke cara manual. Beberapa layanan yang terdampak adalah kegiatan imigrasi, pendaftaran peserta didik baru, hilangnya data calon mahasiswa penerima Kartu Indonesia Pintar, serta gangguan validasi pendaftaran NPWP.
Empat hari setelahnya, Menteri Komunikasi dan Informatika Budi Arie Setiadi, mengonfirmasi bahwa pelaku serangan ransomware meminta uang tebusan US$8 juta atau sekitar Rp131 miliar untuk membuka kunci enkripsi pada data-data tersebut. Pemerintah menolak bayar tebusan dan fokus pada pemulihan data-data. Dilansir BBC, tercatat ada 282 instansi pemerintah yang datanya tersimpan di PDNS Surabaya dan terdampak ransomware. Data ini mencakup data kementerian, lembaga negara, dan pemerintah daerah. Sementara itu, dari 282 instansi, ada 239 yang tidak memiliki backup data.
Pada 26 Juni 2024, pemerintah mengatakan data yang sudah kena ransomware tidak bisa dipulihkan. Padahal, Kemenkominfo sudah bekerjasama dengan Badan Siber dan Sandi Negara (BSSN) serta PT Telkom Indonesia selaku vendor PDNS Surabaya. "Yang jelas data yang kena ransom ini sudah nggak bisa kita recovery. Jadi kita menggunakan sumber daya yang kita miliki, yang nomor satu kita mengidentifikasi ada tenant-tenant yang memang sudah memiliki backup," kata Herlan Wijanarko, Direktur Network & IT Solution PT Telkom dikutip dari detikcom.
Inkompetensi yang Dibiarkan
Fakta bahwa tidak ada seorang pun dari Kemenkominfo, BSSN, atau Telkom yang mampu membuka enkripsi dari para peretas membuat kinerja mereka dipertanyakan. Di samping itu, ketiadaan backup dari data yang tersimpan di PDNS Surabaya juga menjadi perhatian. Dalam rapat kerja bersama Komisi DPR 1, Kepala BSSN Hinsa Siburian mengatakan hanya ada 2 persen data PDNS Surabaya yang tercadangkan di PDNS Batam.
Keterangan Hinsa Siburian tersebut langsung direspons dengan tajam oleh Ketua Komisi 1 DPR, Meutya Hafid. "Intinya jangan lagi bilang tata kelola, ini bukan masalah tata kelola, Pak. Jadi, ini masalah kebodohan, punya data nasional tidak ada satu pun backup," ujar Meutya.
Respons Meutya tepat adanya, sebab bagaimana bisa data jutaan warga Indonesia yang terhimpun di Pusat Data Nasional tidak memiliki backup? Peretasan PDNS adalah bencana siber yang parah dan segala kelalaian yang menyebabkan bencana ini bisa terjadi adalah kesalahan yang fatal. Namun setelah gagal melakukan mitigasi terhadap bencana siber ini, tak ada satu pun pejabat publik yang meminta maaf atau mengundurkan diri dari jabatan.
Pihak yang meminta maaf, justru adalah Brain Cipher, yang bagaimanapun juga harus diberi ucapan terima kasih karena telah menunjukkan betapa buruknya keamanan siber serta tata kelola informatika di Indonesia. Dalam pernyataan yang diunggah pada 2 Juli, Brain Cipher mengatakan bahwa tindakan mereka tidak dimotivasi oleh kepentingan politis. Mereka juga berharap serangan ini bisa menyadarkan pemerintah Indonesia untuk mendanai industri keamanan siber serta "merekrut spesialis yang memiliki kualifikasi".
Terlepas dari apa yang sebenarnya terjadi di balik layar dan perdebatan mengenai kebenaran dari pernyataan tersebut, Brain Cipher mewakili sentimen masyarakat Indonesia selama seminggu terakhir. Bahkan, publik pun mempertanyakan kompetensi dan latar belakang para pejabat kemenkominfo, yang seharusnya diisi oleh pakar IT yang memahami keamanan siber.
Skandal peretasan PDNS adalah penggambaran sempurna dari apa yang disebut sebagai kakistocracy, istilah yang muncul pada abad ke-17 untuk menyebut pemerintahan yang dijalankan oleh orang-orang paling tidak kompeten. Kakistocracy menghasilkan pemerintahan dengan kualitas yang buruk, layanan publik yang buruk, serta politisi yang hanya mementingkan diri sendiri.
Mungkin Brain Cipher akan menepati janji mereka, mungkin juga tidak, atau mungkin ini semua hanya prank belaka. Tapi setidak-tidaknya, mereka membuat masyarakat menyadari betapa buruknya data mereka dikelola. Dengan bencana sebesar ini, mengakui adanya kesalahan dalam tata kelola saja tidak cukup. Kelalaian yang menyebabkan serangan ini harus bisa dipertanggungjawabkan oleh pihak-pihak yang sedari awal bertugas untuk mencegahnya. Pun ketika upaya mitigasi telah gagal, permintaan maaf ke publik adalah bare minimum yang seharusnya sudah dilakukan.
(ANL/DIR)