Baca berita dengan sedikit iklan, klik di sini
BUDI Arie Setiadi tengah berada di Singapura ketika mendapat laporan bahwa Pusat Data Nasional Sementara (PDNS) di Surabaya, Jawa Timur, dibobol peretas pada Kamis, 20 Juni 2024. Setelah bertemu dengan pimpinan eksekutif TikTok, Menteri Komunikasi dan Informatika itu menggelar rapat telekonferensi video dengan anak buahnya serta perwakilan Telkom yang mengelola pusat data. "Saya meminta berfokus pada pemulihan sektor pelayanan publik," kata Budi.
Baca berita dengan sedikit iklan, klik di sini
Serangan ransomware menginfeksi pusat data di Surabaya. Peristiwa itu menyebabkan gangguan pada sistem milik Direktorat Jenderal Imigrasi Kementerian Hukum dan Hak Asasi Manusia. Penumpang harus antre di konter pemeriksaan dan layanan pembuatan paspor terhambat.
Baca berita dengan sedikit iklan, klik di sini
Baca berita dengan sedikit iklan, klik di sini
Menurut Budi, ransomware yang menyerang pusat data merupakan jenis baru yang bernama LockBit 3.0. Ketua Umum Projo—kelompok relawan pendukung Joko Widodo dan Prabowo Subianto—itu mengaku telah melaporkan peristiwa tersebut kepada Presiden. Budi mengklaim Jokowi meminta Kementerian Komunikasi lebih hati-hati dalam menjaga data.
Budi membantah anggapan bahwa pemerintah ceroboh mengamankan pusat data. Dia berkukuh pembobolan tersebut terjadi karena serangan peretas yang meminta uang tebusan senilai US$ 8 juta atau sekitar Rp 131 miliar. "Nyari duit US$ 8 juta itu susah, Bos," ujar mantan Wakil Menteri Desa, Pembangunan Daerah Tertinggal, dan Transmigrasi tersebut.
Selama lebih dari satu jam, Budi menjelaskan peretasan PDNS kepada Sunudyantoro, Erwan Hermawan, Hussein Abri Dongoran, Francisca Christy Rosana, Egi Adyatama, dan Yosea Arga Pramudita. Dia yakin serangan siber kepada pemerintah tak akan berhenti pada kasus ransomware. "Kami setiap hari mendapat 10 ribu serangan," ucapnya.
Pemerintah ceroboh melindungi Pusat Data Nasional Sementara? Sebab, kami mendapat cerita bahwa ada peringatan sebelum serangan terjadi.
Tidak ada keteledoran. Ini serangan. Kejadian ini bentuk keteledoran atau bukan, itu persepsi saja. Kasus ini jelas-jelas merupakan serangan. Ibaratnya, Anda terjatuh karena dipukul atau terpeleset. Jika kita tak siap pasang kuda-kuda ketika dipukul, itu soal lain.
Kapan persisnya serangan ransomware ini masuk?
Kamis dinihari, 20 Juni 2024.
Mengapa pemerintah baru mengumumkan kepada publik empat hari kemudian?
Enggak, jangan bergosip. Kami tahu tanggal serangan dan saya tahu persis kapan itu terjadi.
Kami mendengar informasi bahwa seorang pegawai kementerian teledor mengklik tautan yang menjadi pintu masuk ransomware. Apa tanggapan Anda?
Bukan, bukan. Ini bukan kelalaian atau keteledoran semacam itu. Sekali lagi, ini bencana dan insiden.
Beberapa narasumber menyebutkan tautan yang diklik pegawai kementerian itu adalah awal serangan.
Saya kan bilang, kalau Anda tak pasang kuda-kuda lalu dipukul, pasti jatuh. Apakah ini kelalaian? Enggak, lah, menurut saya. Tiba-tiba diserang saja. Seperti lagu dangdut, "Nasib ya nasib, mengapa jadi begini".
Dari mana ransomware masuk?
Hal detail seperti ini nanti ketahuan. Ngapain gue menjelaskan ke Tempo. Ini Internet protocol address milik lembaga, nomornya juga sudah ada. Pokoknya ini bukan kelalaian, tapi pelakunya memang berkaliber. Klenger juga mendapat serangan ini.
Siapa pelakunya?
Dalam serangan siber semacam ini ada dua aktor, yakni state actor dan non-state actor. Ciri-ciri yang kami identifikasi dalam serangan ransomware ini mengarah pada non-state actor. Berbeda dengan situasi yang dialami Arab Saudi dan Iran beberapa waktu lalu. Itu negara melawan negara.
Kelompok dari non-state actor mana yang melakukannya?
Bisa dari luar atau dalam negeri. Semua konspirasi dan teori bisa keluar. Namun pada waktunya akan terbuka semua. Kami sekarang mementingkan pemulihan dan sudah berjalan cukup oke.
Mengapa serangan digital ini terjadi berulang? Sebelum kasus ini, ada Bjorka dan Strovian yang membobol data penting pemerintah.
