Baca berita dengan sedikit iklan, klik di sini

Politik

Benarkah BSSN Abai Melindungi Pusat Data Nasional

BSSN merupakan pengawal utama keamanan siber negara. Lembaga itu abai melindungi Pusat Data Nasional dari peretasan.

26 Juni 2024 | 00.00 WIB

Image of Tempo
Perbesar
Petugas berjaga di depan gedung Kantor Badan Siber dan Sandi Negara, Sawangan, Depok, Jawa Barat. ANTARA/Asprilla Dwi Adha

Baca berita dengan sedikit iklan, klik di sini

Poin penting

  • BSSN seharusnya bertanggung jawab melindungi keamanan siber Pusat Data Nasional.

  • Kementerian Kominfo sebagai pengelola Pusat Data Nasional juga harus bertanggung jawab.

  • Dibutuhkan Undang-Undang Keamanan Siber agar negara tak lagi kebobolan serangan siber.

TUBAGUS Hasanuddin sangat menyayangkan Badan Siber dan Sandi Negara (BSSN) serta Kementerian Komunikasi dan Informatika kebobolan dalam menjaga Pusat Data Nasional. Peretas mampu menyusup ke server pengelola data 73 kementerian dan lembaga serta ratusan pemerintah daerah itu, lalu mencuri data di dalamnya.

Baca berita dengan sedikit iklan, klik di sini

“Ini persoalan yang sangat serius karena serangan terhadap obyek vital nasional dan sangat strategis,” kata anggota Komisi I Dewan Perwakilan Rakyat yang membidangi urusan pertahanan dan keamanan negara itu, Selasa, 25 Juni 2024. “Ini potensi kebocoran data warga negara seluruh Indonesia, tidak bisa dianggap enteng.”

Baca berita dengan sedikit iklan, klik di sini

Purnawirawan TNI berpangkat terakhir mayor jenderal itu mengatakan BSSN seharusnya menjadi pengawal utama gerbang siber di lingkungan pemerintah. Hal itu sesuai dengan Peraturan Presiden Nomor 28 Tahun 2021 tentang Badan Siber dan Sandi Negara. Pasal 2 perpres ini mengatur bahwa tugas utama BSSN adalah melaksanakan tugas pemerintahan di bidang keamanan siber dan sandi negara untuk membantu presiden dalam menyelenggarakan pemerintahan.

Insiden peretasan terhadap Pusat Data Nasional itu membuat Hasanuddin menjadi bertanya-tanya ihwal kerja BSSN dan Kementerian Komunikasi selama ini. “Kita jadi mempertanyakan apa saja upaya yang sudah dilakukan BSSN selama ini untuk mengamankan jaringan dan infrastruktur telekomunikasi pemerintah,” katanya. “BSSN sebagai pengawal keamanan PDN dan Kementerian Kominfo sebagai pengelola PDN harus bertanggung jawab atas kelalaian ini.”

Pusat Data Nasional yang dikelola oleh Kementerian Komunikasi diretas sejak 20 Juni 2024, tapi pemerintah baru mengakuinya pada Senin lalu. BSSN menyebutkan virus yang menyerang Pusat Data Nasional berupa serangan ransomware LockBit 3.0. Varian itu disebut mirip virus yang menyerang data pelanggan Bank Syariah Indonesia (BSI) pada Mei 2023. Ransomware merupakan istilah jenis-jenis malware yang menyerang sistem data.

Pelaku peretasan meminta uang tebusan sebanyak US$ 8 juta atau setara dengan Rp 131 miliar dalam kurs 16.399 per dolar Amerika Serikat kepada pemerintah Indonesia. Peretas menyatakan uang itu sebagai tebusan atas data yang akan mereka kembalikan.

Aktivitas Badan Siber dan Sandi Negara. Dok. Biro Hukum dan Komunikasi Publik BSSN

Sepekan setelah peretasan, BSSN dan Kementerian Komunikasi belum dapat memulihkan Pusat Data Nasional. Juru bicara BSSN, Ariandi Putra, mengatakan saat ini lembaganya bersama Kementerian Kominfo, Cyber Crime Kepolisian Republik Indonesia, dan Telkom-Sigma-Lintasarta masih menginvestigasi lewat bukti-bukti forensik yang diperoleh. Namun BSSN terhambat karena bukti digital terenkripsi atau terkunci akibat serangan ransomware

Ariandi mengatakan ransomware terdeteksi pada 20 Juni lalu. Saat itu BSSN mendeteksi aktivitas malicious pada pukul 00.54 WIB. Aktivitas mencurigakan tersebut, antara lain, adanya penghapusan file system penting dan menonaktifkan layanan yang sedang berjalan. File yang berkaitan dengan storage, seperti VSS, Hyper-V Volume, Virtual Disk, dan Veeam vPower NFS, mulai crash. Pada pukul 00.55 WIB, Windows Defender juga mengalami crash dan tidak bisa beroperasi.

