Baca berita dengan sedikit iklan, klik di sini
PESAN dari peretas itu pertama-tama menyatakan bahwa Pusat Data Nasional Sementara 2 yang berada di Surabaya, Jawa Timur, telah dibobol. Jika ingin pulih, menurut peretas, pengelola pusat data memerlukan bantuan mereka. Kelompok peretas yang menamakan diri Brain Chiper itu menjamin sistem bisa pulih dalam empat-enam jam.
Agar pemulihan sistem berhasil, mereka memasang tiga syarat. Salah satunya, jangan melapor kepada polisi. “Jika salah satu poin dilanggar, kami akan menolak bekerja sama,” demikian pesan peretas. Selanjutnya, Brain Chiper memberikan panduan untuk berkomunikasi dengan mereka di sebuah laman di web gelap lewat peramban Tor.
Permintaan tebusan sebesar 8 juta dolar—yang diasumsikan menjadi US$ 8 juta atau sekitar Rp 131 miliar oleh Menteri Komunikasi dan Informatika Budi Arie Setiadi—muncul setelahnya. Pengelola pusat data menuruti peretas untuk mengontak mereka di laman yang dimaksud. Sebagaimana dilihat Tempo di laman tersebut pada Selasa, 25 Juni 2024, pengelola pusat data langsung membuka percakapan soal uang tebusan.
“Halo,” kata pengelola pusat data.
“Halo. Apa yang bisa dibantu?” ujar peretas.
“Saya ingin membayar (tebusan). Tolong kirimkan dompet (digital).”
“Anda tahu pembayarannya dalam Monero (XMR)? Jumlahnya 8.000.000 dolar.”
“Apa alamatnya?”
Peretas mengirimkan sebuah tautan. Namun lawan bicaranya tak pernah membalas lagi percakapan dalam bahasa Inggris tersebut.
Menteri Komunikasi Budi Arie mengatakan ia mendapat laporan mengenai permintaan tebusan dalam bentuk kripto itu saat memimpin rapat daring pada Jumat, 21 Juni 2024. “Laporan dari Telkom,” katanya kepada Tempo di kantornya pada Rabu, 26 Juni 2024. Direktur Network & IT Solution PT Telkom Indonesia Herlan Wijanarko juga membenarkan adanya permintaan itu. PT Telkom Indonesia Tbk lewat anak usahanya, PT Sigma Cipta Caraka, mengelola pusat data di Surabaya tersebut.
Selain diikuti pihak Telkom, pertemuan daring pada Jumat itu dihadiri perwakilan Direktorat Jenderal Imigrasi Kementerian Hukum dan Hak Asasi Manusia serta Badan Siber dan Sandi Negara (BSSN). Direktur Jenderal Imigrasi Silmy Karim mengatakan direktoratnya mengikuti rapat lantaran sehari sebelumnya sistem imigrasi yang disimpan di pusat data tak bisa diakses. Akibatnya, pelayanan di perlintasan imigrasi, seperti di bandar udara, harus dilakukan secara manual. “Dari perlintasan, visa, paspor, hingga aplikasi pendukung semuanya mati,” ucap Silmy kepada Tempo pada Selasa, 25 Juni 2024.
Silmy menerima laporan bahwa sistem milik lembaganya lumpuh pada Kamis subuh, 20 Juni 2024. Selain imigrasi, ada 238 instansi yang terkena dampak oleh bobolnya pusat data sementara.
Baca berita dengan sedikit iklan, klik di sini
Menkominfo Budi Arie Setiadi menghadiri rapat terbatas dengan Presiden Joko Widodo terkait peretasan terhadap Pusat Data Nasional Sementara (PDNS) 2 di Istana Negara, Jakarta, 28 Juni 2024. Tempo/Subekti
Baca berita dengan sedikit iklan, klik di sini
Baca berita dengan sedikit iklan, klik di sini
Dalam rapat, Budi Arie meminta masalah yang menimpa pusat data harus segera dibereskan. Saat itu Budi dan pejabat pemerintah lain belum mau mengakui kepada khalayak bahwa pusat data telah dibobol peretas. Alih-alih itu, mereka berdalih pusat data mengalami gangguan dan memerlukan waktu untuk pulih.
Pemerintah baru mengakui pusat data diretas dalam konferensi pers pada Senin, 24 Juni 2024. Ini berarti lima hari setelah peristiwa lumpuhnya pelayanan imigrasi. Kepala BSSN Hinsa Siburian menuturkan, pusat data diserang ransomware bernama LockBit 3.0. Virus itu mengunci berkas yang diretas. “Gangguan ini terjadi karena serangan siber,” kata Hinsa.
