Kalah Quintrick (0-7) BAIS-TNI dan Kemenhub Juga Diretas, PDN Tidak Standar ISO dan Tier?

Jakarta, MI - Benar-benar speechless, alias tidak bisa berkata-kata lagi melihat keluguan (baca: kebodohan) para pemangku kebijakan teknologi IT Indonesia, dalam hal ini Kemkominfo (Kementerian Komunikasi dan Informatika) – yang sangat tampak hanya bisa ela elo (gela gelo) alias plonga plongo saja menghadapi kondisi BAIS-TNI dan Kemenhub yang diretas dan ditawarkan data-datanya di Darkweb. 

Sebelumnya serangan siber ransomware brainchipper lockbit 3.0 menghajar habis 210 data instansi nasional dalam PDNs (Pusat Data Nasional sementara) 2 di Surabaya. Pemerintah tampak mensimplify (atau memang tidak tahu?) masalah yang sebenarnya sangat fatal dan serius tersebut.

Bagaimana tidak? Selalu coba disebutkan bahwa data-data yang diretas tersebut “kini dalam pemulihan” (?). Pemulihan dengan cara apa? Kemkominfo harus jujur, jangan anggap orang Indonesia semua lugu (baca: ela elo) seperti mereka itu, karena seluruh data di PDNs tersebut sebenarnya sekarang masih dalam posisi terenkripsi alias dikunci oleh hacker yang meminta tebusan US$ 8 juta (sekitar Rp131 miliar).

Kalau ransom tidak dibayar ya data-data tersebut selamanya akan tetap terkunci, meski saya setuju Pemerintah jangan mau tunduk untuk membayar, apalagi harus pakai Crypto currency (Bitcoin) yang ribet bilamana terjadi masalah.

Meski benar untuk bersikap tidak mau tunduk ke hacker dan membayar tebusan tersebut, tetapi seharusnya Kemkominfo mengakui bahwa “pemulihan” tersebut sangat tergantung kepada backup data yang dimiliki oleh masing-masing pemiliknya.

Misalnya saja disebut-sebut baru 4 dari 210 yang mulai berangsur “pulih” – di antaranya Imigrasi, LPKP dan Kota Bogor – mestinya disebut juga bahwa data-data yang “pulih” ini karena (kebetulan) masih ada data backupnya yang tidak ikut disimpan di PDNs sehingga “selamat” dari serangan ransomware. Saat ini data-data backup tersebut yang digunakan untuk menjalankan sistem kembali, alias bukan data dalam PDNs yang masih dikunci oleh peretasmya.

Kejujuran ini penting seharusnya disampaikan oleh Kemkominfo, sebagaimana yang malah disampaikan oleh KemenkumHAM bahwa mereka untuk bisa tetap berjalan harus mengambil data backup dari server di Batam dan sekarang terpaksa menggunakan jasa AWS (Amazon Web Services) untuk running.

Ini sebenarnya juga berbahaya, karena berarti data-data sekarang tidak diletakkan di server nasional PDNs tetapi justru di luar negeri, peribahasanya ibarat keluar dari mulut singa masuk ke mulut buaya. Namun ini setidaknya merupakan solusi sangat darurat yang masih bisa ditoleransi asal dalam tempo singkat dan jangan malah terjadi kebocoran data juga di sana.

Meski berbeda kasusnya, kondisi sejenis dahulu juga sempat terjadi saat Indonesia mengalami “krisis satelit” tahun 2020 akibat Satelit Nusantara-2 gagal diluncurkan dari Tiongkok untuk menggantikan Satelit Palapa D yang sudah habis masa edarnya. Karena kebutuhan akan transponder yang sebelumnya dilayani oleh Palapa D, maka saat itu sempat Indonesia terpaksa menyewa transponder Satelit ChinaSat sementara menunggu peluncuran satelit pengganti beberapa bulan berikutnya.

Jadi penggunaan AWS ini harus dipastikan oleh KemenkumHAM dan disupervisi oleh Kemkominfo dan BSSN hanya benar-benar bersifat darurat karena kasus peretasan PDNs tersebut, jangan dalam waktu yang lama.

