Palestina Merdeka

Palestina

Kehidupan adalah kesempatan untuk menyempurnakan persaksian

Kematian adalah awal dari perjalanan panjang menuju keabadian

Dari reruntuhan kami bertahan

Menuju waktu terbaik tuk menyerang

Di sudut peradaban dunia kami dilupakan

Kami jiwa-jiwa merdeka

Kami biarkan keimanan yang getar laras

Kami bukan sekedar angka

Pemilik alam raya

Kau hancurkan rumah ibadah kami

Iman kami tetap teguh berdiri

Biarkan mata kami tertutup tubuh

Kami terbujur kaku

Dunia akan terbuka mata hatinya

Memanusiakan kami kembali

Di gradasi malam yang terpekat

Ku bergerak senyap tuk mendekat

Kuasamu jauh lebih sempurna

Dari seluruh algoritma penuh bencana

Langkah konkrit perbaikan Tata Kelola IT di PDN

Seperti yang kita ketahui bersama ada banyak keanehan dari kasus PDNS down yang terjadi di tanggal 20 Juni 20204;

1. Tidak adanya standard dalam incident management, ini berakibat lebih dari 5,700 servers yang berhasil diretas.
2. Tidak adanya Disaster Recovery Planning, hal ini menyebabkan gangguan terhadap pelayanan masyarakat di banyak lembaga dan kementerian.
3. Tidak disampaikan secara lugasnya root cause sampai hari ini tanggal 8 Juli 2024.
4. Hacker memberikan key dengan "cuma-cuma" di hari Rabu tanggal 3 Juli pekan lalu, sesuatu yang sangat tidak wajar apalagi kalau dilihat dari "pencapaian" team hacker yang bisa meretas lebih dari 5,700 server.

Seperti di ulasan saya di postingan terdahulu, harapan kita terkait kejadian ini adalah; 

1. Mengakui Insiden: Mengakui bahwa telah terjadi insiden keamanan siber yang berpotensi menjadi Kegagalan PDP.
2. Asesmen Dampak: Pengguna PDNS selaku Pengendali DP harus melakukan asesmen untuk mengetahui apakah ada data pribadi yang terdampak oleh insiden ini.
3. Laporan Ke Lembaga: Pengendali DP harus melaporkan insiden ini ke lembaga yang berwenang (meskipun lembaga ini belum terbentuk).
4. Pemberitahuan Kepada Subyek DP: Pengendali DP juga harus memberitahu Subyek DP yang terindikasi datanya terdampak.
5. Penelusuran Kegagalan PDP: Lembaga yang berwenang harus menelusuri Kegagalan PDP untuk mengidentifikasi apakah ada indikasi Pelanggaran PDP.
6. Analisis Pelanggaran PDP: Jika ada indikasi Pelanggaran PDP, langkah selanjutnya adalah menganalisis apakah termasuk ke dalam kategori Tindak Pidana DP.
7. Proses Hukum: Jika ada indikasi Tindak Pidana DP, maka Aparat Penegak Hukum (APH) akan melanjutkan proses pidananya.
8. Sanksi Administratif: Lembaga yang berwenang akan memberikan sanksi administratif jika diperlukan.
9. Sanksi Pidana: Pengadilan akan memberikan sanksi pidana jika terbukti ada Tindak Pidana DP.
10. Perbaikan Sistem: Baik Pengendali DP maupun Prosesor DP yang terlibat harus segera melakukan perbaikan atas pelaksanaan PDP dalam lingkup masing-masing.

Point 3 terkait dengan Lembaga yang belum terbentuk menjadi sangat penting, kalau tidak maka tidak jelas dampak hukum yang bisa dikenakan kepada pihak yang lalai dalam menjaga kedaulatan data warga negara Indonesia.

Pertanyaan kita sekarang apakah RUU Keamanan dan Ketahan Siber bisa menjadi harapan kita untuk bisa membantu memperkuat kedaulatan digital yang saat ini sangat lemah ini? Secara umum RUU ini bertujuan untuk menciptakan lingkungan digital yang aman dan tangguh, melindungi kepentingan nasional, serta mendorong kerjasama antara berbagai pihak untuk menghadapi ancaman siber yang semakin kompleks.