Sesuai dengan hasil investigasi forensik, BSSN mendapati insiden tersebut merupakan serangan siber dalam bentuk ransomware dengan nama brain cipher. Ariandi mengatakan ransomware ini merupakan pengembangan terbaru dari ransomware Lockbit 3.0.

“Sampel ransomware akan dianalisis lebih lanjut dengan melibatkan entitas keamanan siber lainnya,” kata Ariandi kepada Tempo.

Kilas Balik Badan Siber

Badan Siber dan Sandi Negara merupakan lembaga negara yang bergerak di bidang keamanan informasi dan keamanan siber. Dikutip dari halaman resmi BSSN, cikal bakal lembaga ini berawal dari Jawatan Tehnik Bagian B Kementerian Pertahanan. Jawatan Tehnik berperan mendukung komunikasi garis depan hingga kegiatan diplomasi di Kementerian Luar Negeri. 

Menteri Pertahanan saat itu, Amir Syarifoeddin, memandang perlu adanya pengamanan komunikasi di Kementerian Pertahanan dan Angkatan Perang. Ia lantas memerintahkan Roebiono Kertopati membentuk Dinas Kode, yang kemudian menjadi Djawatan Sandi pada 4 April 1946. Pembentukan lembaga ini diteken lewat Surat Keputusan Menteri Pertahanan Nomor 11/MP/1949 tertanggal 2 September 1949. Tanggal pembentukan Djawatan Sandi ini ditetapkan sebagai Hari Lahir Persandian Republik Indonesia dan hari lahir BSSN.

Satu tahun berselang, Presiden Sukarno menerbitkan Surat Keputusan Presiden RIS Nomor 65/1950 tertanggal 14 Februari 1950, yang menempatkan Djawatan Sandi berada langsung di bawah presiden dan bertugas melayani semua kementerian.

Presiden Soeharto mengubah nama Djawatan Sandi menjadi Lembaga Sandi Negara (Lemsaneg) lewat Keputusan Presiden Nomor 7/1972 pada 22 Februari 1972. Nama lembaga ini bertahan hingga empat presiden setelah reformasi bergulir. Pada era pemerintahan Presiden Joko Widodo, nama Lemsaneg diubah menjadi Badan Siber dan Sandi Negara lewat Keputusan Presiden Nomor 133 Tahun 2017 tertanggal 16 Desember 2017. 

Sesuai dengan keppres tersebut, BSSN bertugas di bidang keamanan informasi dan pengamanan pemanfaatan jaringan telekomunikasi berbasis protokol Internet. BSSN juga bertugas menjaga keamanan jaringan dan infrastruktur telekomunikasi di Kementerian Komunikasi dan Informatika.

Selanjutnya, Presiden Jokowi menata organisasi BSSN lewat Peraturan Presiden Nomor 28 Tahun 2021 tentang Badan Siber dan Sandi Negara pada 13 April 2021. Ketentuan dalam perpres ini lebih mengoptimalkan pelaksanaan tugas dan fungsi BSSN di bidang keamanan siber dan sandi.

Berikut ini fungsi BSSN sesuai dengan Pasal 3 Peraturan Presiden Nomor 28 Tahun 2021:

- Perumusan dan penetapan kebijakan teknis di bidang keamanan siber dan sandi.

- Pelaksanaan kebijakan teknis di bidang keamanan siber dan sandi.

- Penyusunan norma, standar, prosedur, dan kriteria di bidang persandian.

- Pelaksanaan bimbingan teknis dan supervisi di bidang persandian.

- Koordinasi pelaksanaan tugas, pembinaan, dan dukungan administrasi kepada semua unsur organisasi di lingkungan BSSN.

- Pengelolaan barang milik negara yang menjadi tanggung jawab BSSN.

- Pelaksanaan dukungan yang bersifat substantif kepada semua unsur organisasi di lingkungan BSSN.

- Pengawasan atas pelaksanaan tugas di lingkungan BSSN.

 

Kepala Badan Siber dan Sandi Negara (BSSN) Hinsa Siburian (tengah) didampingi Wakil Menteri Komunikasi dan Informatika Nezar Patria (kanan) dan Direktur Network dan IT Solution Telkom Sigma Herlan Wijanarko (kiri) memberikan keterangan pers ihwal gangguan yang terjadi pada Pusat Data Nasional sementara (PDNS) 2 di Jakarta, 24 Juni 2024. ANTARA/Rivan Awal Lingga

Tugas dan fungsi BSSN itu ditegaskan kembali oleh Kepala BSSN Hinsa Siburian saat mengikuti rapat kerja di Komisi I DPR pada 3 September 2020. Di hadapan komisi bidang pertahanan tersebut, Hinsa menjamin lembaganya akan mengantisipasi keamanan data atau dokumen negara yang bersifat sensitif. Ia mengatakan kementerian dan lembaga harus membuat cadangan data yang bersifat sensitif dan rahasia secara offline yang akan dijaga oleh BSSN.

Data center nasional menjadi prioritas BSSN pada 2021. Data center harus dibangun karena diperlukan untuk mengamankan data sensitif,” kata Hinsa lewat keterangan tertulis saat itu.

