Notifikasi Dampak "Ransomware" PDN Nihil, Sikap Pemerintah Dipertanyakan

JAKARTA, KOMPAS.com - Sikap pemerintah tak kunjung memberikan pemberitahuan atau notifikasi kepada masyarakat tentang kegagalan pelindungan data terkait serangan siber ransomware terhadap Pusat Data Nasional (PDN) Sementara dipertanyakan.

Menurut Direktur Eksekutif Lembaga Studi & Advokasi Masyarakat (ELSAM) Wahyudi Djafar, mestinya pemerintah menyampaikan notifikasi kepada masyarakat secara langsung tentang terjadinya kegagalan pelindungan data, sesuai Undang-Undang Pelindungan Data Pribadi (PDP).

"Yang menjadi pertanyaan sampai saat ini pemerintah belum juga memberikan notifikasi publik. Kan belum ya," kata Wahyudi saat dihubungi Kompas.com, Kamis (27/6/2024).

"Kalau baca pasal 46 Undang-Undang PDP, ketika terjadi kegagalan pelindungan data maka harus disampaikan kepada publik melalui notifikasi," sambung Wahyudi.

Baca juga: Pemerintah Sebut Data PDN yang Diretas Tak Bisa Dikembalikan

Wahyudi mengatakan, publik yang datanya terdampak serangan siber mesti mengetahui apa yang sebenarnya terjadi, langkah mitigasi apa yang dilakukan, dan sejauh mana pemerintah melakukan investigasi dan berupaya menangani persoalan itu.

Menurut Ayat 1 Pasal 46 UU PDP, dalam hal terjadi kegagalan Pelindungan Data Pribadi, maka Pengendali Data Pribadi wajib menyampaikan pemberitahuan secara tertulis paling lambat 3 x 24 jam kepada Subjek Data Pribadi dan lembaga.

"Pemberitahuan tertulis sebagaimana dimaksud pada ayat (1) minimal memuat:

a. Data Pribadi yang terungkap;

b. kapan dan bagaimana Data Pribadi terungkap; dan

c. upaya penanganan dan pemulihan atas terungkapnya Data Pribadi oleh Pengendali Data Pribadi.," demikian isi Ayat 2 Pasal 46 UU PDP.

Baca juga: Gagal Lawan Peretas PDN, Pemerintah Pasrah Kehilangan Data Berharga

Sedangkan pada Ayat 3 disebutkan, dalam hal tertentu, Pengendali Data Pribadi wajib memberitahukan kepada masyarakat mengenai kegagalan Pelindungan Data Pribadi.

Sebelumnya diberitakan, Menteri Komunikasi dan Informatika (Menkominfo) Budi Arie Setiadi menyebut pelaku serangan siber meminta tebusan 8 juta dollar Amerika Serikat, jika pemerintah ingin membuka enkripsi terhadap sistem data PDN yang terinfeksi.

"Tadi Badan Siber dan Sandi Nasional (BSSN) konferensi pers di Kominfo. Saya tinggal karena saya harus ke sini. Ini serangan virus lockbit 302," ujar Budi Arie di Kompleks Istana Kepresidenan, Jakarta, Senin (24/6/2024).

Sistem PDN mengalami gangguan hingga membuat layanan keimigrasian di sejumlah bandara, termasuk Bandara Soekarno-Hatta, terganggu sejak Kamis (20/6/2024).

Peladen (server) PDN Sementara yang berada di Surabaya, Jawa Timur mengalami serangan siber perangkat lunak jahat dengan tebusan (ransomware).

Baca juga: Baru 5 dari 282 Layanan Publik Pulih Usai PDN Diretas

Lembaga yang mengelola peladen PDN Sementara adalah konsorsium Telkom Sigma dan Lintasarta.

PDN Sementara mengalami serangan brain chiper ransomware pengembangan terbaru bernama lockbit 3.0.

Perangkat lunak jahat itu bekerja dengan cara mengambil alih kendali akses terhadap data, lalu menguncinya dengan sandi yang hanya bisa dibuka jika korban membayar tebusan dengan nilai yang ditentukan pelaku.

Akan tetapi, kemungkinan besar pelaku sudah terlebih dulu menyalin data masyarakat yang berada di PDN sebelum dikunci. Data masyarakat yang sudah terlanjur berada di tangan pelaku juga berpotensi diperdagangkan di situs khusus para peretas.

Adapun sistem PDN tidak hanya digunakan oleh Ditjen Imigrasi. Sistem tersebut juga digunakan banyak kementerian/lembaga lainnya.

Baca juga: Pemerintah Tak Bayar Tebusan ke Peretas PDN, Data Kementerian/Lembaga Dibiarkan Hilang

Merujuk pada sistem resmi Kemenkominfo, PDN menjadi fasilitas untuk sistem elektronik dan komponen lain guna menyimpan, menempatkan, mengolah, dan memulihkan data.

PDN Sementara digunakan karena PDN utama belum dioperasikan. PDN dibangun pemerintah akan berada di 4 lokasi yaitu Cikarang-Jawa Barat, Batam-Kepulauan Riau, Ibu Kota Nusantara (IKN)-Kalimantan Timur, dan Labuan Bajo-Nusa Tenggara Timur.

PDN juga pernah menjadi sorotan ketika terjadi kasus dugaan kebocoran 34 juta data paspor Indonesia yang diperjualbelikan di situs daring pada 2023.

Sementara itu, Direktur Jenderal Informasi dan Komunikasi Publik (KIP) Kemkominfo Usman Kansong menyampaikan pemerintah tidak bisa menyelamatkan data pemerintah dan masyarakat pada peladen (server) PDN Sementara yang mengalami serangan siber.

Mereka mengutamakan pemulihan data 44 kementerian/lembaga yang mempunyai cadangan.

Baca juga: Pemerintah Akui Tak Bisa Pulihkan Data Kementerian/Lembaga Terdampak Peretasan PDN

Direktur Network dan IT Solution Telkom Herlan Wijanarko menyampaikan bahwa data yang sudah dikunci ransomware tidak bisa dipulihkan. Sehingga, saat ini tim pemerintah berupaya memulihkan data dengan sumber daya yang tidak terenkripsi ransomware.

Herlan menambahkan, data yang diserang peretas tidak akan bocor ke luar. Pasalnya, data-data yang terenkripsi ransomware masih berada daam server PDN dan akses dari luar sudah diputus.