Temuan BPK: Pengendalian Pengamanan atas Disaster Recovery Center OJK Belum Memadai

Jakarta, MI - Laporan Hasil Pemeriksaan Atas Laporan Keuangan Otoritas Jasa Keuangan (LKOJK) Tahun 2023 dengan nomor 16.a/LHP/XV/05/2024 tanggal 3 Mei 2024 mengungkap bahwa pengendalian pengamanan atas disater recovery center Otoristas Jasa Keuangan atau OJK belum memadai disebabkan beberapa persamalahan.

Adapun OJK sejak Tahun 2015 telah menyewa ruang server (co-location) di Data Center (DC) yang berlokasi di Sentul, yang digunakan untuk memastikan keamanan dan ketersediaan layanan Teknologi Informasi (TI). 

OJK pada Tahun 2023 membangun Disaster Recovery Center (DRC) di Surabaya. OJK telah merancang dan menerapkan DRC dengan memperhatikan pembagian ruang, keamanan fisik, sistem pendinginan, redundansi, kapasitas daya listrik, dan hal-hal terkait lainnya. 

DRC berfungsi untuk mencadangkan layanan TI dan data, jika layanan atau data di DC Sentul mengalami gangguan. Pengelolaan DRC dilakukan oleh Departemen Pengelolaan Sistem Informasi (DPSI) yang merupakan satuan kerja di bawah Deputi Komisioner Sumber Daya Manusia dan Sistem Informasi. 

Deputi Komisioner tersebut berada di bawah bidang Manajemen Strategis yang dipimpin olch Wakil Ketua Dewan Komisioner OJK. 

OJK telah mengatur ruang DRC menjadi beberapa bagian, termasuk ruang kerja, ruang pengawasan Closed Circuit Television (CCTV), ruang mantrap, koridor Precision Air Conditioning (PAC), ruang staging, ruang server, ruang clean agent, ruang genset, dan ruang baterai. 

Dari segi pengamanan fisik, langkah-langkah telah diambil, seperti pemisahan hak akses pada tiap pintu, pencegahan dan penanggulangan kebakaran menggunakan smoke detector, clean agent, pengawasan melalui CCTV, dan sebagainya. 

Dalam hal pengamanan akses masuk tiap ruangan, dilakukan dengan menggunakan access curd dan Personal Identification Number (PIN) yang dimiliki oleh staf DPSI. Selain itu, DRC telah didukung oleh perangkat-perangkat seperti PAC, Uninterruptible Power Supply (UPS) beserta baterainya, serta generator set (genset). 

Namunn berdasarkan hasil pemeriksaan fisik pada DRC OJK diketahui masih terdapat permasalahan dan kelemahan terkait desain ruang, serta operasional pengamanan, pemeliharaan, pengawasan dan monitoring yang dilaksanakan oleh DPSI. 

Pertama, BPK menyatkan bahwa sistem pengawasan CCTV di DRC OJK belum memadai. "Berdasarkan hasil pemeriksaan fisik atas hasil pemasangan CCTV diketahui permasalahan sebagai berikut: terdapat area blind spot pada ruang server yang tidak terpantau CCTV; dan tidak terdapat CCTV di dalam ruang manitrap, ruang genset, monthly tank, ruang gas Fire Suppression System (FSS), ruang UPS dan ruang baterai," tulis hasil pemeriksaan BPK sebagaimana diperoleh Monitorindonesia.com, Senin (7/7/2025). 

Kedua, BPK menyatakan, pemasangan dan sterilisasi pintu di DRC belum memadai. BPK menyebut bahwa akses fisik menuju ruang server DRC OJK telah diamankan dengan setidaknya terdapat tiga lapis pintu yang hanya bisa dibuka menggunakan kartu akses atau PIN. Akses ke ruangan lain seperti ruang gas FSS yang masih satu area juga menggunakan kartu akses. 

"Berdasarkan hasil pemeriksaan fisik atas pemasangan pintu akses DRC diketahui permasalahan sebagai berikut; pintu ruang gas FSS dan ruang panel listrik tidak mengarah ke luar ruangan; pintu ke ruang CCTV tidak dibatasi dengan pintu yang kuat dan hanya dibatasi dengan pintu kaca."

"Pintu akses yang menuju ruang genset, UPS, dan baterai di area parkir belum disterilkan, sehingga berisiko tertutup barang atau kendaraan yang diparkir di depan pintu tersebut," lanjut BPK.

Lalu, tidak terdapat peringatan bahaya tersengat listrik pada pintu ruang peralatan yang disuplai oleh UPS. 

