Serangan Ransomware di Pusat Data Nasional Sementara: Kegundahan Masyarakat dan Langkah Solutif Yang Diambil Selanjutnya

 Sebagai Chairman IDPRO, saya menghadiri event internasional Data Center Dynamics Asia Connect di Bali. Event internasional ini dihadiri sekitar 1000 peserta dari lebih dari 14 negara. Satu hal yang membuat saya kurang nyaman adalah hampir semua pembicaraan yang saya ikuti dimulai dengan pengalaman buruk dari rekan-rekan WNA di proses imigrasi di Bandara. Sebagai Chairman IDPRO banyak dari mereka yang menanyakan mengapa begitu rapuhnya infrastruktur digital yang dikelola pemerintah kita.

Tentu saja berita tentang serangan ransomware yang menyerang Pusat Data Nasional Sementara (PDNS) beberapa waktu lalu benar-benar membuat banyak pihak cemas, Kita tahu kedaulatan digital ini sama pentingnya dengan kedaulatan teritorial. Serangan ini bukan sekadar serangan teknis biasa, tapi sebuah peringatan besar bagi kita semua tentang betapa rentannya kedaulatan data dan digital warga negara Indonesia, dan betapa mudahnya data pribadi masyarakat terbajak sempurna.

Beberapa media menginterview saya dan memang sangat aneh kalau layanan digital pemerintah bisa down lebih dari 24 jam.

https://teknologi.bisnis.com/read/20240623/101/1776253/server-pdn-down-3-hari-asosiasi-kegagalan-signifikan-dalam-sistem-redundan

https://teknologi.bisnis.com/read/20240623/101/1776269/waktu-padam-data-center-maksimal-16-jam-pdn-3-hari-data-masih-aman

Dampak Serangan Ransomware di PDNS

Insiden ini tidak main-main. Ratusan instansi pusat dan pemerintah daerah yang menggunakan PDNS terkena dampaknya. Berbagai layanan administrasi pemerintahan dan layanan publik berbasis elektronik terganggu, menyebabkan kekacauan yang luar biasa. Bayangkan saja, layanan yang kita andalkan setiap hari untuk mengurus segala macam urusan, dari administrasi kependudukan hingga perizinan, tiba-tiba lumpuh karena data yang terenkripsi oleh ransomware. Ini adalah bencana nasional yang terjadi karena ketidak disiplinan dalam menjalankan SOP, atau ada kemungkinan coordinated attack dengan faktor orang dalam.

Kita harus berbesar hati untuk mengakui bahwa tetap ada kemungkinan pihak internal melakukan konspirasi untuk melakukan serangan ini. Perlu ada investigasi yang komprehensif terhadap para penyelenggara PDNS ini baik dari pihak regulator maupun operatosnya.

Saya sempat melihat tayangan ulang pertemuan antara Komisi 1 DPR dan pihak penyelenggara PDNS, satu kata yang saya bisa sampaikan "malu". Benar-benar sedih melihat inkompetensi dari pejabat negara untuk bisa menjalankan infrastruktur digital yang vital di negara ini.

Pentingnya Perlindungan Data Pribadi

Di balik semua ini, ada satu hal yang sangat krusial: data pribadi. IDPRO sendiri bersama MASTEL sudah menggaungkan pentingnya UU PDP ini ditegakkan sejak dari tahun 2019, https://www.merdeka.com/teknologi/idpro-soroti-urgensi-pemerintah-ganti-aturan-terkait-data-center.html.

Dalam proses layanan administrasi pemerintahan dan layanan publik, data pribadi pengguna menjadi inti dari sistem tersebut. Dan ketika sistem tersebut diserang, data pribadi kita berada dalam risiko besar. Dan hal ini sudah terjadi beberapa kali baik dari public sector; KPU, Kemenkes, BSSN, etc maupun dari pihak swasta; Gojek, Bukalapak, dll.

Dari sudut pandang UU Pelindungan Data Pribadi (PDP), insiden ini membawa kita pada tiga istilah penting:

1. Kegagalan Perlindungan Data Pribadi
2. Pelanggaran Perlindungan Data Pribadi
3. Tindak Pidana Data Pribadi

Pemetaan Pihak Terkait Insiden

Untuk memahami insiden ini lebih dalam, kita perlu memetakan para pihak yang terlibat:

• Subyek Data Pribadi: Semua individu yang datanya ada di PDNS.
• Pengendali Data Pribadi: Instansi pusat dan pemerintah daerah yang menggunakan PDNS dan memproses data pribadi berdasarkan dasar hukum yang sah.
• Prosesor Data Pribadi: Kominfo dan rekanan yang memproses data pribadi atas permintaan Pengendali DP.