Kepala Communication and Information System Security Research Center (CISSReC) Pratama Persadha berpendapat bahwa BSSN merupakan garda terdepan negara dalam menghadapi ancaman di ruang siber. BSSN merumuskan kebijakan serta strategi keamanan yang adaptif sesuai dengan perkembangan teknologi dan ancaman siber.

Pratama menyebutkan tanggung jawab BSSN itu sesuai dengan Peraturan Presiden Nomor 53 Tahun 2017. BSSN, kata dia, bertugas melaksanakan keamanan siber secara efektif dengan mengkoordinasi semua unsur yang berkaitan dengan keamanan siber. 

“Baik itu untuk deteksi, pemantauan, penanggulangan, pemulihan, maupun evaluasi atas insiden atau serangan siber,” kata Pratama kepada Tempo, Selasa, 25 Juni 2024.

Pratama menilai posisi BSSN serupa dengan National Security Agencies milik pemerintah Amerika Serikat. Namun, kata dia, ada perbedaan di antara kedua lembaga tersebut. Sebab, BSSN sering kali tak dilibatkan saat pemerintah mendesain aplikasi dan infrastruktur situs web di setiap lembaga negara.

“BSSN hanya dilibatkan saat institusi tersebut mengalami serangan siber dan meminta bantuan kepada BSSN untuk melakukan audit serta penanganan gangguan,” kata Pratama.

Masalah lain, kata Pratama, tanggung jawab BSSN yang besar tak diimbangi dengan alokasi anggaran yang cukup. Pagu anggaran BSSN pada 2024 sebesar Rp 771 miliar. Alokasi anggaran yang rendah ini menjadi faktor penyebab BSSN tidak dapat melindungi negara dari serangan siber. 

Dia mengatakan anggaran yang rendah itu membuat BSSN tidak dapat membeli lebih banyak alat untuk melindungi semua lembaga pemerintah dari serangan siber. Pratama menyebutkan sederet alat yang sudah dimiliki BSSN, seperti Firewall, IDS, IPS, WAF, SIEM, dan XDR. Perangkat ini digunakan untuk memonitor dan mencegah serangan siber. 

“Alat-alat yang dimiliki oleh BSSN tersebut sebetulnya sudah mumpuni untuk melindungi dari serangan siber. Namun, karena keterbatasan anggaran, jumlah peralatan yang bisa dibeli hanya sedikit sehingga belum bisa melindungi semua institusi di Indonesia,” kata Pratama. Dia melanjutkan, kondisi itu membuat BSSN ada kemungkinan akan memilih lembaga yang menjadi prioritas untuk diamankan.

Peneliti dari Lembaga Studi dan Advokasi Masyarakat, Annisa N. Hayati, mendesak BSSN mengaudit keamanan siber secara menyeluruh seusai peretasan terhadap Pusat Data Nasional. Sebab, BSSN bertanggung jawab atas keamanan siber nasional. 

“Kalau dilihat dari sisi kebijakan, kendali atas keamanan siber ini mengacu pada Perpres BSSN untuk mengkoordinasikan keamanan siber nasional,” kata Annisa.

Ia juga mempertanyakan kinerja tim tanggap insiden siber pada instansi pemerintah pusat atau Computer Security Incident Response Team (CSIRT). Sebab, tim itu tak mampu menangkal dan mengatasi serangan siber terhadap Pusat Data Nasional. “Situasi ini jadi penanda bahwa kita perlu Undang-Undang Keamanan Siber untuk memastikan tata kelola yang lebih komprehensif,” katanya.

Menurut Annisa, serangan siber terhadap Pusat Data Nasional menjadi bukti bahwa pemerintah mesti membuat kebijakan baru tentang tata kelola keamanan siber serta aturan asuransi siber. Kedua urusan itu dapat diatur dalam pembentukan UU Keamanan Siber. 

Image of Tempo
Image of Tempo
Berlangganan Tempo+ untuk membaca cerita lengkapnyaSudah Berlangganan? Masuk di sini
  • Akses edisi mingguan dari Tahun 1971
  • Akses penuh seluruh artikel Tempo+
  • Baca dengan lebih sedikit gangguan iklan
  • Fitur baca cepat di edisi Mingguan
  • Anda Mendukung Independensi Jurnalisme Tempo
Lihat Benefit Lainnya

Muhammad Syaifulloh berkontribusi dalam penulisan artikel ini. 

Eka Yudha Saputra

Eka Yudha Saputra

Alumnus Fakultas Ilmu Pengetahuan Budaya Universitas Indonesia. Bergabung dengan Tempo sejak 2018. Anggota Aliansi Jurnalis Independen ini meliput isu hukum, politik nasional, dan internasional

Image of Tempo

Baca berita dengan sedikit iklan, klik di sini

Image of Tempo
>
Logo Tempo
Unduh aplikasi Tempo
download tempo from appstoredownload tempo from playstore
Ikuti Media Sosial Kami
© 2024 Tempo - Hak Cipta Dilindungi Hukum
Beranda Harian Mingguan Tempo Plus