Berdasarkan hasil pemeriksaan lebih lanjut diketahui pintu ruang gas FSS dan ruang panel listrik tidak memungkinkan untuk diubah, maka perlu ditambahkan pengamanan lain, misalnya pemasangan stiker “Tarik” atau “Dorong” pada pintu, sehingga memudahkan orang yang di dalam ruangan untuk melakukan evakuasi darurat. 

Serta, terhadap penambahan stiker sandh/ust pada kaca ruang CCTV, masih belum cukup karena material kaca yang mudah dirusak dan kurang tahan api. Dibutuhkan penggantian material kaca dengan material yang tidak tembus pandang, tahan api (/ire rated), dan tahan perusakan, 

Ketiga, peralatan pendukung keselamatan, menurut BPK, belum sepenuhnya memadai.  Bahwa DRC OJK mempunyai berbagai ruang yang diahses melewati koridor dan beberapa lapis pintu akses. Dalam hal keadaan darurat seperti saat kebakaran, kunci pintu akses tersebut akan otomatis non aktif agar personel atau tamu di dalamnya bisa melarikan diri dari area DRC. 

"Berdasarkan hasil pemeriksaan fisik diketahui bahwa: tidak terdapat exit sign pada koridor-koridor DRC. Hal tersebut berpotensi mempersulit personel untuk mengetahui jalur evakuasi yang tepat; pintu ruang FSS tidak terbuka ke arah luar ruangan; dan tidak ditemukan FSS pada ruang UPS, baterai, dan genset," jelas BPK. 

Berdasarkan hasil pemeriksaan lebih lanjut diketahui terdapat FSS pada Ruang UPS, Baterai dan Genset, yang tidak bekerja secara otomatis mendeteksi kebakaran, mengaktifkan peringatan, dan memadamkan api. Di sisi lain, pengawasan oleh staf  yang dilakukan hanya saat jam kerja, akan menambah risiko terlambatnya penanganan kebakaran tersebut. 

Keempat, pengamanan fisik DRC tidak dilakukan selama 24 jam. BPK menjelaskan bahwa pengamanan fisik DRC OJK dilakukan oleh Staf DPSI dengan menggunakan sistem rolling per minggu. 

"Setiap minggunya, Staf DPSI akan bergantian dari Jakarta ke Kantor OJSK Surabaya untuk melakukan pengawasan secara fisik setiap hari pada jam kerja, namun di luar jam kerja tidak ada pengawasan secara fisik di area DRC," ungkap BPK.

Pengendalian pengganti yang dilakukan, ungkap BPK, adalah dengan menerapkan sistem pengawasan yang menyeluruh serta early warning system yang responsif. Sistem FSS yang sifatnya otomatis, juga harus diterapkan pada seluruh fasilitas DRC. 

Keliam, BPK menemukan masalah bahwa sistem pendinginan ruang server kurang efisien. Kata BPK, ruang server DRC OJK menggunakan sistem Under Flow Air Distribution (UFAD), dimana udara dingin didistribusikan lewat bawah rarsed floor yang kemudian keluar melewati perforated tile di depan rak server. 

"Cara ini digunakan untuk meningkatkan efisiensi sumber daya, karena udara dingin terpisah dengan udara panas yang berada di belakang rak. Namun, berdasarkan hasil pengamatan fisik menunjukkan tidak terdapat penutupan celah antar perangkat menggunakan blank panel," kata BPK.

Kondisi tersebut tidak sesuai dengan Standar ANSI/TIA 942-B 2017, Table 12: Reference Guide (architectural): ruang pengawasan diperlukan, dan menggunakan pintu yang kuat, jika ingin mendapatkan rating 3 atau diatasnya; diperlukan pengawasan CCTV pada area yang dibatasi dan perimeter (dhi. perimeter gedung, generator, ruang komputer, ruang telekomunikasi, ruang entrance), untuk mendapatkan rating 3 atau lebih.

Lalu, ruang pengawasan (dhi. ruang kontrol CCTV) perlu dipisah ruangnya, jika ingin mendapatkan raring 2. Sedangkan untuk rating 3 dan 4, pemisahan ruang harus dibatasi dengan pintu yang kuat (misalnya pintu baja); dan bahwa perlunya penjagaan pengamanan fisik oleh staf terkait, selama 24 jam penuh dan setiap hari, untuk standar tingkat 3; 