Langkah-langkah Respon Insiden Sesuai UU PDP

Menanggapi insiden ini, kita harus mengambil langkah-langkah sesuai dengan amanat UU PDP. Berikut adalah langkah-langkah yang perlu diambil:

1. Mengakui Insiden: Mengakui bahwa telah terjadi insiden keamanan siber yang berpotensi menjadi Kegagalan PDP.
2. Asesmen Dampak: Pengguna PDNS selaku Pengendali DP harus melakukan asesmen untuk mengetahui apakah ada data pribadi yang terdampak oleh insiden ini.
3. Laporan Ke Lembaga: Pengendali DP harus melaporkan insiden ini ke lembaga yang berwenang (meskipun lembaga ini belum terbentuk).
4. Pemberitahuan Kepada Subyek DP: Pengendali DP juga harus memberitahu Subyek DP yang terindikasi datanya terdampak.
5. Penelusuran Kegagalan PDP: Lembaga yang berwenang harus menelusuri Kegagalan PDP untuk mengidentifikasi apakah ada indikasi Pelanggaran PDP.
6. Analisis Pelanggaran PDP: Jika ada indikasi Pelanggaran PDP, langkah selanjutnya adalah menganalisis apakah termasuk ke dalam kategori Tindak Pidana DP.
7. Proses Hukum: Jika ada indikasi Tindak Pidana DP, maka Aparat Penegak Hukum (APH) akan melanjutkan proses pidananya.
8. Sanksi Administratif: Lembaga yang berwenang akan memberikan sanksi administratif jika diperlukan.
9. Sanksi Pidana: Pengadilan akan memberikan sanksi pidana jika terbukti ada Tindak Pidana DP.
10. Perbaikan Sistem: Baik Pengendali DP maupun Prosesor DP yang terlibat harus segera melakukan perbaikan atas pelaksanaan PDP dalam lingkup masing-masing.

https://www.youtube.com/watch?v=rzBwjPZqirg&t=451s

Refleksi dan Harapan

Insiden ini seharusnya menjadi wake-up call bagi kita semua. Keamanan data pribadi adalah tanggung jawab bersama, dan kita harus serius dalam melindungi data ini dari ancaman yang semakin canggih. Semoga ke depan, kita bisa belajar dari insiden ini dan memperkuat sistem kita agar lebih tahan terhadap serangan siber. Ada beberapa hal yang bisa kita dorong bersama ;

1. Mari kita terus tingkatkan kesadaran dan kepatuhan terhadap UU PDP
2. Dan meningkatkan kewaspadaan di level tertinggi untuk secara mandiri melindungi data pribadi kita semua. 
3. Di sisi lain juga regulator harus mempercepat pengesahan UU Keamanan dan Ketahanan Siber.
4. Memberikan hukuman yang berat untuk pihak-pihak yang lalai dalam menjaga kedaulatan data.
5. Meningkatkan kompetensi cyber security untuk semua pihak yang menggunakan platform digital 

#CyberSecurity #DataProtection #UU_PDP #PDNS

The Genesis of DataGarda: My Vision for Data Center Excellence and Sustainability in Indonesia

 

In the rapidly evolving landscape of technology and infrastructure, the need for reliable, efficient, and innovative data center solutions has never been more critical. Recognizing this imperative, together with industry experts; Pak Iskandar Sastrowiranu, Tengku Reza Syahreza and Ridwan Djuhari, we founded www.datagarda.com, a company dedicated to providing comprehensive and innovative data center managed services. The impetus behind this venture lies in the significant growth in investment in data center infrastructure over the past five years, coupled with the strategic foresight of an entrepreneur seasoned in the technology sector.

The Rise of Data Center Investments

The past half-decade has witnessed an unprecedented surge in investment in data center infrastructure. Driven by the exponential increase in data generation, cloud computing, and digital transformation across industries, organizations are allocating substantial resources to build and enhance their data center capabilities. This trend is not only a reflection of the growing reliance on data-driven decision-making but also underscores the critical role of robust data infrastructure in maintaining competitive advantage.

