PAREPARE, DELIK.ID – Serangan ransomware yang menargetkan Pusat Data Nasional (PDN) Indonesia pada Juni 2024 telah menimbulkan kekhawatiran serius mengenai keamanan data nasional. Serangan ini tidak hanya mengganggu layanan publik, tetapi juga menyoroti kelemahan dalam infrastruktur digital negara. Dalam konteks ini, penting untuk menganalisis masalah ini dari perspektif hukum, khususnya Undang-Undang Informasi dan Transaksi Elektronik (UU ITE) dan Undang-Undang Perlindungan Data Pribadi (UU PDP).
Pada 20 Juni 2024, PDN Indonesia diserang oleh ransomware varian LockBit 3.0 yang dikenal sebagai Brain Cipher. Serangan ini mengakibatkan gangguan pada lebih dari 200 lembaga pemerintah, termasuk layanan imigrasi di bandara-bandara utama. Para penyerang menuntut tebusan sebesar USD 8 juta untuk mengembalikan akses ke data yang dienkripsi.
Serangan ini menyebabkan gangguan besar pada layanan publik, termasuk pemeriksaan imigrasi, layanan perizinan, dan layanan digital lainnya. Hal ini menimbulkan antrean panjang di bandara dan mengganggu proses administrasi di berbagai lembaga pemerintah. Selain itu, serangan ini juga menimbulkan kekhawatiran tentang potensi kebocoran data pribadi yang sensitif.
Pemerintah Indonesia, melalui Badan Siber dan Sandi Negara (BSSN), menegaskan bahwa mereka tidak akan membayar tebusan yang diminta oleh para penyerang. Sebaliknya, mereka fokus pada pemulihan layanan dan investigasi forensik untuk mengidentifikasi pelaku dan mencegah serangan serupa di masa depan.
UU ITE, yang pertama kali disahkan pada tahun 2008 dan diubah pada tahun 2016, mengatur berbagai aspek terkait keamanan siber dan transaksi elektronik. Pasal 32 UU ITE mengatur tentang akses ilegal terhadap sistem elektronik dan data, yang mencakup tindakan peretasan dan pencurian data. Pelanggaran terhadap pasal ini dapat dikenakan sanksi pidana hingga 8 tahun penjara dan/atau denda maksimal Rp 800 juta.
UU PDP, yang disahkan pada tahun 2022, memberikan kerangka hukum untuk perlindungan data pribadi di Indonesia. UU ini mengatur hak dan kewajiban pengendali data serta subjek data, termasuk kewajiban untuk melaporkan kebocoran data kepada pihak berwenang dan subjek data yang terkena dampak.
Dalam konteks serangan ransomware, pemerintah memiliki kewajiban untuk melindungi data pribadi warga negara yang dikelola oleh lembaga-lembaga pemerintah. Hal ini termasuk memastikan bahwa sistem keamanan yang memadai diterapkan dan bahwa ada rencana pemulihan bencana yang efektif.
Meskipun UU ITE dan UU PDP memberikan kerangka hukum yang kuat, implementasi dan penegakan hukum tetap menjadi tantangan. Banyak lembaga pemerintah yang belum sepenuhnya mematuhi standar keamanan yang ditetapkan, dan seringkali tidak ada audit keamanan yang rutin dilakukan.
BSSN memiliki peran penting dalam koordinasi respons terhadap serangan siber. Dalam kasus serangan PDN, BSSN bekerja sama dengan Kementerian Komunikasi dan Informatika serta Kepolisian Nasional untuk menginvestigasi dan memitigasi dampak serangan.
Serangan ransomware sering kali melibatkan pelaku dari luar negeri, sehingga kolaborasi internasional menjadi penting. Indonesia perlu bekerja sama dengan negara lain dan organisasi internasional untuk berbagi informasi dan strategi dalam menghadapi ancaman siber.
Peningkatan kesadaran tentang ancaman siber dan pelatihan bagi pegawai pemerintah sangat penting untuk mencegah serangan di masa depan. Program pelatihan yang komprehensif dapat membantu meningkatkan kesiapan dan respons terhadap insiden siber.
Pemerintah perlu berinvestasi dalam pengembangan infrastruktur keamanan yang lebih kuat, termasuk sistem deteksi ancaman real-time dan pemantauan berkelanjutan. Hal ini akan membantu mengidentifikasi dan merespons ancaman sebelum mereka dapat menyebabkan kerusakan signifikan.
