Bisnis.com, JAKARTA – Serangan ransomware ke Pusat Data Nasional Sementara (PDNS) 2 Surabaya baru-baru ini disebut berimbas buruk terhadap reputasi pemerintah juga pengelola dalam hal ini Telkomsigma, dalam melindungi data-data kritis.

Ketua dan Pendiri Indonesia Cyber Security Forum (ICSF) Ardi Sutedja sebelumnya sudah melihat potensi persoalan yang timbul karena perencanaan pembangunan Pusat Data Nasional yang tergolong relatif singkat. Menurutnya apabila pekerjaan krusial seperti PDN harus dipercepat pasti akan ada hal yang luput dikerjakan.

Ironisnya, lanjut dia, serangan ransomware ke PDN juga terjadi jelang pemberlakuan Undang-Undang (UU) Perlindungan Data Pribadi. Hal ini, tekannya menjadi beban berat bukan hanya pemerintah tetapi juga pelaku industri dalam membangun kepercayaan publik dan mengembalikan reputasi sebagai profesional.

“Sedih ini harus terjadi implikasinya luas. Bukan hanya PDN itu tetapi juga reputasi integritas negara dalam melindungi data-data kritis. Ini juga terjadi jelang pemberlakuan UU PDP Oktober nanti,” ujarnya, Kamis (11/7/2024).

Menurutnya, sudah sepatutnya, pemerintah perlu membangun kesadaran diri terlebih dahulu soal pentingnya keamanan data karena serangan ini sudah pernah terjadi sebelumnya seperti kasus BSI tetapi pemerintah tidak bisa memetik pembelajaran dari kasus sebelumnya.

Pasahal, sebutnya, serangan ini bisa dikategorikan sebagai bencana besar yang juga berdampak kepada investor yang hendak menanamkan modalnya ke tanah air.

Sisi lain, dia juga menyoroti penggunaan teknologi di Indonesia yang masih menggantungkan diri kepada teknologi dari luar karena belum banyak menggunakan teknologi buatan dalam negeri.

“Ke-depan pola pikir ini harus berubah. Jadi konsumen pun harus kritis. Saat membeli teknologi harus mempelajari kelemahannya apa. Jangan Cuma beli tahunya beres pasang aja,” imbuhnya.

Dengan melihat sejumlah peristiwa yang ada, dia menyimpulkan bahwa aspek perlindungan data di Indonesia belumlah aman, dari sisi tata kelola manajemen risiko hingga kepatuhan belum menjadi budaya dalam mengelola teknologi agar nyaman dan aman.

Hal ini termasuk Sumber Daya Manusia (SDM) yang jam terbangnya masih minim.

Dia meminta agar dalam pembuatan regulasi berikutnya, pemerintah dapat melibatkan semua unsur pemegang kepentingan dan harus adanya kesepakatan dari semua pihak.

Chairman Lembaga Riset Keamanan Siber CISSReC Pratama Persadha menuturkan, saat ini Kominfo sedang membangun PDN permanen di Cikarang dan rencananya akan diresmikan pada HUT RI tahun ini.

PDN yang sedang dibangun ini merupakan satu dari empat PDN yang rencananya akan dibangun.

Dia berpendapat pembangunan sebanyak empat PDN tentu saja merupakan suatu hal yang bagus, karena dapat mengakomodir kebutuhan pusat data untuk layanan publik pemerintahan, tidak hanya untuk sistem utamanya tetapi juga termasuk untuk sistem backup.

Pasalnya, dengan semakin banyaknya PDN dan lokasi penyimpanan backup, bisa dipergunakan dalam waktu cepat mengembalikan layanan pada saat sistem utama mengalami gangguan. Alhasil sistem backup sehingga pelayanan publik tidak terganggu dalam waktu yang lama.

“Yang masih perlu diperbaiki dan dievaluasi adalah desain PDN, baik dari sisi infrastruktur maupun dari sisi keamanan sibernya sehingga bisa dipastikan keandalan sistemnya jika terjadi gangguan maupun serangan siber,” terangnya.

Selain itu, sambungnya, infrastruktur, yang perlu dievaluasi selanjutnya adalah pengelolaan PDN, siapa yang bertugas mengelola PDN dan apakah pengelola PDN tersebut sudah mendapatkan pelatihan baik dari sisi teknis maupun kewaspadaan keamanan sehingga tidak terjebak pada umpan yang diberikan peretas melalui phising/social engineering.

Dia meyakini empat PDN yang dibangun seharusnya sudah lebih dari cukup untuk menampung dan mengelola data seluruh masyarakat di Indonesia karena yang dibangun bukanlah dalam skala kecil.

Namun tentu saja kapasitasnya belum akan bisa maksimal sampai seluruh PDN selesai dibangun.

Sejauh ini, Pratama melihat aspek perlindungan data pribadi di Indonesia sudah cukup baik dengan disahkannya UU PDP. Namun yang disayangkan adalah UU PDP tersebut belum dijalankan karena belum ada lembaga atau otoritas yang dibentuk untuk mengawasi pelanggaran terhadap UU PDP

Tanpa adanya lembaga pengawas, maka tida ada yang menjatuhkan berbagai sanksi untuk memberikan efek jera kepada yang lainnya.

Saat ini, tegasnya, Indonesia juga sudah memiliki berbagai regulasi dan peraturan untuk menjaga data pribadi seperti UU ITE serta UU PDP. Tak hanya itu, Indonesia juga sudah memiliki peraturan perundang-undangan tentang tata kelola.

Oleh karena itu, yang perlu dilakukan pemerintah adalah segera mengesahkan RUU Ketahanan dan Keamanan Siber yang sampai saat ini masih tertunda padahal RUU keamanan dan ketahanan siber tersebut diperlukan untuk menjaga kedaulatan siber Indonesia.

