Bisnis.com, JAKARTA — Langkah Menteri Komunikasi dan Informatika (Menkominfo) Budi Arie Setiadi yang baru mewajibkan pencadangan data (backup) imbas sistem Pusat Data Nasional Sementara (PDNS) 2 yang diretas mendapat kritik keras.
Pakar Keamanan Siber Vaksincom Alfons Tanujaya mengatakan bahwa semestinya setiap instansi lembaga harus memiliki pencadangan (backup) data sendiri, sebelum insiden peretasan ini terjadi. Namun, Alfons menyampaikan bahwa menurut peraturan tidak diwajibkan untuk melakukan backup data.
“Justru yang celakanya Kominfo ini untuk belajar bahwa tiap lembaga harus melakukan backup, mesti kena kayak begini [data diretas], baru [wajib backup], keterlaluan,” kata Alfons saat ditemui di Jakarta, Selasa (2/7/2024).
Dia pun menganalogikan keamanan data yang saat ini terjadi bagaikan seseorang yang ingin mengetahui tingkat keamanan dari penggunaan helm. Namun, terlebih dahulu orang itu harus mengalami benturan keras di kepala.
Menurut Alfons, aturan madatori pencadangan data yang diteken baru-baru ini dinilai sebagai suatu hal yang agak keterlaluan.
“Sebenarnya agak keterlaluan. Kita ikutin aja, ada ISO-nya, ada peraturannya. Kita ikutin aja peraturan yang di internasional itu ada ketentuannya,” ujarnya.
Alfons menambahkan bahwa sejatinya keamanan siber sudah tercantum dalam ISO 270001.
“Kita nggak perlu sampai semua diatur pakai undang-undang, seberapa mampu? Itu kan sangat detail ISO 27001. Lebih baik ikutin standar yang sudah ada, best practice-nya sudah ada. Bikin satu badan yang ngawasin,” tuturnya.
Sebelumnya, Kementerian Koordinator Bidang Politik, Hukum, dan Keamanan (Kemenkopolhukam) mewajibkan setiap kementerian/lembaga untuk melakukan pencadangan data (backup) imbas PDNS 2 yang diserang ransomware Brain Cipher pada Kamis (20/6/2024).
Menko Polhukam Hadi Tjahjanto mengatakan bahwa pencadangan data kini bersifat mandatory dan bukan lagi bersifat opsional.
“Setiap tenant atau Kementerian juga harus memiliki backup, ini mandatory, tidak opsional lagi, sehingga secara operasional, [jika] pusat data nasional sementara berjalan ada gangguan masih ada backup,” kata Hadi dalam konferensi pers Penggantian Pusat Data Nasional 2 yang diserang Ransomware, dikutip dari YouTube Kemenko Polhukam, Senin (1/7/2024).
Hadi menyampaikan bahwa setidaknya cadangan data itu berada di Disaster Recovery Center (DRC) atau cold site yang berlokasi di Batam dan setiap pemilik data memiliki pencadangan. Dengan demikian, Hadi menuturkan paling tidak ada 3–4 lapis backup data.
Selain itu, Hadi menjelaskan bahwa pemerintah juga akan mem-backup dengan cloud cadangan yang bersifat secara zonasi. “Jadi data-data yang sifatnya umum, atau data seperti statistik dan sebagainya itu akan disimpan di cloud, sehingga tidak hanya ada data di PDN,” jelasnya.
Dalam Rapat Kerja Komisi I dengan BSSN pada Kamis (27/6/2024), Kementerian Komunikasi dan Informatika (Kemenkominfo) menyatakan bahwa setiap kementerian/lembaga wajib memiliki backup data.
Menkominfo Budi Arie Setiadi menuturkan bahwa mandatory backup data kini menjadi solusi yang konkrit. Budi menjelaskan bahwa dirinya akan segera mentandatangani Keputusan Menteri tentang penyelenggaraan PDN yang salah satunya mewajibkan kementerian/lembaga dan daerah memiliki backup.
“Jadi sifatnya mandatory, bukan opsional seperti sebelumnya, paling lambat Senin KepMen akan saya tandatangani,” kata Budi.
Budi menegaskan bahwa sejatinya Kemenkominfo memiliki fasilitas backup data di PDNS, baik di PT Telkom maupun PT Lintasarta. Namun, hanya terdapat 1.630 virtual machine (VM) yang ter-backup di Surabaya atau 28,5% dari total kapasitas 5.709 VM.
Budi mengklaim bahwa Kemenkominfo terus mendorong para tenant untuk melakukan backup. Namun, lanjut dia, kebijakan backup data kembali ke para tenant. “Ini bukan berarti menyalahkan para tenant, ini harus menjadi evaluasi kita bersama,” ujarnya.
Lebih lanjut, Budi mengaku bahwa para tenant mengalami keterbatasan anggaran untuk melakukan pengadaan infrastruktur backup data.
“Seandainya kalau boleh jujur, terkadang tenant juga kesulitan mengadakan infrastruktur backup karena persoalan keterbatasan anggaran atau kesulitan menjelaskan urgensi backup tersebut ke otoritas keuangan atau auditor,” ungkapnya.