SMARTNEWSCELEBES.COM, PAREPARE – Serangan ransomware yang menargetkan Pusat Data Nasional (PDN) Indonesia pada Juni 2024 telah menimbulkan kekhawatiran serius mengenai keamanan data nasional. Serangan ini tidak hanya mengganggu layanan publik, tetapi juga menyoroti kelemahan dalam infrastruktur digital negara. Dalam konteks ini, penting untuk menganalisis masalah ini dari perspektif hukum, khususnya Undang-Undang Informasi dan Transaksi Elektronik (UU ITE) dan Undang-Undang Perlindungan Data Pribadi (UU PDP).
Pada 20 Juni 2024, PDN Indonesia diserang oleh ransomware varian LockBit 3.0 yang dikenal sebagai Brain Cipher. Serangan ini mengakibatkan gangguan pada lebih dari 200 lembaga pemerintah, termasuk layanan imigrasi di bandara-bandara utama. Para penyerang menuntut tebusan sebesar USD 8 juta untuk mengembalikan akses ke data yang dienkripsi.
Serangan ini menyebabkan gangguan besar pada layanan publik, termasuk pemeriksaan imigrasi, layanan perizinan, dan layanan digital lainnya. Hal ini menimbulkan antrean panjang di bandara dan mengganggu proses administrasi di berbagai lembaga pemerintah. Selain itu, serangan ini juga menimbulkan kekhawatiran tentang potensi kebocoran data pribadi yang sensitif.
Pemerintah Indonesia, melalui Badan Siber dan Sandi Negara (BSSN), menegaskan bahwa mereka tidak akan membayar tebusan yang diminta oleh para penyerang. Sebaliknya, mereka fokus pada pemulihan layanan dan investigasi forensik untuk mengidentifikasi pelaku dan mencegah serangan serupa di masa depan.
UU ITE, yang pertama kali disahkan pada tahun 2008 dan diubah pada tahun 2016, mengatur berbagai aspek terkait keamanan siber dan transaksi elektronik. Pasal 32 UU ITE mengatur tentang akses ilegal terhadap sistem elektronik dan data, yang mencakup tindakan peretasan dan pencurian data. Pelanggaran terhadap pasal ini dapat dikenakan sanksi pidana hingga 8 tahun penjara dan/atau denda maksimal Rp 800 juta.
UU PDP, yang disahkan pada tahun 2022, memberikan kerangka hukum untuk perlindungan data pribadi di Indonesia. UU ini mengatur hak dan kewajiban pengendali data serta subjek data, termasuk kewajiban untuk melaporkan kebocoran data kepada pihak berwenang dan subjek data yang terkena dampak.
Dalam konteks serangan ransomware, pemerintah memiliki kewajiban untuk melindungi data pribadi warga negara yang dikelola oleh lembaga-lembaga pemerintah. Hal ini termasuk memastikan bahwa sistem keamanan yang memadai diterapkan dan bahwa ada rencana pemulihan bencana yang efektif.
Meskipun UU ITE dan UU PDP memberikan kerangka hukum yang kuat, implementasi dan penegakan hukum tetap menjadi tantangan. Banyak lembaga pemerintah yang belum sepenuhnya mematuhi standar keamanan yang ditetapkan, dan seringkali tidak ada audit keamanan yang rutin dilakukan.
BSSN memiliki peran penting dalam koordinasi respons terhadap serangan siber. Dalam kasus serangan PDN, BSSN bekerja sama dengan Kementerian Komunikasi dan Informatika serta Kepolisian Nasional untuk menginvestigasi dan memitigasi dampak serangan.
Serangan ransomware sering kali melibatkan pelaku dari luar negeri, sehingga kolaborasi internasional menjadi penting. Indonesia perlu bekerja sama dengan negara lain dan organisasi internasional untuk berbagi informasi dan strategi dalam menghadapi ancaman siber.
Peningkatan kesadaran tentang ancaman siber dan pelatihan bagi pegawai pemerintah sangat penting untuk mencegah serangan di masa depan. Program pelatihan yang komprehensif dapat membantu meningkatkan kesiapan dan respons terhadap insiden siber.