Companies like OCS and Pro Matrix have demonstrated the lucrative potential of this sector, experiencing significant business growth by offering similar managed services. These success stories have further validated the market demand and the opportunities that lie within the data center services domain. It is against this backdrop that I envisioned DataGarda as a key player in this thriving industry.

The Vision Behind DataGarda

In  my past experiences in building institution like www.idpro.id and companies such as www.elitery.com, www.fasset.id, and www.greenexdc.com, I had gain a wealth of experience and a keen understanding of the technology and infrastructure sectors. Each of these ventures has contributed to my understanding on the industry dynamics and strategic insights, laying a strong foundation for the creation of DataGarda.

Elitery.com, for instance, has established itself as a notable name in providing disaster recovery and managed services, showcasing Hendra’s ability to identify and address critical market needs. Fasset.id, on the other hand, focuses on digital asset management, reflecting his adaptability and forward-thinking approach in embracing new technological paradigms. Greenexdc.com’s emphasis on sustainable data center solutions highlights his commitment to environmental responsibility and innovative problem-solving.

Human Resources: The Cornerstone of Success

In the realm of data center services, human resources are paramount to achieving excellence. Recognizing the importance of skilled and knowledgeable professionals, DataGarda has formed a strategic partnership with the University of Indonesia. This collaboration aims to ensure a sustainable pool of talent development, bridging the gap between academic knowledge and industry requirements.

By fostering this partnership, DataGarda not only invests in the future of the industry but also underscores its commitment to quality and innovation. The University of Indonesia, renowned for its academic excellence, provides a robust platform for nurturing the next generation of data center professionals. This synergy between academia and industry creates a pipeline of well-trained individuals ready to tackle the challenges and leverage the opportunities within the data center sector.

In the near forseeable future we would like to extend this partnership to several other higher education institutions.

Innovating for the Future

DataGarda’s approach to managed services is characterized by a commitment to comprehensive and innovative solutions. By leveraging cutting-edge technologies and industry best practices, the company aims to deliver unparalleled service quality and operational efficiency. The focus is not just on meeting current demands but also on anticipating future trends and preparing for the evolving needs of the market.

My vision for DataGarda is not merely to participate in the growth of the data center industry but to drive it forward. Through strategic investments, partnerships, and a relentless pursuit of excellence, DataGarda is poised to become a leader in the field, setting new benchmarks for managed services in the data center domain.

Conclusion

The establishment of DataGarda marks a significant milestone in Hendra Suryakusuma’s entrepreneurial journey. With a clear understanding of the market dynamics and a strong foundation built on previous successes, I strongly believe that I'm  well-positioned to lead DataGarda to new heights. The company’s focus on human resources, innovative solutions, and strategic growth ensures that it will not only thrive in the current landscape but also shape the future of data center managed services. As the industry continues to evolve, DataGarda stands ready to meet the challenges and seize the opportunities that lie ahead.

Pertumbuhan industri data center dan kaitannya dengan kedaulatan digital

 https://www.youtube.com/watch?v=GCQG2piDmLo&t=120s

Di tanggal 6 Juni 2024, saya berkesempatan sharing mengenai pendapat saya di CNBC mengenai perkembangan industri data center, khususnya terkait dengan membandingkan dengan perkembangan yang terjadi di Indonesia dan Malaysia.

Dari data yang ada, di tahun 2019 di kawasan Johor Bahru baru industri data center mengoperasikan hanya 10 Megawatt power capacity, dan angka ini naik dengan sangat eksponensial menjadi 1.3 Gigawatt di tahun 2024 ini.

Ini jauh sekali dengan perkembangan yang terjadi di Indonesia dimana total power capacity yang di operasikan di industri ini baru sekitar 400 Megawatt. Angka ini tentu tidak berbanding dengan; jumlah penduduk, nilai digital economy dan penetrasi internet dimana jumlah penduduk di Indonesia yang sudah terhubung dengan internet berjumlah lebih dari 207 juta penduduk. 

Dunia digital memang borderless, dan pangsa pasarnya juga global, artinya ketika sebuah perusahaan penyedia layanan/platform digital beroperasi di sebuah negara, tidak mesti mereka menempatkan servernya di negara tersebut.

