"Desain PDNS seperti yang di-release oleh Kominfo serta BSSN sebetulnya sudah ideal jika memang implementasi serta pengelolaannya sesuai dengan desain tersebut," kata Pratama Persadha, pakar keamanan siber dari Communication and Information System Security Research Center (CISSReC).

"Namun, kenyatannya proses replikasi tidak berjalan karena seharusnya begitu PDNS 2 mengalami gangguan, maka PDNS 1 akan mengambil alih, kemudian data di PDNS 2 akan dipulihkan dari cold site."

Silmy Karim, Direktur Jenderal Imigrasi Kementerian Hukum dan HAM, juga sempat mengatakan bahwa data kementeriannya di PDNS tidak direplikasi.

Menurut Silmy, pihaknya telah mengirim surat kepada Kementerian Kominfo sejak April untuk meminta datanya direplikasi, tapi tidak digubris.

Maka, Silmy meminta stafnya terus membarui backup data internal di Pusat Data Keimigrasian (Pusdakim) untuk berjaga-jaga.

"Memang tidak dijawab [suratnya]. Makanya kita siapkan di Pusdakim,” kata Silmy pada 28 Juni, seperti dilaporkan Kompas.com.

Lantaran punya backup data sendiri, layanan keimigrasian bisa relatif cepat pulih setelah sempat terkendala karena serangan ransomware terhadap PDNS Surabaya.

Kepala BSSN, Hinsa Siburian, mengatakan hanya 2% data yang ada di PDNS Surabaya yang telah memiliki backup di cold site di Batam.

Karena itu, para pengguna layanan PDNS serta Kementerian Kominfo disebut tidak mematuhi Peraturan BSSN Nomor 4/2021.

Pasal 35 ayat 2e di peraturan itu menyebutkan bahwa salah satu syarat untuk memenuhi standar teknis keamanan pusat data nasional adalah dengan "melakukan backup informasi dan perangkat lunak yang berada di pusat data nasional secara berkala".

"Memang kami melihat secara umum, mohon maaf Pak Menteri [Budi Arie Setiadi], permasalahan utama adalah tata kelola – ini hasil pengecekan kita – dan tidak adanya backup," kata Hinsa.

Meutya Hafid, Ketua Komisi I DPR, menanggapi hal ini dengan keras.

"Kalau enggak ada backup sih itu bukan [soal] tata kelola," kata Meutya.

"Ini masalah kebodohan," tambahnya.

Di sisi lain, Menteri Budi dan Semuel Abrijani Pangerapan selaku direktur jenderal aplikasi informatika Kementerian Kominfo, berkeras mengatakan bahwa keputusan melakukan pencadangan data ada di tangan para instansi pengguna PDNS.

Kementerian Kominfo, kata Semuel, hanya bertindak sebagai prosesor, bukan pengendali data, sehingga tidak berhak melihat data yang ada.

"Jadi kami [hanya] kasih fasilitasnya, dan tiap kali mereka menggunakan fasilitas kami, ada kontraknya," kata Semuel.

Salah satu ketentuan di kontrak itu adalah para pengguna layanan PDNS wajib "melakukan backup data secara mandiri", tambahnya.

Masalahnya, kata Budi, tidak banyak pengguna layanan PDNS yang mencadangkan datanya.

Sejumlah instansi pemerintahan, kata Budi, kerap kesulitan mengalokasikan dana untuk pengadaan "infrastruktur backup" karena keterbatasan anggaran atau "kesulitan menjelaskan" kepada auditor soal pentingnya mencadangkan data.

Tidak jelas apakah dana untuk "infrastruktur backup" yang dimaksud Budi adalah untuk menyimpan data di PDNS atau di pusat data internal masing-masing instansi.

Sebagai catatan, sejak terbitnya Peraturan Presiden Nomor 39/2019 tentang satu data Indonesia, instansi pemerintah tidak boleh melakukan pembelian server secara mandiri dan wajib menyimpan datanya di pusat data nasional, kata Pratama dari CISSReC.