Pemerintah perlu berinvestasi dalam pengembangan infrastruktur keamanan yang lebih kuat, termasuk sistem deteksi ancaman real-time dan pemantauan berkelanjutan. Hal ini akan membantu mengidentifikasi dan merespons ancaman sebelum mereka dapat menyebabkan kerusakan signifikan.
Penerapan standar keamanan nasional yang ketat untuk semua lembaga pemerintah adalah langkah penting dalam meningkatkan keamanan siber. Standar ini harus mencakup protokol enkripsi, otentikasi multi-faktor, dan audit keamanan rutin.
Setiap lembaga pemerintah harus memiliki rencana kontinuitas bisnis yang jelas dan teruji untuk memastikan bahwa layanan dapat dipulihkan dengan cepat setelah serangan siber. Rencana ini harus mencakup prosedur pemulihan data dan komunikasi darurat.
Kerjasama antara pemerintah dan sektor swasta sangat penting dalam menghadapi ancaman siber. Perusahaan teknologi dapat menyediakan keahlian dan sumber daya yang diperlukan untuk meningkatkan keamanan siber nasional.
Pemerintah mungkin perlu mempertimbangkan regulasi dan kebijakan tambahan untuk memperkuat kerangka hukum yang ada. Ini bisa mencakup peningkatan sanksi untuk pelanggaran keamanan siber dan insentif untuk kepatuhan terhadap standar keamanan.
Transparansi dalam penanganan insiden siber dan akuntabilitas lembaga pemerintah sangat penting untuk membangun kepercayaan publik. Pemerintah harus memberikan laporan yang jelas dan komprehensif tentang insiden dan langkah-langkah yang diambil untuk mencegah kejadian serupa di masa depan.
Perlindungan terhadap infrastruktur kritis, seperti pusat data nasional, harus menjadi prioritas utama. Pemerintah perlu memastikan bahwa infrastruktur ini dilindungi oleh lapisan keamanan yang kuat dan memiliki rencana pemulihan yang efektif.
Edukasi publik tentang ancaman siber dan langkah-langkah perlindungan diri juga penting. Masyarakat harus diberi informasi tentang cara melindungi data pribadi mereka dan mengenali tanda-tanda serangan siber.
Kebijakan keamanan siber harus dievaluasi dan diperbarui secara berkala untuk mengatasi ancaman yang terus berkembang. Pemerintah harus tetap waspada terhadap tren dan teknologi baru yang dapat digunakan oleh penyerang.
Serangan ransomware pada PDN Indonesia menunjukkan perlunya peningkatan signifikan dalam keamanan siber nasional. Dengan memanfaatkan kerangka hukum yang ada, seperti UU ITE dan UU PDP, serta meningkatkan kerjasama antara pemerintah dan sektor swasta, Indonesia dapat membangun infrastruktur digital yang lebih aman dan tangguh. Transparansi, akuntabilitas, dan edukasi publik juga akan memainkan peran penting dalam membangun kepercayaan dan kesiapan menghadapi ancaman siber di masa depan.
Dalam buku “Hukum Informasi dan Transaksi Elektronik,” Muh. Akbar Fhad Syahril menekankan bahwa perkembangan teknologi informasi telah menyebabkan dunia menjadi tanpa batas (borderless) dan menyebabkan perubahan sosial yang signifikan. Karya ini membahas tentang perkembangan teknologi informasi dan pengaruhnya terhadap data privasi, serta pentingnya memahami hak dan kewajiban sebagai pengguna teknologi informasi dan internet.
Pelanggaran privasi, pencurian data, dan penyebaran informasi yang menyesatkan adalah beberapa risiko yang dihadapi dalam era digital ini. Oleh karena itu, mempelajari hukum ITE dapat membantu kita memahami sanksi yang dapat dikenakan jika terjadi pelanggaran, serta pentingnya penerapan prinsip-prinsip Good Governance dalam menghadapi kejahatan transnasional dan cloud computing.
Oleh: Muh. Akbar Fhad Syahril, M.H.
Dosen Institut Ilmu Sosial dan Bisnis Andi Sapada Kota Parepare