Rancangan Undang-Undang (RUU) Keamanan dan Ketahanan Siber merupakan inisiatif legislatif untuk mengatur aspek-aspek penting terkait keamanan dan ketahanan dunia siber. Berikut adalah beberapa materi penting yang biasanya terdapat dalam RUU semacam ini:

1. Definisi dan Ruang Lingkup:

   • Menjelaskan istilah-istilah yang digunakan dalam RUU.
   • Menetapkan cakupan regulasi, termasuk entitas yang diatur dan jenis ancaman yang ditangani.

2. Prinsip-prinsip Dasar Keamanan Siber:

   • Menyusun prinsip-prinsip dasar yang menjadi panduan dalam implementasi kebijakan keamanan siber.

3. Tanggung Jawab dan Kewenangan:

   • Menetapkan tanggung jawab berbagai pihak, termasuk pemerintah, sektor swasta, dan individu.
   • Menetapkan kewenangan lembaga yang bertanggung jawab atas keamanan siber.

4. Pengelolaan Risiko Siber:

   • Strategi dan kerangka kerja untuk identifikasi, analisis, dan mitigasi risiko siber.
   • Standar dan prosedur yang harus diikuti untuk mengurangi risiko.

5. Perlindungan Infrastruktur Kritis:

   • Menetapkan langkah-langkah khusus untuk melindungi infrastruktur kritis dari serangan siber.
   • Mengidentifikasi sektor-sektor yang dianggap sebagai infrastruktur kritis (seperti energi, telekomunikasi, keuangan).

6. Penyusunan dan Implementasi Kebijakan Keamanan Siber:

   • Menetapkan kebijakan keamanan siber nasional.
   • Prosedur untuk penyusunan, evaluasi, dan revisi kebijakan.

7. Kerjasama dan Koordinasi:

   • Menetapkan mekanisme kerjasama antara berbagai lembaga pemerintah, sektor swasta, dan internasional.
   • Mengatur koordinasi respons terhadap insiden siber.

8. Pemantauan dan Penegakan:

   • Membangun mekanisme untuk pemantauan kepatuhan terhadap regulasi.
   • Menetapkan sanksi dan tindakan penegakan bagi pelanggaran.

9. Keamanan Data dan Privasi:

   • Mengatur perlindungan data pribadi dan privasi pengguna.
   • Menetapkan prosedur untuk penanganan data sensitif.

10. Peningkatan Kapasitas dan Pendidikan:

    • Program untuk meningkatkan kapasitas dan kompetensi sumber daya manusia dalam bidang keamanan siber.
    • Kampanye edukasi dan kesadaran publik mengenai keamanan siber.

11. Respon Insiden dan Pemulihan:

• Prosedur untuk penanganan insiden siber dan pemulihan pasca-insiden.
• Strategi pemulihan untuk meminimalisir dampak insiden terhadap operasional.

Saya melihat poin 8 sangat penting sekali untuk memberikan kejelasan sanksi hukum yang bisa diberikan. Seperti halnya dengan General Data Protection Regulation yang diberlakukan di European Union, dimana perusahaan yang terbukti lalai dalam menjaga data privacy warga mereka bisa dikenakan dengan 10% dari global turnover perusahaan itu, bukan net profit.

Harus dibuat sanksi sekeras-kerasnya agar negara kita tidak di bully secara memalukan seperti yang sekarang terjadi 

Peran pihak swasta dalam membantu pemerintah dalam menjalankan infrastruktur IT yang lebih handal

Sudah lebih dari 10 hari dari serangan ransomware ke PDNS terjadi, tapi diskusi terkait hal ini masih hangat terjadi di banyak platform, yang menarik adalah berita yang menyebutkan bahwa pelaku ransom akan memberikan kunci dekripsi ke pemerintah kita. Di beberapa kesempata termasuk di Berita Satu saya sempat menyampaikan pentingnya kita untuk menjaga Confidentiality, Integrity dan Availability dari dari data kita. https://www.youtube.com/watch?v=HM_tx3_XgLE&t=2505s