Dari beberapa diskusi yang saya lakukan dalam kapasitas saya sebagai Chairman IDPRO, ada beberapa hal yang membuat investor melakukan investasinya di sebuah negara, iklim investasi yang kondusif adalah faktor penting dalam keputusan. Kalau kita break down component dari iklim investasi yang kondusif adalah;

1. Kepastian hukum dan regulasi yang jelas dan konsisten
1. Sultan Ibrahim sebagai Sultan Johor Bahru, di bulan Januari 2024 kemarin diangkat menjadi Sultan Malaysia (Yang Dipertuan Agung). https://www.reuters.com/world/asia-pacific/malaysia-installs-sultan-ibrahim-johor-state-new-king-2024-01-31/#:~:text=KUALA%20LUMPUR%2C%20Jan%2031%20(Reuters,national%20palace%20in%20Kuala%20Lumpur. Tentunya ini membuat beliau memiliki otoritas dan power yang lebih besar lagi mencakup seluruh Malaysia.
2. Karakter leadership yang beliau demonstrasikan sangat memberikan keyakinann bagi para pelaku industri mengenai kepastian hukum. Beliau adalah satu-satunya Sultan Malaysia yang memiliki Royal Army, yang dipimpin oleh Putera Mahkotanya Tunku Ismail Idris. https://www.researchgate.net/publication/350800775_Johor_Military_Force_Jmf_The_Only_Royal_Security_Force_in_Malaysia
2. Infrastruktur penunjang yang dibangun dengan memberikan prioritas ke industri khususnya data center.
1. Di area KIDEX, Industrial Estate bekerjasama sama dengan Tenaga Nasional Berhad menyediakan green energy. https://www.youtube.com/watch?v=ApC9qiAT5Ew
2. Pembangunan interconnectivity yang memudahkan DC providers untuk bisa membuat exchange sesuai dengan kebutuhan. https://www.malaysian-business.com/index.php/joomlaworks/item/8192-jlg-msar-collaborate-for-the-expansion-of-dark-fibre-connectivity-in-johor
3. Kemudahan menjalankan usaha (ease of doing business dan menavigasi birokrasi)
1. Sultan Ibrahim sangat mengerti bahwa keputusan bisnis bisa dipercepat dengan memberikan kemudahan-kemudahan dalam proses perizinan, beliau banyak memangkas jalur birokrasi dan banyak data center providers yang deal langsung dengan beliau. https://www.channelnewsasia.com/asia/malaysia-johor-data-centres-nvidia-ytl-kulai-sedenak-sez-us-china-trade-war-4310496
2. Di sisi lain beliau juga memiliki investasi di bidang property yang besar sekali di Singapura, dan kemampuan bisnis beliau juga luar biasa, faktor ini sangat menentukan kesuksesan Johor Bahru sebagai regional data center hub yang baru. https://www.edgeprop.my/content/1899971/johor-royal-family-land-singapore-could-be-possibly-redeveloped-luxury-homes
4. Sweetener incentives seperti tax holiday, tax refund, green incentives untuk perusahaan yang menerapkan green technology dan government supports lainnya yang sangat membantu pertumbuhan industri.
1. Disini memang banyak sekali incentive yang diberikan pemerintah Johor Bahru khususnya untuk DC industry. https://www.dcbyte.com/market-spotlights/emerging-horizons-data-centre-southeast-europe/
5. Upah buruh yang masuk dalam hitungan bisnis dan tidak fluktuatif karena kebijakan politik yang populis. https://www.payscale.com/research/MY/Location=Johor-Bahru/Salary

Sangat wajar melihat pertumbuhan yang luar bisa dirasakan oleh Malaysia karena memang apa yang pemerintah lakukan untuk mendorong pertumbuhan industri data center disana dilakukan dengan sangat masif dan strategis. 

Tentu saja kita juga harus memperhatikan bahwa banyak sekali platform digital yang dipergunakan penduduk Indonesia yang masih di host di luar negeri. Tentu saja ini berpengaruh ke kedaulatan digital masyarakat Indonesia. Karena kalau ada insiden hukum terjadi maka proses investigasi hukum yang akan dilaksanakan aparat penegak hukum Indonesia akan sangat berat.

IDPRO sendiri sangat mendukung penerapan on shoring data center regulation, karena memang akan lebih meningkatkan kedaulatan data untuk masyarakat Indonesia. Dan dari beberapa kali informasi yang disampaikan Menkominfo, sudah ada rencana untuk merevisi PP 71 2019 https://www.antaranews.com/berita/3856698/pemerintah-siapkan-tiga-pp-untuk-penerapan-perubahan-kedua-uu-ite. 

