Data PDNS Gagal Pulih karena Ransomware: Siapa Bertanggung Jawab? (Bagian I)

Pengguna layanan PDN diwajibkan mengikuti kebijakan pengelola layanan PDN terkait keamanan informasi dan melakukan backup data secara mandiri.

Pengguna layanan PDN juga bertanggung jawab penuh atas segala kerugian yang disebabkan oleh tindakan atau kelalaian yang melanggar kebijakan dan ketentuan yang tertuang dalam syarat dan ketentuan penggunaan layanan PDN.

Ini menegaskan bahwa instansi pemerintah, baik di pusat maupun di daerah, sebagai pengguna layanan PDN dan juga penyelenggara sistem elektronik harus memenuhi kewajiban dan kepatuhan terhadap regulasi untuk mencegah gangguan dan kegagalan sistem seperti kehilangan data dan gangguan lainnya.

Sementara itu, pengelola layanan PDN berkewajiban memberikan layanan PDN kepada instansi pemerintah, termasuk kementerian, lembaga, dan pemerintah daerah sebagai pengguna layanan PDN, dan bertanggung jawab atas pengelolaan dan pengamanan infrastruktur cloud, termasuk virtualisasi, komputasi, infrastruktur jaringan, dan perangkat keras pendukung.

Sebagai Penyelenggara Sistem Elektronik, Pengelola layanan PDN bertanggung jawab untuk memastikan bahwa infrastruktur layanan PDN yang dikelola beroperasi dengan andal dan aman.

Dengan kata lain, peran pengelola layanan PDN adalah menyediakan layanan cloud yang andal dan aman untuk digunakan oleh instansi pemerintah.

Sedangkan peran pengguna layanan PDN adalah mengelola dan melindungi data serta aplikasi mereka yang ditempatkan di infrastruktur cloud yang disediakan oleh pengelola layanan PDN.

Siapa bertanggung jawab berdasarkan PP PSTE?

Dari kasus serangan ransomware PDN, setiap Penyelenggara Sistem Elektronik, baik itu Direktorat LAIP sebagai pengelola layanan PDN, instansi pemerintah sebagai pengguna layanan PDN, dan Telkom Sigma sebagai operator lokal pusat data, memiliki peran dalam melakukan pengamanan penyelenggaraan sistem elektroniknya dan bertanggung jawab terhadap beroperasinya sistem elektronik masing-masing secara andal, aman, dan bertanggung jawab dalam menghindari gangguan, kegagalan, dan kerugian.

Salah satu kewajiban penyelenggara sistem elektronik yang tertuang dalam Pasal 4 PP PSTE 71 Tahun 2019 adalah bahwa setiap penyelenggara sistem elektronik wajib mengoperasikan sistem elektronik yang memenuhi persyaratan minimum.

Salah satunya adalah dapat melindungi ketersediaan, keutuhan, keotentikan, kerahasiaan, dan keteraksesan informasi elektronik dalam penyelenggaraan sistem elektronik tersebut.

Kewajiban lainnya juga tertuang dalam Pasal 24 PP PSTE, di mana penyelenggara sistem elektronik wajib memiliki dan menjalankan prosedur dan sarana untuk pengamanan sistem elektronik, serta wajib menyediakan sistem pengamanan yang mencakup prosedur dan sistem pencegahan dan penanggulangan terhadap ancaman dan serangan yang menimbulkan gangguan, kegagalan, dan kerugian.

Dalam hal terjadi kegagalan atau gangguan sistem yang berdampak serius sebagai akibat perbuatan dari pihak lain terhadap sistem elektronik, penyelenggara sistem elektronik wajib mengamankan informasi elektronik dan/atau dokumen elektronik dan segera melaporkan dalam kesempatan pertama kepada aparat penegak hukum dan kementerian atau lembaga terkait, seperti Bareskrim Polri, Kemenkominfo, dan BSSN.

Jika penyelenggara sistem elektronik melakukan pemrosesan data pribadi, ketentuan Pasal 14 PP PSTE menyebutkan bahwa penyelenggara sistem elektronik wajib melaksanakan prinsip pelindungan data pribadi dalam melakukan pemrosesan data pribadi, salah satunya melindungi keamanan data pribadi dari kehilangan, penyalahgunaan, akses, dan pengungkapan yang tidak sah, serta pengubahan atau perusakan data pribadi.

Jika terjadi kegagalan dalam pelindungan data pribadi yang dikelolanya, maka penyelenggara sistem elektronik wajib memberitahukan secara tertulis kepada pemilik data pribadi tersebut.

Dalam hal ini, instansi pemerintah yang sistem elektroniknya terdampak akibat serangan ransomware PDN wajib menyampaikan kegagalan pelindungan data pribadi yang dikelolanya kepada pengguna sebagai pemilik data pribadi.