Pemerintah perlu berhati-hati dengan penawaran ini karena ada potensi besar group hacker menyusupkan malware/spyware lainnya di dalam file. Kita juga melihat dilema yang dirasakan oleh lembaga dan kementrian terkait dengan aturan yang mengharuskan mereka menempatkan aplikasinya di PDN/PDNS.   https://teknologi.bisnis.com/read/20240702/101/1778767/pakar-wanti-wanti-ancaman-di-balik-rencana-brain-cipher-kasih-kunci-deskripsi-pdns-2

Sedikit mengulas mengenai Peraturan Presiden (Perpres) No. 95 Tahun 2018 tentang Sistem Pemerintahan Berbasis Elektronik (SPBE) adalah regulasi yang mengatur tentang pelaksanaan pemerintahan yang memanfaatkan teknologi informasi dan komunikasi secara terintegrasi. 

Ada tiga bagian penting dari PERPRES ini yang terdiri dari;

1. Tujuan SPBE:

   • Meningkatkan kualitas pelayanan publik. Dalam case PDNS down tentu saja ada ketidaksesuaian dengan tujuannya.
   • Mewujudkan tata kelola pemerintahan yang bersih, efektif, transparan, dan akuntabel. Terkait akuntabilitas memang menjadi sorotan dari banyak pihak termasuk anggota Komisi !.
   • Meningkatkan efisiensi dan efektivitas kinerja pemerintahan. Dengan kejadian PDNS down, maka yang ada malah ketidak efisienan dan keefktifitasan. 

2. Prinsip SPBE:

   • Terintegrasi. Ide dasarnya memang sudah bagus, tapi memang secara spirit organisasi memang mandat Kominfo adalah sebagai regulator dan operator.
   • Efektif dan efisien.
   • Akuntabel.
   • Berkelanjutan.

3. Lingkup SPBE:

   • Mencakup seluruh proses penyelenggaraan pemerintahan yang berbasis elektronik di semua instansi pemerintah pusat dan daerah. Jadi jelas bahwa seluruh insitutis pemerintahan memang diwajibkan untuk menggunakan PDN

4. Komponen SPBE:

   • Kebijakan dan strategi.
   • Tata kelola. Komponen ini memang menjadi temuan besar karena di kejadian PDNS down, terbuki tata kelolanya lemah sekali sehingga tidak ada sistem back up padahal aplikasi kritikal sudah jelas tidak boleh down.
   • Manajemen.
   • Infrastruktur.
   • Aplikasi.
   • Data dan informasi.

5. Kewajiban Instansi Pemerintah:

   • Semua instansi pemerintah pusat dan daerah wajib menyelenggarakan SPBE sesuai dengan prinsip dan ketentuan yang ditetapkan dalam Perpres ini.
   • Menggunakan layanan yang tersedia dalam Pusat Data Nasional yang dikelola oleh Kominfo.

6. Pusat Data Nasional:

   • Merupakan fasilitas yang disediakan oleh Kementerian Komunikasi dan Informatika (Kominfo) untuk mendukung pengelolaan data pemerintahan secara terintegrasi dan aman. Adapun mitra yang yang menyediakan layanan adalah Telkom Sigma dan Lintasarta.
   • Semua instansi pemerintah diwajibkan untuk menempatkan data dan aplikasinya di Pusat Data Nasional, kecuali untuk data yang bersifat rahasia negara dan yang memerlukan perlakuan khusus.

Jadi, berdasarkan Perpres 95 Tahun 2018, semua instansi pemerintah, baik pusat maupun daerah, diwajibkan untuk menempatkan datanya di Pusat Data Nasional yang disiapkan oleh Kominfo, dengan pengecualian tertentu untuk data yang bersifat rahasia negara atau yang memerlukan perlakuan khusus.

Tata Kelola ini sebenarnya sudah banyak rujukannya di pemerintah kita, termasuk SMKI, tapi  memang saya melihat keanehan dalam kejadian PDNS down dimana tidak adanya back up system, sehingga menyebabkan layanan ke masyarakat terganggu terutama di imigrasi.

Melihat tantangan-tantangan yang dihadapi saya pribadi melihat besarnya peran besar pihak swasta untuk menjadi partner pemerintah dalam menyediakan layanan dengan standard; security, reliability dan scalability yang lebih baik lagi.