Data PDNS Gagal Pulih karena Ransomware: Siapa Bertanggung Jawab? (Bagian I)

INSIDEN serangan Ransomware LockBit 3.0 yang menimpa Pusat Data Nasional Sementara (PDNS) pada 20 Juni 2024, telah menyebabkan gangguan signifikan pada berbagai layanan publik di 282 instansi pemerintahan.

Pemerintah, melalui Konferensi Pers pada 26 Juni 2024, tentang update mengenai PDNS 2, menyampaikan bahwa data yang telah terkena ransomware di PDNS yang dikelola oleh PT Telkom tidak bisa dipulihkan kembali, meskipun penanganan telah dilakukan bersama Badan Siber dan Sandi Negara (BSSN), Kementerian Komunikasi dan Informatika (Kemenkominfo), hingga Bareskrim Polri.

Baca juga: Ransomware pada PDN: Pentingnya Backup dan Disaster Recovery

Pemerintah juga menyampaikan bahwa saat ini skala prioritas pemulihan dilakukan di 44 instansi pemerintah yang memiliki sistem dan data cadangan (backup) untuk layanan publiknya.

Kejadian ini memunculkan pertanyaan penting mengenai siapa yang sebenarnya bertanggung jawab atas kegagalan sistem tersebut.

Ruang lingkup dan model layanan PDN

Layanan Pusat Data Nasional (PDN) adalah layanan cloud pemerintah yang menyediakan berbagai jenis layanan seperti IaaS, PaaS, SaaS, SECaaS, BaaS, Cloud Computing, Colocation, Network, Perubahan Spesifikasi, dan Domain Name Server (DNS).

Layanan ini diberikan oleh Direktorat Layanan Aplikasi Informatika Pemerintahan (Direktorat LAIP), Ditjen Aplikasi Informatika, Kemenkominfo sebagai pengelola layanan PDN kepada pengguna (tenant).

Layanan PDN dimanfaatkan oleh berbagai instansi pemerintah, termasuk kementerian, lembaga, dan pemerintah daerah.

Karena PDN saat ini masih dalam proses pembangunan, Kemenkominfo juga menyelenggarakan layanan PDNS bersama penyedia layanan pusat data lokal, salah satunya Telkom Sigma.

Layanan PDNS ini dapat digunakan oleh semua kementerian, lembaga, dan pemerintah daerah yang memiliki fitur dan layanan seperti Government Cloud Computing.

Layanan PDNS merupakan bagian dari ekosistem PDN yang disediakan oleh Kemenkominfo. Layanan PDN menerapkan model "Shared Responsibility" atau berbagi peran dan tanggung jawab antara pengelola layanan PDN dan pengguna layanan PDN seperti Ditjen Imigrasi dan instansi pusat dan daerah lainnya yang menggunakan layanan PDN.

Baik pengelola layanan PDN dan pengguna layanan PDN harus bertanggung jawab terhadap beroperasinya sistem elektronik yang diselenggarakan.

Hal ini merujuk pada amanat Pasal 15 UU ITE No 11 Tahun 2008 dan Pasal 3 PP PSTE 71 Tahun 2019, yang menyatakan bahwa setiap Penyelenggara Sistem Elektronik harus menyelenggarakan sistem elektronik secara andal dan aman serta bertanggung jawab terhadap beroperasinya sistem elektronik sebagaimana mestinya.

Model layanan PDN tertuang dalam Syarat dan Ketentuan Penggunaan Layanan PDN (Government Cloud).

Pengguna layanan PDN memiliki hak untuk mendapatkan layanan tanpa dikenakan biaya setelah menandatangani Surat Persetujuan Penggunaan Layanan.

Namun, pengguna layanan PDN bertanggung jawab atas pengelolaan dan pengamanan aset yang mereka tempatkan di dalam layanan cloud PDN, yang mencakup server virtual, sistem operasi, aplikasi, data, serta hak akses.

Pengguna layanan PDN diwajibkan mengikuti kebijakan pengelola layanan PDN terkait keamanan informasi dan melakukan backup data secara mandiri.

Pengguna layanan PDN juga bertanggung jawab penuh atas segala kerugian yang disebabkan oleh tindakan atau kelalaian yang melanggar kebijakan dan ketentuan yang tertuang dalam syarat dan ketentuan penggunaan layanan PDN.

Ini menegaskan bahwa instansi pemerintah, baik di pusat maupun di daerah, sebagai pengguna layanan PDN dan juga penyelenggara sistem elektronik harus memenuhi kewajiban dan kepatuhan terhadap regulasi untuk mencegah gangguan dan kegagalan sistem seperti kehilangan data dan gangguan lainnya.

Sementara itu, pengelola layanan PDN berkewajiban memberikan layanan PDN kepada instansi pemerintah, termasuk kementerian, lembaga, dan pemerintah daerah sebagai pengguna layanan PDN, dan bertanggung jawab atas pengelolaan dan pengamanan infrastruktur cloud, termasuk virtualisasi, komputasi, infrastruktur jaringan, dan perangkat keras pendukung.

