Data PDNS Gagal Pulih karena Ransomware: Siapa Bertanggung Jawab? (Bagian II-Habis)

Namun, jika ditemukan bukti kelalaian atau perbuatan melawan hukum atau pelanggaran serius yang mengarah pada kerugian besar, proses hukum dapat dijalankan sesuai dengan peraturan perundang-undangan yang berlaku.

Oleh karena itu, penentuan peran dan tanggung jawab terhadap kegagalan sistem dan perlindungan data pribadi akibat serangan ransomware mengacu kepada ketentuan dan sanksi yang diatur dalam PP PSTE.

Pembelajaran dari kasus Ini

Pertama, Pemerintah harus berani dan konsisten dalam pengawasan dan penegakan hukum administratif terhadap pelanggaran dan ketidakpatuhan terhadap regulasi.

Pemberian sanksi bagi penyelenggara elektronik yang mengalami kegagalan sistem dan perlindungan data pribadi harus secara konsisten dilakukan kepada setiap penyelenggara sistem elektronik lingkup publik dan lingkup privat.

Kedua, kepatuhan terhadap Regulasi Khususnya Kewajiban Backup dan Disaster Recovery.

PP PSTE sudah jelas mengatur kewajiban setiap Penyelenggara Sistem Elektronik Lingkup Publik untuk memiliki rencana menjaga keberlangsungan seperti backup dan disaster recovery.

Baca juga: Ransomware pada PDN: Pentingnya Backup dan Disaster Recovery

Dalam pengelolaan layanan PDN, setiap pengajuan layanan PDN oleh instansi pemerintah harus mencakup layanan Backup as a Service (BaaS) dan disaster recovery sebagai bagian dari setiap layanan SPBE, baik untuk layanan publik maupun untuk administrasi pemerintahan.

Ketiga, pentingnya berbagi peran dan tanggung jawab yang dituangkan dalam kontrak.

Dalam rangka penyelenggaraan sistem elektronik, setiap penyelenggara elektronik yang menyediakan, mengelola, dan/atau mengoperasikan sistem elektronik secara sendiri-sendiri maupun bersama-sama kepada pengguna sistem elektronik perlu menuangkan hak dan kewajiban para pihak terkait dalam penyelenggaraan sistem elektronik tersebut.

Selain hak dan tanggung jawab masing-masing penyelenggara elektronik, kontrak ini harus mencakup perjanjian tingkat layanan, perjanjian keamanan informasi terhadap jasa layanan teknologi informasi yang digunakan, serta keamanan informasi dan sarana komunikasi internal yang diselenggarakan.

Keempat, perlunya kelembagaan yang tepat dalam pengelolaan ekosistem PDN.

Saat ini Direktorat LAIP berperan sebagai pengelola layanan PDN. Tugas utama Direktorat LAIP adalah melaksanakan kebijakan, memberikan bimbingan teknis dan supervisi, serta melakukan pemantauan, evaluasi, dan pelaporan di bidang layanan aplikasi informatika pemerintahan.

Oleh karena itu, perlu dibentuk Unit Pengelola Teknis (UPT) Layanan PDN di bawah Direktorat LAIP untuk fokus dalam pengelolaan ekosistem PDN, minimal dipimpin oleh Pejabat Eselon 3.

Harapannya kelembagaan ini bisa berkembang sesuai kebutuhan sehingga bisa terbentuk UPT Badan Layanan Umum PDN yang dipimpin minimal oleh Pejabat Eselon 2.

Kelima, perlunya talenta dan tenaga ahli yang memiliki kompetensi di bidang Teknologi Informasi.

Dalam pengelolaan layanan PDN, khususnya operasional ekosistem layanan PDN, diperlukan talenta dan tenaga ahli yang memiliki sertifikasi yang mendukung, seperti Data Center Administrator, Cybersecurity Engineer, DevOps Engineer, Storage Specialist, Disaster Recovery Specialist, dan Cloud Security Analyst.

Dengan terjadinya kasus ransomware yang berdampak nasional, kita dapat mengambil beberapa pembelajaran yang diharapkan dapat membuat pengelolaan layanan PDN berjalan lebih efektif, aman, dan sesuai dengan regulasi yang berlaku sehingga dapat mendukung program transformasi digital nasional.