Minimal ada 5 manfaat terkait dengan menerapkan on shoring data center regulations;

1. Memudahkan aparat penegak hukum terkait dengan proses investigasi dan law enforcement proses lainnya. Intinya upaya penegakan hukum menjadi lebih mudah dan solid untuk dijalankan.
2. Latency yang lebih baik, karena data centernya lebih dekat dengan users.
3. Tumbuhnya dunia konstruksi Indonesia, termasuk pertumbuhan tenaga kerja konstruksi.
4. Meningkatnya kapasitas data center tentu saja menumbuhkan juga kebutuhan terkait  Tenaga operational DC. Terkait dengan proses maintenance juga pastinya akan ada kenaikan. Termasuk juga dengan kenaikan kebutuhan tenaga keamanan.
5. Terserapnya produksi listrik dari PLN dan Independent Power Producers lainnya di Indonesia.

Bank Indonesia's Central Bank Digital Currency Consultative Paper, Personal Feedback

The Consultative Paper on the Digital Rupiah by Bank Indonesia outlines the development and implementation of a digital currency within the country. However, this proposal raises several significant concerns related to individual freedom and the potential for government overreach, which beat the purpose of the blockchain tenet in the first place. 

Here are some key points highlighting these issues:

1.⁠ ⁠Centralized Control and Surveillance:

• The design of the Digital Rupiah includes Bank Indonesia as the genesis developer, validating node, regulatory node, operator node, and administrative node. 
• This centralizes a vast amount of power within the central bank, giving it extensive control over the digital currency system. 
• This could lead to potential surveillance and monitoring of all transactions, compromising the privacy of individuals and businesses.

2.⁠ ⁠Restricted Access and Participation:

•  Access to the wholesale Digital Rupiah (w-Digital Rupiah) is limited to certain designated parties (commercial banks and non-banks) based on criteria set by Bank Indonesia. 
• This exclusionary approach can prevent broader participation and limit financial inclusivity, impacting individuals and smaller entities that might not meet the criteria.OJK already launched Laku Pandai (Financial Inclusion) program back in 2009 and this new initiative somewhat opposing the fundamental objectives.

3.⁠ ⁠Real-Time Data Collection and Analysis:

• Bank Indonesia, as the regulatory node, has the right to collect and analyze transaction data in real-time. 
• This continuous monitoring capability poses significant risks to individual financial privacy and could be perceived as an intrusion into personal financial affairs. Data sovereignty is fundamentally the reason why blockchain technology was invented.

4.⁠ ⁠One-Tier Distribution Scheme:

•  Both wholesalers and non-wholesalers can obtain Digital Rupiah directly from Bank Indonesia, but only wholesalers can distribute it to retailers and end-users in the end state.
• This hierarchical structure can create dependencies and power imbalances within the financial system.

5.⁠ ⁠Lack of Interest on Digital Rupiah:

• The w-Digital Rupiah is designed to bear no interest, which can deter individuals from holding it as a savings instrument. 
• This characteristic could disadvantage those who rely on interest-bearing assets for wealth accumulation, further centralizing financial benefits towards established financial institutions.

6.⁠ ⁠Technical and Operational Risks:

• The use of Distributed Ledger Technology (DLT) introduces operational and cyber risks. Although DLT is intended to mitigate single points of failure, it also presents challenges in terms of scalability, efficiency, and data recovery, potentially affecting the resilience of the financial system. Disaster recovery plan need to be establish comprehensively to mitigate business operation risk.

7.⁠ ⁠Potential for Government Overreach:

• The comprehensive control exercised by Bank Indonesia over the Digital Rupiah ecosystem can be seen as government overreach. 
• This centralized authority can potentially lead to the misuse of power, such as freezing assets, controlling spending behaviors, and enforcing monetary policies that may not align with individual freedoms and economic activities.

In summary, while the development of a Digital Rupiah aims to modernize Indonesia's financial system, the proposed framework presents substantial risks to individual freedom, privacy, and ownership of money. The centralization of power, extensive surveillance capabilities, and restricted access to the digital currency system are significant concerns that need to be addressed to ensure the protection of individual rights and the prevention of government overreach.