Sebagai Penyelenggara Sistem Elektronik, Pengelola layanan PDN bertanggung jawab untuk memastikan bahwa infrastruktur layanan PDN yang dikelola beroperasi dengan andal dan aman.

Dengan kata lain, peran pengelola layanan PDN adalah menyediakan layanan cloud yang andal dan aman untuk digunakan oleh instansi pemerintah.

Sedangkan peran pengguna layanan PDN adalah mengelola dan melindungi data serta aplikasi mereka yang ditempatkan di infrastruktur cloud yang disediakan oleh pengelola layanan PDN.

Siapa bertanggung jawab berdasarkan PP PSTE?

Dari kasus serangan ransomware PDN, setiap Penyelenggara Sistem Elektronik, baik itu Direktorat LAIP sebagai pengelola layanan PDN, instansi pemerintah sebagai pengguna layanan PDN, dan Telkom Sigma sebagai operator lokal pusat data, memiliki peran dalam melakukan pengamanan penyelenggaraan sistem elektroniknya dan bertanggung jawab terhadap beroperasinya sistem elektronik masing-masing secara andal, aman, dan bertanggung jawab dalam menghindari gangguan, kegagalan, dan kerugian.

Salah satu kewajiban penyelenggara sistem elektronik yang tertuang dalam Pasal 4 PP PSTE 71 Tahun 2019 adalah bahwa setiap penyelenggara sistem elektronik wajib mengoperasikan sistem elektronik yang memenuhi persyaratan minimum.

Salah satunya adalah dapat melindungi ketersediaan, keutuhan, keotentikan, kerahasiaan, dan keteraksesan informasi elektronik dalam penyelenggaraan sistem elektronik tersebut.

Kewajiban lainnya juga tertuang dalam Pasal 24 PP PSTE, di mana penyelenggara sistem elektronik wajib memiliki dan menjalankan prosedur dan sarana untuk pengamanan sistem elektronik, serta wajib menyediakan sistem pengamanan yang mencakup prosedur dan sistem pencegahan dan penanggulangan terhadap ancaman dan serangan yang menimbulkan gangguan, kegagalan, dan kerugian.

Dalam hal terjadi kegagalan atau gangguan sistem yang berdampak serius sebagai akibat perbuatan dari pihak lain terhadap sistem elektronik, penyelenggara sistem elektronik wajib mengamankan informasi elektronik dan/atau dokumen elektronik dan segera melaporkan dalam kesempatan pertama kepada aparat penegak hukum dan kementerian atau lembaga terkait, seperti Bareskrim Polri, Kemenkominfo, dan BSSN.

Jika penyelenggara sistem elektronik melakukan pemrosesan data pribadi, ketentuan Pasal 14 PP PSTE menyebutkan bahwa penyelenggara sistem elektronik wajib melaksanakan prinsip pelindungan data pribadi dalam melakukan pemrosesan data pribadi, salah satunya melindungi keamanan data pribadi dari kehilangan, penyalahgunaan, akses, dan pengungkapan yang tidak sah, serta pengubahan atau perusakan data pribadi.

Jika terjadi kegagalan dalam pelindungan data pribadi yang dikelolanya, maka penyelenggara sistem elektronik wajib memberitahukan secara tertulis kepada pemilik data pribadi tersebut.

Dalam hal ini, instansi pemerintah yang sistem elektroniknya terdampak akibat serangan ransomware PDN wajib menyampaikan kegagalan pelindungan data pribadi yang dikelolanya kepada pengguna sebagai pemilik data pribadi.

Pelanggaran terhadap ketentuan dalam PP PSTE dapat diberikan sanksi administratif berupa: a. teguran tertulis; b. denda administratif; c. penghentian sementara; d. pemutusan akses; dan/atau e. dikeluarkan dari daftar.

Sanksi administratif diberikan oleh Menteri Kominfo sesuai dengan ketentuan peraturan perundang-undangan.

Sebagai contoh, implementasi backup dan disaster recovery merupakan upaya pengamanan penyelenggaraan sistem elektronik dan menjaga keberlangsungan operasional layanan publik guna menanggulangi gangguan atau bencana sesuai dengan risiko dari dampak yang ditimbulkannya.

Jika ditemukan ketidakpatuhan terhadap regulasi yang ada, seperti tidak memiliki backup dan disaster recovery atau belum memberitahukan secara tertulis kepada pemilik data pribadi jika terjadi kegagalan dalam pelindungan data pribadi, Menteri Kominfo harus menindaklanjuti pelanggaran tersebut dengan sanksi administratif yang tegas, minimal dalam bentuk teguran tertulis kepada penyelenggara sistem elektronik yang terlibat secara sendiri-sendiri maupun bersama-sama dan bertanggung jawab terhadap kegagalan sistem ini.

Jika ditemukan bukti kelalaian atau perbuatan melawan hukum atau pelanggaran serius yang mengarah pada kerugian besar, maka proses hukum dapat dijalankan sesuai dengan peraturan yang berlaku.

Bersambung, baca artikel selanjutnya: Data PDNS Gagal Pulih karena Ransomware: Siapa Bertanggung Jawab? (Bagian II-Habis)