Kemudian, Standar ANSI/TIA 942-B 2017 6.3.2 Energy Efficiency Recommendations, yang salah satunya perlu memisahkan jalur udara panas dengan udara dingin untuk meningkatkan efisiensi energi; Standar ANSI/ITA 942-B 2017 6.4.2.6 Doors: yang salah satunya mensyaratkan pintu dibuka ke arah luar; Standar ANSI/TIA 942-B 2017 6.4.2.9 Uninterruptable power notification: bahwa diperlukan tulisan peringatan daya listrik pada pintu untuk ruang yang didalamnya terdapat perangkat yang disuplai oleh UPS; 

Standar TIA 942-B, poin 6.4.2.10 Signage, bahwa rambu-rambu —harus diimplementasi sesuai dengan protokol keamanan gedung; Standar ILCASO 27001 2013 A.11.1.4 tentang Perlindungan Terhadap Bencana Alam, Serangan Jahat, atau Kecelakaan Perlu Didesain dan Dilaksanakan; dan Standar IEC ISO 27001 2013 Annex A.12.4.4 Clock Synchronization, bahwa: informasi waktu pada sistem pemroses informasi yang digunakan oleh organisasi, perlu disinkronkan ke sumber informasi waktu yang dapat dipercaya.

Hal tersebut mengakibatkan meningkatnya risiko ancaman pengamanan DRC. Hal tersebut disebabkan oleh Wakil Ketua Dewan Komisioner OJK tidak optimal dalam melakukan pengawasan dan pengendalian terhadap pengamanan DRC; dan Kepala DPSI kurang cermat dalam mengusulkan desain dan perencanaan pembangunan DRC serta lemah dalam melakukan monitoring pengamanan DRC.

Tanggapan OJK

Atas hal tersebut, OJK memberikan tanggapan bahwa sistem pengawasan CCTV di DRC OJK yang belum optimal, OJK akan memenuhi penyesuaian sistem tersebut sampai dengan akhir Juli 2024, supaya tidak terjadi blind spor, pemasangan dan sterilisasi pintu di DRC belum memadai, OJK menyampaikan bahwa perubahan Pintu Ruang Gas FSS dan Ruang Panel Listrik akan meninggalkan residu debu konstruksi yang dapat mengganggu operasional infrastruktur TI. 

Sedangkan pintu ke ruang CCTV yang hanya dibatasi mengggunakan jendela dan pintu kaca, OJK sependapat dan akan menindaklanjuti dengan pemasangan stiker sandbiast untuk membatasi pandangan dari luar. Pintu Ruang Genset, UPS dan baterai juga akan disterilkan dengan rambu-rambu larangan parkir. 

Selain itu, rambu-rambu bahaya listrik juga akan dipasang pada Ruang UPS, Ruang Bartery 1, Ruang Battery 2, Ruang Panel Listrik A, dan Ruang Panel Listrik B; peralatan pendukung keselamatan yang belum sepenuhnya memadai, OJK sependapat pada masalah belum terdapatnya exit sign pada koridor DRC, dan telah dipasang rambu terkait. 

Sedangkan terkait Pintu Ruang FSS, OJK menyampaikan perubahan pintu akan berisiko munculnya residu sechingga mengganggu peralatan infrastruktur TI. Poin 3 terkait tidak ditemukan FSS pada Ruang UPS, Baterai, dan Genset, OJK sependapat dan telah merelokasi Alat Pemadam Api Ringan (Apar) agar bisa dijangkau dari Ruang Genset dan Ruang UPS; durasi pengamanan fisik oleh Staf DRC yang belum mencukupi, OJK menyampaikan bahwa telah dilakukan rolling pegawai yang mengawasi langsung di DRC pada jam kerja. 

Sedangkan pemantauan di luar jam kerja dilakukan secara remote, dan staf yang bertugas dapat segera menjangkau dari lokasi yang dekat dengan DRC; dan sistem pendinginan ruang server yang kurang efisien, OJK sependapat dan akan menindaklanjuti dengan memasang blank panel untuk celah rak server yang belum digunakan sampai dengan akhir Mei 2024, 

Rekomendasi BPK 

BPK merekomendasikan kepada Ketua Dewan Komisioner OJK agar memerintahkan Wakil Ketua Dewan Komisioner OJK untuk meningkatkan pengawasan dan pengendalian terhadap pengamanan DRC; dan menginstruksikan Kepala DPSI untuk meningkatkan pengendalian pengamanan DRC sesuai dengan standar yang berlaku.

Dilarang keras menyalin, memodifikasi, produksi ulang, menerbitkan ulang, upload ulang, serta mendistribusikan ulang semua konten Monitorindonedia.com dalam bentuk apa pun tanpa izin tertulis terlebih dahulu. Semua konten dalam berita Monitorindonesia.com adalah hak milik Monitorindonesia.com dan dilindungi oleh UU Hak Cipta.