Publik Dirugikan "Ransomware" PDN Bisa Tuntut Perdata Pemerintah

JAKARTA, KOMPAS.com - Masyarakat yang merasa dirugikan dalam pelayanan publik terhambat akibat serangan siber ransomware terhadap Pusat Data Nasional (PDN) Sementara disebut bisa menuntut pemerintah secara perdata.

Hal itu disampaikan Direktur Eksekutif Lembaga Studi & Advokasi Masyarakat (ELSAM) Wahyudi Djafar, terkait keputusan pemerintah membiarkan data publik serta kementerian/lembaga pada PDN Sementara yang terkena serangan siber terkunci dan tidak bisa dipulihkan.

Dia mengatakan, masyarakat bisa menuntut secara perdata menggunakan Undang-Undang Informasi dan Transaksi Elektronik (ITE) karena dirugikan akibat kegagalan pemerintah dalam melakukan pelindungan data, dan menyebabkan layanan publik terganggu.

"Publik dengan instrumen Undang-Undang ITE dan secara perdata melalui clash action bisa meminta ganti kerugian kepada pemerintah atas kegagalan perlindungan data dan hal-hal yang terkait insiden ini," kata Wahyudi saat dihubungi Kompas.com pada Kamis (27/6/2024).

Baca juga: Pemerintah Sebut Data PDN yang Diretas Tak Bisa Dikembalikan

Wahyudi mengatakan, negara bertanggung jawab memastikan atas keamanan dan perlindungan data publik.

Di sisi lain, Wahyudi tidak yakin jika pemerintah bisa memberlakukan sanksi administratif terhadap para pejabat yang bertanggung jawab dalam urusan pengelolaan data publik pada PDN Sementara.

Selain itu, kata Wahyudi, sanksi administratif itu juga belum diatur secara rinci.

"Apakah melakukan demosi terhadap pejabat yang gagal dalam melakukan perlindungan data," ucap Wahyudi.

Wahyudi menyampaikan, jika sanksi administratif itu dialamatkan kepada para pejabat di Kementerian Komunikasi dan Informatika (Kemenkominfo) yang bertanggung jawab dalam urusan itu kemungkinan juga tidak bakal berjalan efektif.

Baca juga: Data di 282 Layanan Kementerian/Lembaga Hilang Imbas Peretasan PDN, Hanya 44 yang Punya Back Up

"Mestinya yang melakukan fungsi itu ada di Kominfo. Akan tetapi Kominfo kan menjadi bagian dari penyedia pengelolaan data center. Jadi sanksi administratif sulit diterapkan secara efektif. Rasanya agak sulit mereka mau menghukum diri sendiri," papar Wahyudi.

Selain itu, Wahyudi menilai jalan lain buat meminta pertanggungjawaban atas kejadian itu adalah melalui pendekatan pidana.

Menurut Wahyudi, jika nantinya insiden itu diusut oleh penegak hukum maka pihak-pihak yang lalai sehingga menyebabkan hilangnya data-data strategis pemerintah bisa dimintakan pertanggungjawaban di hadapan hukum.

"Investigasi mendalam menjadi penting untuk menentukan apakah ada pelanggaran dalam Undang-Undang ITE. Undang-Undang PDP juga bisa diterapkan karena kan sudah berlaku," ucap Wahyudi.

Sebelumnya diberitakan, Menteri Komunikasi dan Informatika (Menkominfo) Budi Arie Setiadi menyebut pelaku serangan siber meminta tebusan 8 juta dollar Amerika Serikat, jika pemerintah ingin membuka enkripsi terhadap sistem data PDN yang terinfeksi.

Baca juga: Data di 282 Layanan Kementerian/Lembaga Hilang Imbas Peretasan PDN, Hanya 44 yang Punya Back Up

"Tadi Badan Siber dan Sandi Nasional (BSSN) konferensi pers di Kominfo. Saya tinggal karena saya harus ke sini. Ini serangan virus lockbit 302," ujar Budi Arie di Kompleks Istana Kepresidenan, Jakarta, Senin (24/6/2024).

Sistem PDN mengalami gangguan hingga membuat layanan keimigrasian di sejumlah bandara, termasuk Bandara Soekarno-Hatta, terganggu sejak Kamis (20/6/2024).

Peladen (server) PDN Sementara yang berada di Surabaya, Jawa Timur mengalami serangan siber perangkat lunak jahat dengan tebusan (ransomware).

Lembaga yang mengelola peladen PDN Sementara adalah konsorsium Telkom dan Lintasarta.

PDN Sementara mengalami serangan brain chiper ransomware pengembangan terbaru bernama lockbit 3.0.

Baca juga: Gagal Lawan Peretas PDN, Pemerintah Pasrah Kehilangan Data Berharga

Perangkat lunak jahat itu bekerja dengan cara mengambil alih kendali akses terhadap data, lalu menguncinya dengan sandi yang hanya bisa dibuka jika korban membayar tebusan dengan nilai yang ditentukan pelaku.

Akan tetapi, kemungkinan besar pelaku sudah terlebih dulu menyalin data masyarakat yang berada di PDN sebelum dikunci. Data masyarakat yang sudah terlanjur berada di tangan pelaku juga berpotensi diperdagangkan di situs khusus para peretas.

Adapun sistem PDN tidak hanya digunakan oleh Ditjen Imigrasi. Sistem tersebut juga digunakan banyak kementerian/lembaga lainnya.

Merujuk pada sistem resmi Kemenkominfo, PDN menjadi fasilitas untuk sistem elektronik dan komponen lain guna menyimpan, menempatkan, mengolah, dan memulihkan data.

PDN Sementara digunakan karena PDN utama belum dioperasikan. PDN dibangun pemerintah akan berada di 4 lokasi yaitu Cikarang-Jawa Barat, Batam-Kepulauan Riau, Ibu Kota Nusantara (IKN)-Kalimantan Timur, dan Labuan Bajo-Nusa Tenggara Timur.

Baca juga: Baru 5 dari 282 Layanan Publik Pulih Usai PDN Diretas

PDN juga pernah menjadi sorotan ketika terjadi kasus dugaan kebocoran 34 juta data paspor Indonesia yang diperjualbelikan di situs daring pada 2023.

Sementara itu, Direktur Jenderal Informasi dan Komunikasi Publik (KIP) Kemkominfo Usman Kansong menyampaikan pemerintah tidak bisa menyelamatkan data pemerintah dan masyarakat pada peladen (server) PDN Sementara yang mengalami serangan siber.

Mereka mengutamakan pemulihan data 44 kementerian/lembaga yang mempunyai cadangan.

Direktur Network dan IT Solution Telkom Herlan Wijanarko menyampaikan bahwa data yang sudah dikunci ransomware tidak bisa dipulihkan. Sehingga, saat ini tim pemerintah berupaya memulihkan data dengan sumber daya yang tidak terenkripsi ransomware.

Baca juga: Pemerintah Tak Bayar Tebusan ke Peretas PDN, Data Kementerian/Lembaga Dibiarkan Hilang

Herlan menambahkan, data yang diserang peretas tidak akan bocor ke luar. Pasalnya, data-data yang terenkripsi ransomware masih berada daam server PDN dan akses dari luar sudah diputus.