Oleh Eko B. Supriyanto, Chairman Infobank Media Group
PUSAT Data Nasional Sementara (PDNS) diserbu oleh hacker. Para “pembegal” data itu meminta tebusan uang. Ada 210 instansi pemerintah terdampak dari serangan para “pembegal” data ini. Salah satu instansi yang paling terkenda dampaknya adalah pada sistem pelayanan imigrasi dari Kementerian Hukum dan Hak Asasi Manusia Republik Indonesia (Kemenkumham RI). Juga, Direktorat Jenderal Pajak, Departemen Keuangan RI. Pertanyaan berseliweran, apakah data-data rekening bank juga kena “begal” dan amankah uang Anda di bank?
Diketahui, server PDNS 2 yang berlokasi di Surabaya, terkena serangan siber dari ransomware berjenis LockBit 3.0 varian baru yang bernama ransomware Brain Chiper. Ransomware meminta tebusan uang USD8 juta ke pemerintah, namun pemerintah menolak. Sampai hari ke-8 masih banyak data yang belum dipulihkan, dan data itu kini tercecer dan diperjualbelikan.
Padahal, menurut seorang ahli cyber security, sebelumnya Badan Siber dan Sandi Negara (BSSN) telah memperingatkan berbagai kementerian terkait ancaman peretasan baru bernama Brand Chiper Ransomware. Peringatan ini didasarkan pada serangan serupa di negara lain dan riset dari MIT yang menunjukkan bahwa keamanan siber Indonesia berada di peringkat ke-20 dengan skor hanya 3,4 dari rentang 5.
“Pembegalan” data ini menimbulkan pertanyaan besar dibenak publik tentang kecebohan, kelalaian kalau tidak dibilang kebodohan dalam pengelolaan data dan keamanan digital. Apalagi reaksi pemerintah dalam hal ini kantor Kementerian Komunikasi dan Informasi (Kominfo) tampak santai-santai saja.
Tak terlihat jawaban yang menenangkan publik, hingga akhirnya jawaban-jawaban “gagal paham” ketika dalam Rapat Dengar Pendapatan (RDP) dengan Komisi I DPR RI dengan Kominfo dan Badan Siber dan Sandi Negara (BSSN). Menteri Komunikasi dan Informatika (Menkominfo) Budi Arie Setiadi masih bisa bersyukur dan mengucap “alhamdulillah” usai sistem pusat data nasional (PDN) diretas. Budi Arie bersyukur karena pelaku yang meretas sistem PDN bukanlah sebuah negara, melainkan non-state actor dengan motif ekonomi. Sementara seorang anggota dewan menyebutnya bukan alhamdulilah tapi innalilahi.
Jawaban ini jelas tidak melegakan dan lebih menyederhanakan masalah. Apakah negara atau swasta kebocoran data ini masalah serius. Lha data bisa dijual kemana-mana dan bisa jual eceran. Lebih dari itu, reaksi Kemenkominfo tidak sat-set dan cilaka dua belas, data itu tidak di back-up. Ini data diretas kok tampak “dijogetin” aja, tidak tampak serius yang dibaca oleh publik.
Jujur saja, negara masih kalah dalam soal keamanan data dengan perbankan. Jika Kemenkominfo baru saja akan menanda-tangani aturan instansi wajib back-up data usai PDN diretas. Sementara sektor perbankan sudah lebih dulu membuat kebijakan back-up data. Bahkan, jauh sebelum krisis perbankan tahun 1998 lalu perbankan sudah mengenal disaster recovery center (DRC) untuk mengamankan data. Pendek kata, data ada back-upnya.
Bahkan, banyak aturan yang sudah dikeluarkan Otoritas Jasa Keuangan (OJK) tentang keamanan data dalam transformasi digital ini. Khusus untuk aturan tentang keamanan siber ini tertuang dalam POJK No.11 Tahun 2022, terutama pasal 22,23 dan 26 yang bunyinya, bank wajib menjaga ketahanan siber. Juga, bank juga wajib menggunakan uji coba ketahanan siber. Bahkan, bank wajib membentuk unit atau fungsi yang bertugas menangani ketahanan dan keamanan siber.
Selain POJK No.11 Tahun 2022 ini, OJK juga mengeluarkan SEOJK No.29/SEOJK.03/2023 tentang keamanan siber dan resilience untuk bank umum.
Jelas di sini bank lebih siap dibandingkan pemerintah, seperti menyangkut risk governance, risk management process, internal control dan risk management framework. Juga, identify assets, asset protection, cyber incident detection, dan cyber incident response & recovery.
Sektor perbankan lebih beruntung tidak masuk ke Pusat Data Nasional. Jadi, kabar yang menyebut akan ada bank yang diserang karena menggunakan data yang dibegal dari PDN tentu tidak benar. Selain implementasi keamanan siber sektor perbankan masuk kategori terkelola (relatif aman), sektor perbankan lebih teratur.
Itu bukan berarti sektor perbankan minim serangan siber, tapi sejauh ini lebih cepat ditangani dan tidak menimbulkan kegoncangan. Salah satu serangan siber di perbankan yang sempat terganggu ketika ransomware menyerang Bank Syariah Indonesia (BSI). Banyak pelajaran yang bisa dipetik oleh kasus BSI ini, seperti bahwa pergantian perangkat keras dan transformasi dibutuhkan ke hati-hatian, termasuk edukasi kepada karyawan tentang bahaya serangan siber.
Saat ini, hampir tiap hari ada serangan siber ke seluruh penjuru dunia. Caranya, seperti phishing, malware, dan ransomware modern. Dan, yang terpenting keamanan siber merupakan proses yang berkelanjutan. Jadi, hari-hari ini, bank-bank masih tidak bergabung dengan PDN, datanya aman dan tidak diobral kemana-mana.
Kisruh data di PDN yang “dibegal” ransomeware tidak termasuk data-data perbankan, karena bank tidak ikut share data ke PDN. Jadi uang Anda aman di bank. Tetaplah menabung di bank, dan tentu sebagai nasabah tetap menjaga kerahasiaan data pribadi Anda. Dan, bank-bank terus menjaga data-data dengan baik dengan menjadikan keamanan siber menjadi budaya kerja baru di era digital ini. Keamanan siber menajdi prioritas penting manajemen dan pendekatan proaktif.
Bisa jadi Kemenkominfo belajar dari sektor perbankan soal banyak hal, terutama soal recovery data dan sense of crisis. Sudah delapan hari data itu belum pulih. Soal data itu penting, siapa pun yang membegal data itu kita harus sat-set dan tidak menganggapnya ringan dan terkesan seperti “dijogetin” aja, padahal dana pemeliharaan mencapai Rp700 miliar. Bahkan UU Perlindungan Data sudah ada, lha melindungi data negara saja zonk, apalagi melindungi data pribadi. Edan!