Oleh : Dr. KRMT Roy Suryo
Benar-benar speechless, aliaa tidak bisa berkata² lagi melihat keluguan (baca : kebodohan) para pemangku kebijakan teknologi IT Indonesia - dalam hal ini Kemkominfo/Kementerian Komunikasi & Informatika- yang sangat tampak hanya bisa Ela Elo (Gela gelo) alias Plonga plongo saja menghadapi kondisi BAIS-TNI & Kemenhub yang diretas dan ditawarkan data-datanya di Darkweb. Sebelumnya serangan siber ransomware brainchipper lockbit 3.0 menghajar habis 210 data instansi nasional dalam PDNs (Pusat Data Nasional sementara) 2 di Surabaya. Pemerintah tampak mensimplify (atau memang tidak tahu?) masalah yang sebenarnya sangat fatal dan serius tersebut.
Bagaimana tidak? Selalu coba disebutkan bahwa data-data yang diretas tersebut "kini dalam pemulihan" (?) Pemulihan dengan cara apa? Kominfo harus jujur, jangan anggap orang Indonesia semua lugu (baca: ela elo) seperti mereka itu, karena seluruh data di PDNs tersebut sebenarnya sekarang masih dalam posisi terenkripsi alias dikunci oleh Hacker yang meminta tebusan US$ 8 Jt (sekitar Rp 131 Milyar). Kalau ransom tidak dibayar ya data-data tersebut selamanya akan tetap terkunci, meski saya setuju Pemerintah jangan mau tunduk utk membayar, apalagi harus pakai Crypto currency (Bitcoin) yang ribet bilamana terjadi masalah.
Meski benar untuk bersikap tidak mau tunduk ke hacker dan membayar tebusan, tetapi seharusnya Kemkominfo mengakui bahwa "pemulihan" sangat tergantung kepada backup data yg dimiliki oleh masing-masing pemiliknya. Misalnya saja disebut-sebut baru 4-dari-210 yang mulai berangsur "pulih" -diantaranya Imigrasi, LPKP & Kota Bogor- mestinya disebut juga bahwa data-data yang "pulih" ini karena (kebetulan) masih ada Data BackUpnya yang tidak ikut disimpan di PDNs sehingga "selamat" dari serangan ransomware. Saat ini data-data backup tersebut yang digunakan untuk menjalankan sistem kembali, alias bukan data dalam PDNs yg masih dikunci oleh peretasmya.
Kejujuran ini penting seharusnya disampaikan oleh Kemkominfo, sebagaimana yang malah disampaikan oleh KemenkumHAM bahwa mereka untuk bisa tetap berjalan harus mengambil data backup dari Server di Batam dan sekarang terpaksa menggunakan jasa AWS (Amazon Web Services) untuk running. Ini sebenarnya juga berbahaya, karena berarti data-data sekarang tidak diletakkan di server nasional PDNs tetapi justru di Luar negeri, peribahasanya ibarat keluar dari Mulut singa masuk ke mulut buaya. Namun ini setidaknya merupakan solusi sangat darurat yang masih bisa ditoleransi asal dalam tempo singkat dan jangan malah terjadi kebocoran data juga disana.
Meski berbeda kasusnya, kondisi sejenis dahulu juga sempat terjadi saat Indonesia mengalami "krisis satelit" th 2020 akibat Satelit Nusantara-2 gagal diluncurkan dari Tiongkok untuk menggantikan Satelit Palapa D yang sudah habis masa edarnya. Karena kebutuhan akan transponder yang sebelumnya dilayani oleh Palapa D, maka saat itu sempat Indonesia terpaksa menyewa transponder Satelit ChinaSat sementara menunggu peluncuran satelit pengganti beberapa bulan berikutnya. Jadi penggunaan AWS ini harus dipastikan oleh KemenkumHAM dan disupervisi oleh Kemkominfo dan BSSN hanya benar-benar bersifat darurat karena kasus peretasan PDNs tersebut, jangan dalam waktu yang lama.