Sementara itu, saat dicecar para anggota Komisi I DPR soal kebijakan backup data, I Wayan Sukerta, Direktur Delivery dan Operasi Telkomsigma, mengatakan pihaknya hanya mengikuti kerangka acuan kerja sebagai vendor untuk PDNS Surabaya.

"Untuk sisi operasinya sendiri, pelaksanaannya itu kita juga mengikuti prosedur layanan yang ditetapkan oleh Kominfo," kata Wayan.

"Memang backup itu harus ada permintaan tiket yang disampaikan oleh tenant [pengguna layanan PDNS]."

Beberapa kejanggalan

Pratama Persadha, pakar keamanan siber dari CISSReC, mempertanyakan penggunaan Windows Defender, aplikasi antivirus bawaan sistem operasi Windows untuk PDNS.

Apalagi, Menteri Keuangan Sri Mulyani Indrawati sempat mengatakan bahwa Kementerian Komunikasi dan Informatika mendapat alokasi dana Rp700 miliar untuk pengembangan pusat data nasional pada 2024.

"Meskipun Windows Defender masih bisa dipergunakan untuk keperluan rumahan atau untuk industri kecil, tidak seharusnya sebuah data center dengan nilai anggaran sebesar Rp700 miliar masih menggunakan perangkat bawaan sistem operasi," kata Pratama.

Menurutnya, masih banyak pilihan perangkat keamanan siber lainnya yang bisa menjadi opsi. Cara-cara lain pun bisa digunakan untuk menambah lapisan keamanan, entah dengan pengaturan akses ataupun penggunaan metode autentikasi multifaktor.

Ronal Gorba Timothy, kepala divisi IT di sebuah jaringan kedai kopi lokal, menyampaikan hal senada.

Untuk pengguna komputer individu saja, ia menilai Windows Defender tidak cukup, apalagi untuk sebuah pusat data yang dikelola pemerintah.

Terkait pilihan sistem operasi, Ronal pun merasa Linux lebih aman daripada Windows dan lebih umum digunakan untuk sebuah server data.

Ia bilang Windows memang sistem operasi paling populer di dunia. Namun, karena itu pula jenis serangan siber yang mengincar Windows lebih banyak dibanding yang lainnya. Maka, lapisan keamanan yang diperlukan juga berlipat.

"Kalau pengembangnya memang fokusnya pakai ekosistem Windows ya enggak apa-apa, tapi software-software yang digunakan untuk mendukung itu harus memadai juga," kata Ronal.

Sementara itu Ciptoning Hestomo, manajer IT di sebuah startup keuangan, tidak habis pikir melihat pemerintah tidak memiliki prosedur backup data yang memadai.

Ia bilang backup data adalah kebutuhan yang sangat mendasar, layaknya makan bagi manusia.

"Backup itu sebenarnya default, sudah harus ada, bukan sesuatu yang harus diwajibkan dengan peraturan," kata Ciptoning. "Apalagi yang dijaga kan data satu negara."

"Jadinya pemerintah seakan enggak mengerti apa yang mereka buat sendiri."

Ronal bilang, bahkan perusahaan swasta kecil sekalipun biasanya punya prosedur backup data rutin dengan frekuensi paling tidak sekali setiap hari.

"Jadi, kalau misalnya ada serangan ransomware, data yang hilang ya data hari terakhir saja. Paling buruknya begitu," ujar Ronal.

Di luar itu semua, Ronal dan Ciptoning menyoroti serangan ransomware yang biasanya terjadi karena kelalaian pengguna komputer mengeklik tautan tidak jelas atau membuka aplikasi yang berisi program berbahaya.

Maka wajar, kata mereka, bila publik curiga ada keteledoran petugas PDNS yang membuat ransomware menyusup ke sistem di fasilitas itu, meski hal ini perlu dibuktikan lebih jauh.