Semua pernah kena, baik kasus besar maupun kecil. Dibilang kecil enggak, dibilang besar juga enggak. Sedang apes saja.
Pemerintah saja yang abai terhadap keamanan digital kita.
Bukan. Yang namanya serangan itu enggak akan pernah berhenti. Jika mau tahu, kami setiap hari menghadapi 10 ribu serangan siber. Maka, begitu terjadi serangan ransomware ini, saya minta lingkup internal berjaga-jaga. Mengharapkan serangan siber itu berhenti sangat mustahil. Kita yang harus memperkuat dan melindungi diri.
Mengapa pemerintah tak meminta maaf atas serangan ini dan dampak gangguan pelayanan publik yang timbul?
Begitu kejadian pertama kali, kami sudah minta maaf. Langsung kami ucapkan permohonan maaf kepada masyarakat.
Serangan ransomware ini menegaskan hasil riset Massachusetts Institute of Technology pada 2023 yang menyatakan keamanan siber Indonesia paling lemah di antara 20 negara yang diteliti.
Saya tak menolak riset itu. Belanja teknologi informasi negara seperti Amerika Serikat senilai 2 persen dari produk domestik bruto, Cina 2 persen, dan Singapura 5 persen. Indonesia hanya 0,5 persen. Jadi, kalau berharap tak ada serangan, tidak bisa. Yang bisa kita lakukan adalah menyiapkan diri.
Penambahan anggaran belanja teknologi belum tentu menjamin keamanan siber.
Saya berada di Singapura ketika menerima kabar peretasan ini. Duta besar kita di sana bercerita bahwa ada peretasan pada sistem perbankan mereka tahun lalu. Bayangkan, karena peristiwa itu, bank harus memberikan kompensasi kepada nasabah sampai jutaan dolar Amerika. Bank di Singapura bahkan mengerem sedikit digitalisasi perbankan. Sebab, mereka juga takut pertahanannya enggak kuat kalau perkembangan digital terlalu kencang.
Anda sudah melapor kepada Presiden?
Kami sudah memberi tahu bahwa ada beberapa jenis malware. Yang menyerang PDNS di Surabaya adalah ransomware LockBit 3.0 yang merupakan varian terbaru. Karena itu, Biro Investigasi Federal (FBI) di Amerika mengontak. Semua pihak mesti diberi tahu bahwa ini barang baru. Belum pernah ada serangan LockBit 3.0 di dunia.
Apa kata Jokowi?
Kita harus lebih berhati-hati, lebih prudent, dan lebih aman dalam menjaga data.
Tidak ada perintah untuk mengevaluasi keamanan digital kita?
Kami minta Badan Siber dan Sandi Negara (BSSN) mengerjakan audit keamanan. Ada beberapa langkah ke depan yang bisa dikerjakan. Kami pun mengakui ada kelemahan. Saya juga berupaya meyakinkan Presiden, Dewan Perwakilan Rakyat, dan Badan Pemeriksa Keuangan. BPK selalu mencoret anggaran ketika ada mata anggaran data centre yang ganda.
Budi Arie Setiadi
Tempat dan tanggal lahir:
- Jakarta, 20 April 1969
Pendidikan:
- Sarjana ilmu komunikasi Universitas Indonesia, Depok, Jawa Barat
- Magister manajemen pembangunan sosial Universitas Indonesia
Organisasi:
- Ketua Umum Projo (2014-sekarang)
Jabatan publik:
- Menteri Komunikasi dan Informatika (2023-sekarang)
- Wakil Menteri Desa, Pembangunan Daerah Tertinggal, dan Transmigrasi (2019-2023)
Laporan harta kekayaan:
- Rp 101 miliar (2022)
Kenapa setiap kali ada kasus peretasan selalu dikaitkan dengan kekurangan anggaran?
Untuk pusat data mesti dianggarkan dua barang. Kenapa dua? Sebab, satu lagi menjadi backup atau cadangan. Membeli dua barang itu untuk pelindungan, bukan pemborosan. Berbicara soal data centre, itu selalu berkaitan dengan proteksi sehingga tak mungkin hanya satu barang. Saya berdiskusi dengan teman-teman di Bank Negara Indonesia, mereka punya empat. Menganggarkan dua barang itu menjadi masalah di BPK.
Pencadangan data belum dianggap penting di sini?
Saya tak bilang seperti itu. Bagi saya, perlu ada kesadaran bersama bahwa dampak serangan dan kerusakan karena masalah ini sangat serius. Sifat pengadaannya antisipatif. Jadi politik anggarannya harus dibereskan.
Bukankah regulasi seharusnya mewajibkan adanya pencadangan data?
Elu berargumen saja terhadap kasus ini. Sekalian nanti kami yakinkan teman-teman di BPK.
Bagaimana cara Anda membangun pencadangan data?
Ada rencana membuat keputusan setingkat menteri yang mewajibkan pencadangan. Jadi tak lagi menjadi kebijakan opsional. Sifatnya menjadi wajib.