Seusai konferensi pers, kelompok Brain Chiper kembali mengirimkan pesan di laman percakapan yang sama di web gelap. Mereka menyimpulkan bahwa pengelola data dan pemerintah tak berniat membayar tebusan. Mereka pun menyampaikan akan tetap mengunci semua data dan membuka kualitas perlindungan data pribadi hingga minimnya antivirus yang ditanam di pusat data. “Kami juga akan mempublikasikan percakapan ini,” demikian penutup pesan dari peretas.
Menteri Komunikasi Budi Arie menyatakan pemerintah tak akan membayar tebusan kepada kelompok peretas. “Cari duit US$ 8 juta susah, Bos,” ujarnya.
•••
JAUH sebelum kelompok Brain Chiper meretas Pusat Data Nasional Sementara, Badan Siber dan Sandi Negara mengirimkan peringatan kepada Kementerian Komunikasi dan Informatika. Isinya, potensi serangan siber berupa ransomware ke pusat data karena Brain Chiper telah menyerang pusat data di negara lain.
Kepala BSSN Hinsa Siburian mengatakan lembaganya sudah memprediksi akan ada serangan berupa ransomware hingga distributed denial-of-service (DDoS) pada tahun ini. Prediksi itu dibuat oleh BSSN pada tahun kemarin. “Hasilnya kami sampaikan ke semua lembaga agar bisa mengantisipasinya,” katanya pada Kamis, 27 Juni 2024.
Kepala Badan Siber dan Sandi Negara (BSSN) Hinsa Siburian (tengah) dan Direktur Network dan IT Solution Telkom Sigma Herlan Wijanarko memberikan keterangan pers terkait gangguan pada Pusat Data Nasional Sementara (PDNS) 2 di Jakarta, 24 Juni 2024. Antara/Rivan Awal Lingga
Menteri Komunikasi Budi Arie Setiadi menerima peringatan itu. Tapi Kementerian Komunikasi tak terlalu mengacuhkannya. “Seharusnya memang memberikan perhatian, tapi mana kita tahu kita yang kena. Ya nasib, ya nasib,” tutur Budi.
Pusat Data Nasional Sementara akhirnya dibobol peretas. Menurut Hinsa, berdasarkan penelusuran BSSN, upaya pelumpuhan fitur keamanan pusat data dimulai pada Senin tengah malam, 17 Juni 2024.
Pusat data rupanya menggunakan fitur keamanan Windows Defender, antivirus gratis bawaan dari sistem operasi Windows 10 dan 11, yang dianggap rentan jebol. Menurut Direktur Operasi PT Sigma Cipta Caraka atau Telkom Sigma, I Wayan Sukerta, Windows Defender digunakan sebagai antivirus serep oleh perusahaannya. “Sistem utama pusat data menggunakan cloud dari platform tertentu,” ujarnya di Dewan Perwakilan Rakyat pada Kamis, 27 Juni 2024.
PT Sigma merupakan rekanan lama Kementerian Komunikasi. Untuk pekerjaan tahun ini, PT Sigma mendapatkan kontrak dari Kementerian Komunikasi senilai Rp 259,2 miliar.
Tiga hari sejak upaya peretasan pusat data dimulai, sistem keamanan Windows Defender akhirnya jebol. Hinsa menuturkan, ransomware bernama LockBit 3.0 itu masuk ke pusat data dan mengunci program ataupun berkas di dalamnya pada Kamis dinihari, 20 Juni 2024. Setelah itu, seluruh sistem pusat data digembok oleh peretas sehingga pengelola dan pengguna layanan tak bisa mengaksesnya.
Pendiri perusahaan konsultan Digital Forensic Indonesia, Ruby Alamsyah, menduga biang kerok jebolnya pusat data adalah kesalahan pemerintah dan pengelola pusat data. Selain memasang fitur keamanan yang rapuh, pengelola teledor terhadap lonjakan traffic di pusat data, yang merupakan indikasi awal ada yang tak beres. Apalagi, kata Ruby, ransomware tak bisa ujug-ujug bersemayam di dalam pusat data.
Antrian panjang pada loket imigrasi ketika terjadi peretasan terjadap PDNS 2 di Bandara Soekarno Hatta, Cengkareng, Tanggerang, 20 Juni 2024. Dok. X @jesswjk
Menurut Ruby, bisa saja ada petugas yang mengklik tautan phishing atau laman palsu untuk mengelabui pengguna dengan menggunakan jaringan Internet yang sama. “Artinya, pusat data tidak steril,” kata Ruby pada Selasa, 25 Juni 2024.
