Kronologi dan Dampak Serangan Siber Terhadap PDNS Surabaya yang tak Punya Back Up Datanya

REPUBLIKA.CO.ID, Menteri Komunikasi dan Informatika Budi Arie Setiadi, dalam rapat kerja dengan Komisi I DPR RI di kompleks DPR RI, Jakarta, Kamis (27/6/2024) memaparkan kronologi serangan siber yang melanda Pusat Data Nasional Sementara (PDNS) 2 di Surabaya, di mana gangguan pertama kali terdeteksi pada 17 Juni 2024. Serangan siber dalam bentuk ransomware.

"Jadi identifikasi gangguan yang pertama terjadi gangguan pada PDNS 2 di Surabaya berupa serangan siber dalam bentuk ransomware bernama Brain Cipher Ransomware," kata Budi Arie.

"Pascapenemuan ransomware ditemukan upaya penonaktifkan fitur keamanan Windows Defender mulai 17 Juni 2024 pukul sekitar 23.15 WIB yang memungkinkan aktivitas malicious berbahaya beroperasi," sambung dia.

Budi Arie menjelaskan bahwa ransomware adalah jenis perangkat lunak rusak yang mencegah pengguna mengakses sistem baik dengan mengunci layar sistem maupun mengunci file pengguna hingga uang tebusan dibayarkan. Dia mengatakan, dalam serangan terhadap PDNS 2, pihak peretas meminta tebusan 8 juta dolar AS (sekitar Rp 131 miliar).

Budi melanjutkan, aktivitas berbahaya mulai terjadi pada 20 Juni 2024 pukul 00.54 WIB, di antaranya melalui instalasi file malicious, penghapusan file sistem penting, dan penonaktifan layanan yang berjalan. Pada pukul 00.55 WIB di hari yang sama, Windows Defender diketahui mengalami crash dan tidak bisa beroperasi.

Adapun hingga 26 Juni 2024, serangan ini telah berdampak pada layanan PDNS 2, mengganggu 239 instansi pengguna. Di antaranya, 30 kementerian/lembaga, 15 provinsi, 148 kabupaten, dan 48 kota terdampak secara langsung.

Namun, terdapat 43 instansi yang tidak terdampak karena data mereka hanya tersimpan sebagai cadangan di PDNS 2. Instansi ini terdiri atas 21 kementerian/lembaga, satu provinsi, 18 kabupaten, dan tiga kota.

"Instansi yang berhasil recovery layanan adalah Kemenkomarves (yaitu) layanan perizinan event, Kemenkumham (yaitu) layanan keimigrasian, LKPP (yaitu) layanan SIKap, Kemenag (yaitu) Sihalal, dan Kota Kediri ini untuk ASN digital," kata Budi Arie.

Dari analisis dampak, Budi Arie mengatakan serangan ini dikategorikan dalam level critical dan major. Pada level critical, dampaknya mencakup gangguan total atau parsial fungsi utama, hilangnya data, dan tidak dapat diaksesnya virtual machine (VM).

Dampak pada layanan dan finansial juga bisa terjadi dengan semua peran terdampak berada di level critical. Sedangkan pada level major, meskipun terjadi kegagalan pada satu fitur, tidak terdampak pada layanan atau aplikasi, namun terdapat penurunan kinerja pada aplikasi dan dampaknya dirasakan oleh banyak tenant.

Dalam raker dengan Komisi I DPR RI, Kepala Badan Siber Sandi Negara (BSSN) Hinsa Siburian mengungkapkan bahwa tidak ada back up (cadangan) terhadap data-data pada PDNS 2 yang mengalami gangguan serangan siber. Semestinya, data-data tersebut bisa terselamatkan jika ada cadangan data pada PDNS yang lain.

"Kami memang melihat secara umum, mohon maaf pak menteri, permasalahan utama adalah tata kelola, ini hasil pengecekan kita dan tidak adanya back up," kata Hinsa.

Dia mengatakan, bahwa cadangan data itu diperlukan dan sesuai dengan Peraturan BSSN Nomor 4 Tahun 2021 tentang pedoman manajemen keamanan informasi sistem pemerintahan berbasis elektronik.

Menurutnya aturan itu mengharuskan adanya cadangan data. PDNS 1 berlokasi di Serpong, dan PDNS 2 berlokasi di Surabaya, serta pemerintah pun memiliki Pusat Data Nasional di Batam.

"Sejauh ini, hanya sekitar 2 persen data dari PDNS 2 yang sudah tercadangkan di Pusat Data Nasional yang berlokasi di Batam," katanya.

Saat memaparkan tidak adanya cadangan tersebut, dia lantas dikritik oleh salah satu anggota DPR yang mengikuti rapat. Menurut legislator tersebut banyak pakar teknologi informasi yang mempertanyakan hal tersebut.

Sementara itu, Ketua Komisi I DPR RI Meutya Hafid memanggil Menteri Menkominfo dan Kepala BSSN karena dalam sepekan terakhir telah terjadi keresahan di tengah masyarakat terkait adanya gangguan siber tersebut yang menyebabkan gangguan pada layanan publik.

Berdasarkan Pasal 46 Ayat 3 Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi, menurutnya pengelola data wajib memberitahukan kepada masyarakat jika ada kegagalan dalam perlindungan data pribadi.

Sejauh ini, menurutnya, pemerintah dan pihaknya masih belum bisa menyatakan adanya potensi kebocoran data, namun dia menganggap kegagalan perlindungan data pribadi sudah terjadi akibat gangguan siber tersebut.

"Masyarakat tentunya menginginkan penjelasan dari pemerintah, khususnya kepada Kemenkominfo dan BSSN, serta berbagai pihak terkait untuk dapat menyelesaikan masalah tersebut," kata Meutya saat membuka rapat bersama Menkominfo dan Kepala BSSN di Kompleks Parlemen, Jakarta, Kamis.

In Picture: Sempat Terganggu, Layanan Keimigrasian Kembali Beroperasi Normal