Kembali kepada permasalahan di PDNs sekarang, meski disebut "sementara" sebelum PDN aslinya berfungsi di Cikarang, Batam, IKN dan Labuan Bajo, sebenarnya spesifikasi teknis dari server yang digunakan oleh suatu negara, apalagi untuk mau menyatukan semua data-datanya sesuai konsep SDI (Satu Data Indonesia) guna mendukung SPBE (Sistem Pemerintahan Berbasis Elektronik) sesuai Perpres No. 132 Th 2022 & Perpres No 82 Th 2023 tidak boleh dibuat dgn asal-asalan apalagi "kejar tayang" sebagaimana banyak terjadi di Indonesia akhir-akhir ini. Lihat saja pembangunan Jalan Layang Tol Elevated MBZ yang akhirnya diketahui dikorupsi dibawah spec dan IKN yang sangat tampak dipaksakan sampai Kepala & Wakil Otoritanya mengundurkan diri secara mendadak.
Secara teknis, kualifikasi teknis untuk server yang akan dipakai sebagai PDN suatu negara tentu bukan hanya soal spec gahar Prosesor 25 rb Core, Drive 40 Petabyte, Memory 200 Terabyte dan didukung Power listrik 20 MWatt, namun PDN juga harus sesuai dengan standar ISO (The International Organization for Standardization) yakni ISO-27001. Ini adalah standar internasional yang dikeluarkan oleh ISO & IEC (International Electrotechnical Commission) yang mengatur sistem manajemen keamanan informasi. Standar ini memberikan panduan dan kerangka kerja yang komprehensif dalam mengelola keamanan informasi. ISO 27001 berfokus pada perlindungan keamanan informasi yang meliputi aspek kerahasiaan (confidentiality), integritas (integrity), dan ketersediaan (availability).
Pemberian ISO-27001 juga tidak boleh sembarangan, karena meliputi Application, Stage 1: Preliminary Audit, Stage 2: Certification Audit, Follow Up Audit & Certification Granted. Klausul dalam ISO 27001 juga meliputi Context of the Organization, Leadership, Planning, Support & Operation.ISO 27001 menekankan pentingnya perlindungan terhadap aset informasi, termasuk aplikasi web. Dalam konteks ini, pemanfaatan WAF (Web Application Firewall) harus mendukung manajemen akses, perlindungan terhadap serangan, pemantauan lalu lintas, dan pelaporan yang komprehensif.
Selain itu ada tingkatan teknologi & sistem keamanan data center yang dikenal dgn standar "Tier". Klasifikasi Tier ini dimulai tahun 90-an yang sangat berguna sebagai panduan utk performa & kualitas. Terdapat 4 (empat) tingkatan Tier berdasarkan Telecommunication Industry Association (TIA) 942, yakni Tier 1 Basic Site Infrastructure), Tier 2 Redundant Site Infrastructure Capacity Components, Tier 3 Concurrently Maintainable Site Infrastructure dan Tier 4 Fault Tolerant Site Infrastructure yang merupakan klasifikasi tertinggi. Bersifat fault-tolerant yang memiliki tingkat keamanan tertinggi. Data center dipantau 24 jam secara otomatis sehingga aman dari gangguan teknis maupun non-teknis. Tingkat uptime hampir sempurna, yaitu 99,995% dgn toleransi downtime hanya berkisar 30 menit per tahunnya.
Kesimpulannya, sebagai PDN -meski " s alias "sementara" sekalipun- karena peruntukannya adalah menampung semua data intansi yang ada dari sebuah negara bernama Indonesia, maka seharusnya memenuhi ISO-27001 dan standar Tiier-4 diatas. Kalau sejak awal desainnya tidak mengikuti standar tersebut maka perlu diperiksa bagaimana perancangannya bisa (berani) seceroboh Low-Spec itu, Namun kalau ternyata desainnya memang sudah benar sesuai spec diatas tapi pelaksanaanya dikurangi (baca: dikorupsi) sebagaimana yang sering terjadi di Rezim ini, maka disinilah harus dicari "siapa atau pihak mana" yang bertanggungjawab akan ketidaksesuaian spec tersebut. Tetapi kalau ternyata semua Hardware & Software sudah sesuai, maka ya tidak ada Obat jika Brainwarenya yang ternyata menyebabkan skor Quintrick (0-7) tersebut selain harus mundur atau dimundurkan.
 BAIS-TNI & Kemenhub Juga diretas, PDNs Tidak Standar ISO & Tier?){kind=link}
0 Komentar