Kembali kepada permasalahan di PDNs sekarang, meski disebut “sementara” sebelum PDN aslinya berfungsi di Cikarang, Batam, IKN dan Labuan Bajo, sebenarnya spesifikasi teknis dari server yang digunakan oleh suatu negara, apalagi untuk mau menyatukan semua data-datanya sesuai konsep SDI (Satu Data Indonesia) guna mendukung SPBE (Sistem Pemerintahan Berbasis Elektronik) sesuai Perpres No. 132 Tahun 2022 dan Perpres No. 82 Tahun 2023 tidak boleh dibuat dengan asal-asalan apalagi “kejar tayang” sebagaimana banyak terjadi di Indonesia akhir-akhir ini.

Lihat saja pembangunan Jalan Layang Tol Elevated MBZ yang akhirnya diketahui dikorupsi di bawah spec dan IKN yang sangat tampak dipaksakan sampai-sampai Kepala dan Wakil Otoritanya mengundurkan diri secara mendadak.

Secara teknis, kualifikasi teknis untuk server yang akan dipakai sebagai PDN suatu negara tentu bukan hanya soal spec gahar Prosesor 25 ribu Core, Drive 40 Petabyte, Memory 200 Terabyte dan didukung power listrik 20 MWatt, namun PDN juga harus sesuai dengan standar ISO (The International Organization for Standardization) yakni ISO-27001.

Ini adalah standar internasional yang dikeluarkan oleh ISO & IEC (International Electrotechnical Commission) yang mengatur sistem manajemen keamanan informasi. Standar ini memberikan panduan dan kerangka kerja yang komprehensif dalam mengelola keamanan informasi. ISO 27001 berfokus pada perlindungan keamanan informasi yang meliputi aspek kerahasiaan (confidentiality), integritas (integrity), dan ketersediaan (availability).

Pemberian ISO-27001 juga tidak boleh sembarangan, karena meliputi Application, Stage 1: Preliminary Audit, Stage 2: Certification Audit, Follow Up Audit & Certification Granted. Klausul dalam ISO 27001 juga meliputi Context of the Organization, Leadership, Planning, Support & Operation.ISO 27001 menekankan pentingnya perlindungan terhadap aset informasi, termasuk aplikasi web.

Dalam konteks ini, pemanfaatan WAF (Web Application Firewall) harus mendukung manajemen akses, perlindungan terhadap serangan, pemantauan lalu lintas, dan pelaporan yang komprehensif.

Selain itu ada tingkatan teknologi dan sistem keamanan data center yang dikenal dengan standar “Tier”. Klasifikasi Tier ini dimulai tahun 90-an yang sangat berguna sebagai panduan untuk performa dan kualitas. Terdapat 4 tingkatan Tier berdasarkan Telecommunication Industry Association (TIA) 942, yakni Tier 1 Basic Site Infrastructure), Tier 2 Redundant Site Infrastructure Capacity Components, Tier 3 Concurrently Maintainable Site Infrastructure dan Tier 4 Fault Tolerant Site Infrastructure yang merupakan klasifikasi tertinggi. Bersifat fault-tolerant yang memiliki tingkat keamanan tertinggi.

Data center dipantau 24 jam secara otomatis sehingga aman dari gangguan teknis maupun non-teknis. Tingkat uptime hampir sempurna, yaitu 99,995% dengan toleransi downtime hanya berkisar 30 menit per tahunnya.

Kesimpulannya, sebagai PDN – meski ” s alias “sementara” sekalipun – karena peruntukannya adalah menampung semua data intansi yang ada dari sebuah negara bernama Indonesia, maka seharusnya memenuhi ISO-27001 dan standar Tiier-4 di atas. Kalau sejak awal desainnya tidak mengikuti standar tersebut maka perlu diperiksa bagaimana perancangannya bisa (berani) seceroboh Low-Spec itu.

Namun kalau ternyata desainnya memang sudah benar sesuai spec di atas tapi pelaksanaanya dikurangi (baca: dikorupsi) sebagaimana yang sering terjadi di rezim ini, maka di sinilah harus dicari “siapa atau pihak mana” yang bertanggung jawab akan ketidaksesuaian spec tersebut. Tetapi kalau ternyata semua hardware dan software sudah sesuai, maka ya tidak ada obat jika Brainwarenya yang ternyata menyebabkan skor Quintrick (0-7) tersebut selain harus mundur atau dimundurkan.

[Roy Suryo, Pemerhati Telematika, Multimedia, AI & OCB Independen]