Bisnis.com, JAKARTA – Pemerintah dinilai memerlukan untuk segera membentuk Data Protection Authority (DPA) atau lembaga Pelindungan Data Pribadi (PDP).

Peneliti Center for Indonesian Policy Studies (CIPS) Muhammad Nidhal mengatakan lembaga tersebut sebenarnya merupakan amanah Undang-Undang Pelindungan Data Pribadi (UU PDP) yang harus diwujudkan dalam waktu dua tahun. Mengingat, kebocoran data terus berpotensi kembali muncul.

“Idealnya, inisiasi pembentukan Data Protection Authority sudah dimulai sejak UU PDP disahkan. Berbagai peristiwa kebocoran data sebelum pengesahan UU PDP sudah menunjukkan minimnya pelindungan data di Indonesia,” ujarnya, Sabtu (6/7/2024).

Menurutnya, UU PDP dapat menetapkan persyaratan yang harus dipatuhi oleh pengendali data dan pemroses data dalam mengumpulkan, memproses, dan mentransfer data pribadi, serta sanksi administratif bagi pelanggar data pribadi. UU ini juga memandatkan lembaga PDP dalam mengawasi ekosistem pelindungan data pribadi di Indonesia.

Selain itu, kata Nidhal, badan yang memiliki atau mengolah data, baik publik maupun swasta, dapat diberikan tenggang waktu dua tahun untuk menyiapkan DPO (Data Protection Officer) atau Pejabat/Petugas Pelindungan Data Pribadi (PPDP) yang tersertifikasi serta persyaratan teknis lainnya yang ditetapkan oleh undang-undang.

Kendati demikian, mengingat aktivitas peretasan yang belum lama ini terjadi dia menilai untuk sementara, UU PDP dapat memberikan kewenangan kepada presiden untuk menunjuk lembaga PDP yang dianggap sebagai lembaga netral dan terpercaya.

Meski begitu, menurut Nidhal, netralitas lembaga PDP hanya dapat dijamin apabila tidak berada di bawah pemerintah. Hal ini penting mengingat kasus kebocoran data paling banyak terjadi di sektor pemerintah, sebanyak 69% atau 71 insiden pada 2023.

“Lembaga PDP sejatinya bukan untuk melayani kepentingan pemerintah, tapi justru untuk mengawasi kepatuhan pemerintah terhadap UU PDP. Efektivitas pengawasan dan penegakannya hanya bisa dilakukan apabila berada di luar rumpun pemerintah,” tuturnya.

Nidhal menyebut, setidaknya ada dua hal yang perlu dipertimbangkan dalam pembentukan badan ini. Yang pertama, lembaga PDP harus bebas dari segala pengaruh lembaga manapun, termasuk tiga cabang kekuasaan, yaitu eksekutif, yudikatif dan legislatif, serta badan swasta.

Independensi ini tidak hanya dari segi kelembagaan, tetapi juga dari komposisi keanggotaannya. Selain dari kualifikasi dan keahlian, ketua dan anggota harus juga tidak sedang aktif terlibat dalam kegiatan politik. Kontrol keuangan juga tidak boleh memengaruhi independensi lembaga.

Kedua, lembaga PDP perlu dilengkapi dengan mekanisme pengaduan yang transparan yang berhubungan dengan privasi data diajukan oleh lembaga terhadap institusi pelanggar tertentu.

“Karena itu, sekali lagi, penyeimbangan kepentingan para pihak menjadi krusial. Kebijakan PDP yang dihasilkan harus berbentuk square-policy model, di mana pemerintah, bisnis, otoritas, dan masyarakat, berlandaskan kolaborasi dan partisipasi yang bermakna, berbagi peran dan tanggung jawab dalam menjaga ekosistem data pribadi yang lebih aman,” tandas Nidhal.

Sebelumnya, Presiden Joko Widodo (Jokowi) menegaskan bahwa pemerintah telah melakukan evaluasi menyeluruh atas insiden peretasan terhadap Pusat Data Nasional Sementara (PDNS) 2 yang terjadi beberapa waktu lalu.

Meski begitu, orang nomor satu di Indonesia itu menekankan agar semua data nasional direkam cadang (back up).

“Ya, sudah kita evaluasi semuanya. Yang paling penting semuanya harus dicarikan solusinya agar tidak terjadi lagi, di-back up semua data nasional kita sehingga kalau ada kejadian kita tidak terkaget-kaget. Dan ini juga terjadi di negara-negara lain, bukan hanya di Indonesia saja,” ujarnya usai meresmikan Pabrik PT Hyundai LG Indonesia, Kabupaten Karawang, Provinsi Jawa Barat pada Rabu (3/7/2024).

Sebelumnya, Presiden Ke-7 RI itu telah memimpin rapat bersama jajarannya untuk membahas penanganan serangan siber terhadap PDNS tersebut pada Jumat (28/06/2024) lalu. Sebagai tindak lanjut dari rapat tersebut, telah digelar rapat tingkat menteri yang dipimpin oleh Menteri Koordinator Bidang Politik, Hukum, dan Keamanan (Menko Polhukam) Hadi Tjahjanto.

Hadi menekankan bahwa membuat cadangan merupakan kewajiban yang harus dilaksanakan oleh setiap kementerian, lembaga, dan pemerintah daerah.

“Ini mandatori, tidak opsional lagi. Sehingga kalau secara operasional PDNS berjalan, ada gangguan, masih ada backup yaitu di DRC atau Cold Site yang ada di Batam dan bisa auto gate interactive service,” ujar Hadi dalam konferensi pers di Kantor Kementerian Koordinator Polhukam, Jakarta, pada Senin (1/7/2024).