Peretasan PDNS dan Pelindungan Data

PERETASAN Pusat Data Nasional Sementara (PDNS) yang dilakukan kelompok peretas Brain Cipher baru-baru ini mengungkap masalah fundamental dalam digitalisasi layanan publik di Indonesia: absennya akuntabilitas. Respons pemerintah yang lambat dan minim transparansi dalam kasus ini juga mengindikasikan bahwa ada masalah mendasar dalam pengelolaan serta pelindungan data publik.

Kerangka kerja akuntabilitas pelindungan data sebenarnya sudah diatur dalam Pasal 46 Undang-Undang Pelindungan Data Pribadi (UU PDP). Pasal ini menyebutkan tiga hal penting yang harus dilakukan pengelola data saat terjadi kegagalan pelindungan data. Pertama, pengelola data harus memberikan pemberitahuan tertulis selambat-lambatnya 3 x 24 jam kepada subyek data atau warga yang terkena dampak. Kedua, mereka harus mengungkap kapan dan bagaimana data pribadi itu terungkap atau bocor. Terakhir, pemberitahuan harus dilakukan kepada publik luas mengenai kegagalan pelindungan data.

Dalam kasus serangan ransomware terhadap PDNS yang menyebabkan gangguan pada sistem Direktorat Jenderal Imigrasi Kementerian Hukum dan Hak Asasi Manusia, pemerintah baru membuat pengumuman resmi pada 24 Juni 2024, atau empat hari setelah serangan. Hal ini menunjukkan bahwa komunikasi publik pemerintah terlambat satu hari dari yang semestinya dilakukan. 

Selain itu, berbagai pernyataan pejabat Kementerian Komunikasi dan Informatika ataupun Badan Siber dan Sandi Negara (BSSN) lebih banyak meninggalkan pertanyaan daripada jawaban. Pertanyaan seperti bagaimana serangan terjadi, sistem keamanan apa yang diterapkan, dan data pribadi apa saja yang bocor akibat serangan ini masih belum jelas jawabannya. Ketidakjelasan ini menandakan bahwa pemerintah bahkan tidak patuh pada prinsip akuntabilitas yang dibuatnya sendiri.

Apa pangkal krisis akuntabilitas ini? Kenapa pemerintah tampak bingung dan tidak kompeten dalam menanggulangi serangan demi serangan yang terjadi berkali-kali? Saya menduga masalah utama persoalan ini adalah absennya budaya menghargai data. Hal ini telah lama menjadi ciri birokrasi pemerintah, jauh sebelum digitalisasi layanan publik dilakukan.

Orang yang pernah kehilangan kartu tanda penduduk pasti tahu bahwa untuk membuat KTP baru, Anda perlu membawa fotokopi KTP lama. Praktik ironis semacam ini menunjukkan bahwa sistem administrasi kita tidak memiliki sistem pencadangan ataupun pencarian data. Barangkali data Anda ada di kelurahan, tapi karena buruknya sistem arsip kelurahan, pegawai kelurahan pun kebingungan mencari data kita. 

Fotokopi berkas adalah tanda bahwa pemerintah mengalihdayakan sebagian fungsi pencadangan dan pelindungan data kepada warganya. Bukankah situasi ini serupa dengan apa yang kini terjadi? Secara publik, pemerintah pun mengakui bahwa hanya 2 persen data yang tersimpan di PDNS memiliki cadangan.

Perilaku abai dan sembarang dalam mengamankan data selaras dengan dugaan ahli mengenai bagaimana peretasan PDNS bisa terjadi. Kala Pratama Persadha, analis keamanan siber dari Lembaga Riset Siber Indonesia CISSReC, menyatakan serangan siber dengan ransomware umumnya didahului oleh peretasan gawai pegawai melalui metode phishing.

Metode ini mengelabui korban dengan mengirim tautan berisi virus yang bisa mengambil alih gawai korban. Artinya, ada potensi kelalaian dilakukan oleh pengelola data. Jika dugaan ini benar, hal yang lebih penting dari sistem keamanan siber adalah ketaatan pejabat pengelola data terhadap protokol keamanan.

Absennya cadangan data dan ada kemungkinan kelalaian dalam menjalankan protokol keamanan merupakan buah dari kegagalan menghargai data. Jika penghargaan terhadap data menjadi prioritas pemerintah, tentu PDNS tidak akan aktif tanpa pencadangan data memadai. Jika pemerintah menghargai data, komunikasi publik pemerintah dalam merespons peretasan tentu akan lebih cepat dan jelas.

Namun tampaknya paradigma yang melatari digitalisasi layanan publik pemerintah bukanlah akuntabilitas. Dalam pidatonya di Sistem Pemerintahan Berbasis Elektronik (SPBE) Summit 2024, Presiden Jokowi menyebutkan bahwa terdapat 27 ribu aplikasi dalam lingkup pemerintahan, baik pusat maupun lokal. Dalam acara yang sama, Presiden menyebutkan bahkan ada satu kementerian yang memiliki 5.000 aplikasi.

Jika satu kementerian saja bisa memiliki 5.000 aplikasi, bagaimana bisa digitalisasi layanan publik berjalan secara efisien? Lalu, bagaimana pula menjamin keamanan data ribuan aplikasi tersebut? Dari data jumlah aplikasi saja, kita sudah bisa menebak bahwa digitalisasi oleh pemerintah bukanlah upaya memperluas jangkauan layanan, melainkan sekadar operasi plastik untuk membuat pemerintahan tampak “maju”.

Selama paradigma “citra kemajuan” ini tidak berubah, keamanan data tak akan menjadi prioritas. Ukuran dari kemajuan bukanlah berapa banyak aplikasi yang kita miliki, tapi sejauh mana aplikasi itu produktif memperluas fungsi pelayanan. Untuk itu, hal yang paling penting dilakukan sekarang adalah mengubah paradigma para pejabat dari orientasi “citra kemajuan” ke arah akuntabilitas. 

Apa gunanya memiliki puluhan ribu aplikasi pelayanan publik jika warga masih harus membawa fotokopi KTP? Apa pula guna banyak aplikasi tersebut jika keamanan data publik tidak terjamin?