Seorang pejabat pemerintah yang mengetahui peretasan ini menyebutkan ada keteledoran Telkom Sigma dan satu kementerian yang menginput berkas yang memuat ransomware ke pusat data. Meutya Hafid, Ketua Komisi I DPR yang membidangi komunikasi dan informatika, pertahanan, serta keamanan, juga menanyakan informasi ini kepada Telkom dalam rapat kerja pada Kamis, 27 Juni 2024.
Direktur Network & IT Solution PT Telkom Indonesia Herlan Wijanarko tak bersedia bicara banyak. “Kami menunggu hasil audit forensik yang sedang dilakukan oleh BSSN,” tuturnya. Kepala BSSN Hinsa Siburian meminta waktu agar lembaganya bisa menyelesaikan forensik digital dalam peretasan ini.
•••
PUSAT Data Nasional Sementara dirancang Kementerian Komunikasi dan Informatika sembari menunggu Pusat Data Nasional selesai dibangun. Pemerintah memiliki dua pusat data sementara, yaitu di Serpong, Tangerang Selatan, Banten, dan di Surabaya. Pemerintah juga punya pusat data cadangan di Batam, Kepulauan Riau.
Pembangunan pusat data digagas oleh Presiden Joko Widodo enam tahun lalu. Jokowi mengeluarkan Peraturan Presiden Nomor 95 Tahun 2018 tentang Sistem Pemerintahan Berbasis Elektronik untuk menyatukan data pemerintah yang terserak. “Supaya terintegrasi, menjadi satu data,” ujar Menteri Komunikasi Budi Arie Setiadi. Sebelumnya, data dikelola sendiri-sendiri oleh kementerian ataupun pemerintah daerah. Dampaknya, kata Budi, tingkat keamanannya minim sehingga tak aneh jika disusupi oleh situs judi online.
Pada Februari 2020, Jokowi menyoroti banyaknya pusat data yang dimiliki oleh pemerintah. Dia menyebutkan ada 2.700 pusat data kepunyaan 630 instansi. Tapi hanya sekitar 30 persennya yang bisa digunakan. “Ini mengindikasikan duplikasi anggaran teknologi informasi dan komunikasi,” ucap Jokowi ketika itu.
Pembangunan Pusat Data Nasional (PDN) di Cikarang, Bekasi, Jawa Barat, 27 Juni 2024. Tempo/Martin Yogi Pardamean
Pemerintah berniat menyebar Pusat Data Nasional ke empat lokasi, yaitu Cikarang, Jawa Barat; Batam; Labuan Bajo, Nusa Tenggara Timur; dan Ibu Kota Nusantara di Kalimantan Timur. Belakangan, pembangunan pusat data di Labuan Bajo digeser ke Nusantara, yang sebelumnya telah ditetapkan sebagai salah satu lokasi pusat data. “Di Bajo tingkat gempanya tinggi, jadi rawan untuk jaringannya,” ujar Direktur Jenderal Aplikasi Informatika Kementerian Komunikasi Semuel Abrijani Pangerapan.
Menurut Semuel, kelak kapasitas Pusat Data Nasional di Nusantara akan lebih besar dibanding di lokasi lain. Saat ini pembangunan pusat data di Nusantara belum berjalan karena dananya belum tersedia. Pemerintah sedang membahas pendanaannya yang mencapai sekitar Rp 13 triliun dengan pemerintah Inggris yang berperan sebagai kreditor.
Begitu juga Pusat Data Nasional di Batam yang rencananya dibangun pada 2025. Pusat data di sana akan menelan biaya Rp 2,2 triliun, yang sebagian besar dananya berasal dari pinjaman Korea Selatan. Adapun pembangunan Pusat Data Nasional di Cikarang yang menghabiskan anggaran Rp 2 triliun, yang 85 persen dananya berasal dari Prancis, telah dimulai pada 2022.
Menteri Budi Arie menuturkan, pemerintah menargetkan pembangunan Pusat Data Nasional di Cikarang selesai pada Agustus mendatang. “Operasinya mulai Januari 2024,” ucapnya. Namun dua politikus partai pendukung pemerintah, dua pejabat pemerintah, dan dua ahli siber yang mengetahui pembangunan pusat data itu mengatakan pembangunan pusat data di Cikarang terbentur kendala. Salah satunya pasokan listrik yang kurang stabil. Budi menampik informasi tersebut.