Saat rapat kerja dengan Komisi I DPR pada 27 Juni, Meutya Hafid, Ketua Komisi I DPR, sempat menanyakan hal ini kepada Kepala BSSN Hinsa Siburian.

Hinsa hanya bilang itu bisa terjawab bila hasil audit forensik menyeluruh telah keluar.

Yang pasti, Pratama mengatakan kejadian ini menunjukkan "ketidaksiapan pemerintah", entah dalam mengelola data berjumlah besar ataupun menghadapi krisis siber.

"Respons pemerintah tidak dapat dikatakan baik-baik saja, karena gangguan yang sudah terjadi sejak tanggal 20 Juni baru diumumkan kepada masyarakat pada tanggal 24 Juni dan itupun baru sebatas indikasi awal," kata Pratama.

"Hal ini seolah-olah pemerintah ingin mencoba memperbaiki terlebih dahulu supaya tidak diketahui publik apa masalah yang sebenarnya."

Audit menyeluruh

Dalam paparannya di Komisi I DPR, Menteri Komunikasi dan Informatika Budi Arie Setiadi mengatakan pemerintah telah menyiapkan strategi pemulihan jangka pendek, menengah, dan panjang terkait lumpuhnya layanan berbagai instansi pemerintah.

Strategi jangka pendek dijadwalkan berlangsung sejak 20 Juni hingga 30 Juli.

Budi berencana segera menerbitkan Keputusan Menteri baru soal penyelenggaraan pusat data nasional, yang salah satunya mewajibkan seluruh instansi pemerintah untuk mencadangkan datanya secara rutin.

"Jadi sifatnya mandatori, bukan opsional seperti sebelumnya," kata Budi.

"Paling lambat, Senin, [1 Juli] Kepmen akan saya tanda tangani."

Proses forensik akan berlangsung hingga pekan pertama Juli. Pemulihan layanan prioritas dan layanan yang memiliki backup data ditargetkan rampung pada akhir Juli.

Pada strategi jangka menengah, Kementerian Kominfo memasang tenggat pada pekan kedua Agustus untuk pemulihan sepenuhnya layanan PDNS Surabaya, implementasi rekomendasi hasil forensik, perbaikan prosedur, dan evaluasi tata kelola PDNS.

Untuk strategi jangka panjang, pihak ketiga independen akan melakukan audit keamanan PDNS hingga pekan keempat September dan, rencananya, hasil audit akan dijalankan mulai pekan keempat November.

Pada 28 Juni, saat rapat terbatas di Istana Negara, Jakarta, Presiden Joko Widodo juga memerintahkan Badan Pengawasan Keuangan dan Pembangunan (BPKP) untuk mengaudit tata kelola pusat data nasional.

"Disuruh audit tata kelola PDN. Tata kelolanya sama finansialnya,” kata Kepala BPKS Muhammad Yusuf seusai rapat terbatas itu.

Pratama Persadha, pakar keamanan siber dari CISSReC, mengingatkan pemerintah untuk menerapkan sistem keamanan berlapis bila tidak ingin kejadian yang sama terulang lagi ke depan.

Ini termasuk memastikan tidak ada kesalahan pemrograman API, mengenkripsi data di server, dan memilih sistem keamanan siber yang tepat.

Pengelola pusat data juga harus memiliki backup di brankas data luring, selalu melakukan update aplikasi, dan menerapkan strategi kelangsungan usaha pascakrisis.

Pemerintah pun diharapkan menguatkan peran dan fungsi Badan Siber dan Sandi Negara (BSSN), sekaligus menyiapkan sanksi kepada pengelola situs pemerintah atau situs akademis yang mengalami peretasan.

"Apalagi yang sampai mengakibatkan bocornya data pribadi masyarakat, [pengelola situs bisa mendapat] sanksi administratif seperti peringatan sampai kepada demosi jabatan karena dianggap lalai dalam mengelola situs tersebut," kata Pratama.