Kelalaian lain ialah tidak ada pencadangan data di PDNS sehingga sebagian isinya tak bisa dipulihkan. Tanggapan Anda?
Ada beberapa yang punya backup, ada juga yang tidak. Pemahamannya adalah keamanan siber itu penting atau tidak? Kalau Anda cuma punya satu pusat data lalu disikat, akan langsung knockout. Paling tidak harus punya dua, meskipun lembaga lain punya tiga, bahkan empat.
Siapa penanggung jawab keamanan PDNS?
Itu punya Telkom. Kami menyewa ke Telkom.
Kementerian Komunikasi paling bertanggung jawab atas serangan ransomware ini?
Tanggung jawab bersama karena kami diberi mandat mengelola PDNS. Dari sisi regulasi, kami yang bertanggung jawab.
Kementerian Komunikasi dengan BSSN tampak saling lempar tanggung jawab dalam perkara ini. Respons Anda?
BSSN mitra yang baik. Mereka banyak membantu kami. Masak, hari begini masih saling menyalahkan dan lempar tanggung jawab? Bahwa kita punya tanggung jawab masing-masing, ya iyalah.
Apa peran BSSN dalam mengatasi masalah pembobolan pusat data?
BSSN punya kemampuan audit forensik digital yang bagus. Bekerjanya cepat. Mereka paham teori perang. Setiap lembaga punya kelebihan. Jangan membanding-bandingkan lembaga.
Sektor apa yang paling terkena dampak?
Pelayanan publik. Ada 280-an penyewa di situ. Sektor lain tak signifikan terkena dampak. Kalau dari kementerian dan lembaga, jumlahnya sekitar 44. Penyewa lain adalah pemerintah daerah. Beberapa lembaga sudah mulai pulih.
Bagaimana menjamin data di sana aman setelah peretasan?
Sistemnya di-lock, kok. Kami terus melaporkan progres pemulihan, terutama sektor imigrasi yang paling terkena dampak. Tidak ada data yang dicuri.
Bukankah ada peluang isi datanya diutak-atik ketika peretas masuk ke sistem?
Kami memetakan ada 32 layanan yang krusial dalam sistem imigrasi. Yang paling krusial ada tujuh layanan, di antaranya perlintasan dan daftar cekal. Itu yang kami pulihkan secepatnya agar pelayanan publik tak terganggu.
Bagaimana pemerintah memperlakukan pelindungan data? Sebagai hak publik atau informasi yang menyangkut keamanan negara?
Ada tiga jenis data, yakni data strategis, terbatas, dan terbuka. Data strategis harus dilindungi negara. Kalau data terbatas seperti undang-undang, publik boleh tahu. Apalagi data terbuka. Data negara yang strategis hanya sekitar 5 persen dari keseluruhan data krusial. Kalau yang lain, elu boleh tahu.
Menteri Komunikasi dan Informatika Budi Arie Setiadi (kiri) dan Kepala Badan Siber dan Sandi Negara (BSNN) Hinsa Siburian saat mengikuti rapat kerja dengan Komisi I DPR RI membahas perkembangan penanganan gangguan Pusat Data Nasional di Kompleks Parlemen, Senayan, Jakarta, 27 Juni 2024. Tempo/M Taufan Rengganis
Data pribadi tetap harus dilindungi.
Data pribadi itu lain, tergantung untuk apa kepentingannya. Apa sih yang dirahasiakan dari data pribadi? Nomor telepon, misalnya, itu data pribadi. Namun nomor itu menjadi data yang diketahui publik juga.
Ada Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi yang disahkan pada Oktober 2022, tapi tak berdampak karena belum ada aturan turunannya.
Kami nanti melengkapinya dengan regulasi teknis untuk UU Pelindungan Data Pribadi.
Masih ada tarik-ulur soal lembaga pengelola data pribadi?
Aturannya sedang dirapikan. Tak ada lagi isu soal lembaga itu karena nanti berada di bawah Kementerian Komunikasi. Perintah undang-undang memang seperti itu.
Undang-Undang Pelindungan Data Pribadi mengatur denda bagi perusahaan yang lalai menjaga data. Apakah akan diterapkan dalam kasus serangan ransomware ini?
Pelindungan data pribadi menjadi tanggung jawab pengumpul data. Lembaga yang mengumpulkan data di antaranya bank, perusahaan transportasi, dan operator seluler.
Bagaimana dengan permintaan tebusan senilai US$ 8 juta dari peretas?
Saya enggak mau meladeni. Nyari duit US$ 8 juta itu susah, Bos.
- Akses edisi mingguan dari Tahun 1971
- Akses penuh seluruh artikel Tempo+
- Baca dengan lebih sedikit gangguan iklan
- Fitur baca cepat di edisi Mingguan
- Anda Mendukung Independensi Jurnalisme Tempo
Di edisi cetak, artikel ini terbit di bawah judul "Kami Klenger Mendapat Serangan Ini"