Masalah yang juga mencuat, selama proses pembangunan Pusat Data Nasional tersebut, pemerintah terkesan tak kompak. Kementerian Komunikasi sebagai regulator dikabarkan tak menggandeng BSSN. Padahal, sesuai dengan Peraturan Presiden Nomor 28 Tahun 2021 tentang BSSN, fungsi lembaga itu, antara lain, melindungi keamanan siber pemerintah. “Kominfo tak melibatkan BSSN mulai dari kerangka pembuatan Pusat Data Nasional hingga proteksinya,” kata anggota Komisi I DPR, Tubagus Hasanuddin.
Kepala BSSN Hinsa Siburian tak menampik kabar bahwa lembaganya tak dilibatkan dalam pembangunan Pusat Data Nasional. Menurut Hinsa, BSSN hanya melaksanakan asistensi bagi Pusat Data Nasional. “Dalam arti, dilibatkan karena sudah jadi,” ujarnya dalam rapat kerja di DPR pada Kamis, 27 Juni 2024.
•••
SEBAGAIMANA ancaman kelompok Brain Chiper, data di pusat data di Surabaya betul-betul digembok sehingga tak bisa dipulihkan. Pemerintah tak punya cara lain mengembalikan data karena ternyata pusat data tak menyimpan data cadangan.
Saat sistem imigrasi bermasalah pada Kamis, 20 Juni 2024, Direktur Jenderal Imigrasi Silmy Karim bermaksud menggunakan data cadangan di pusat data di Batam. Tapi data tersebut tidak bisa digunakan karena tak selengkap data aslinya. Akhirnya Silmy menggunakan data serep yang tersimpan di server di kantornya. “Sebelumnya kami berasumsi, Pusat Data Nasional Sementara menyediakan mirror data,” kata Silmy.
Menteri Komunikasi dan Informatika Budi Arie Setiadi mengatakan data cadangan imigrasi yang berada di penyimpanan Batam memang tak lengkap. Data yang terekam adalah berkas selama 40 hari ke belakang sebelum terjadinya peretasan. “Cuma 0,3 persen,” ujar Budi.
Budi mengatakan seharusnya para “tenant”—sebutan untuk para penyimpan data—memiliki kesadaran menyalin sendiri berkas mereka sehingga punya data serep. Direktur Jenderal Aplikasi Informatika Semuel Abrijani Pangerapan menyatakan, di dalam kontrak ataupun aturan lembaganya, pengelola pusat data memang tak diwajibkan mempunyai data cadangan. “Backup adalah tugasmu,” ucapnya.
Menurut Kepala BSSN Hinsa Siburian, berdasarkan penelusuran lembaganya, hanya 2 persen data di pusat data sementara yang dicadangkan di Batam. Padahal, berdasarkan Peraturan BSSN Nomor 4 Tahun 2021 tentang Pedoman Manajemen Keamanan Informasi Sistem Pemerintahan Berbasis Elektronik, Pusat Data Nasional perlu memiliki data cadangan. “Tidak ada backup itu sebetulnya fatal,” tutur Hinsa.
Karena salinannya tidak dimiliki, pemulihan data dilakukan secara manual. Kementerian Komunikasi mengatakan bakal bertanya kepada semua instansi ihwal data apa saja yang disimpan di pusat data, lalu membersihkan berkas dari ransomware satu demi satu. Namun tiga pejabat pemerintah yang mengetahui peretasan ini mengatakan, setelah dibobol oleh kelompok LockBit, pusat data di Surabaya kecil kemungkinan berfungsi lagi.
Sebaliknya, Budi Arie mengatakan pusat data tersebut bisa pulih pada pertengahan Agustus 2024. Saat ini, kata dia, sejumlah ahli sedang mencari jalan keluarnya. Budi pun menyiapkan aturan mengenai perlunya data cadangan. “Nantinya akan diatur dalam peraturan menteri yang sifatnya wajib,” ujarnya.
- Akses edisi mingguan dari Tahun 1971
- Akses penuh seluruh artikel Tempo+
- Baca dengan lebih sedikit gangguan iklan
- Fitur baca cepat di edisi Mingguan
- Anda Mendukung Independensi Jurnalisme Tempo
Francisca Christy Rosana dan Aisyah Amira Wakang berkontribusi dalam penulisan artikel ini. Di edisi cetak, artikel ini terbit di bawah judul "Kotak Pandora Pusat Data Nasional"