Skor Glut 0-5: Setelah PDNs dan INAFIS, Kini Data BAIS Bocor, Quo Vadis Satu Data Indonesia?

Bagi yang baru mulai membaca ulasan saya hari ini, mungkin kaget melihat "skor 0-5” yang diraih oleh Indonesia yang diwakili oleh Kementerian Komunikasi dan Informatika (Kemkominfo). 

Mengapa bisa begitu? Sebab kementerian yang menjadi garda depan negara dalam bidang komunikasi dan informatika ini tampak sangat kedodoran alias hanya bisa "ela elo" (gela gelo alias plonga plongo) belaka ketika menghadapi kasus-kasus yang memang menjadi tanggung jawabnya. 

Mereka tampak berusaha "ngeles" untuk menutupi ketidaktahuannya, namun hal tersebut malah makin menambah citra buruk yang ada.

Bagaimana tidak? Mulai dari abainya terhadap kemunculan situs Ela Elo yang sempat disebut-sebut netizen sebagai "produk Kominfo", publikasi ucapan selamat ulang tahun ke-63 Jokowi yang justru disebut-sebut netizen bergaya "duka cita" yang akhirnya dihapus sendiri oleh Kemkominfo, diobralnya data-data INAFIS di dark web, hingga pengumuman Kepala Badan Siber dan Sandi Negara (BSSN) Hinsa Siburian terhadap kasus ransomware Pusat Data Nasional sementara (PDNs), dan yang terbaru publikasi kebocoran data-data BAIS oleh MoonzHaxor di BreachForums, menjadi kekalahan bertubi-tubi yang tidak bisa dihindari.

Saya tidak akan terlalu fokus pada kasus data BAIS, yang seperti kasus data INAFIS kemarin disampaikan oleh akun X @FalconFeedsio, bahwa ada pelanggaran data BAIS yang dibocorkan MoonzHaxor, salah satu anggota terkemuka BreachForums, di forum tersebut. 

Kebocoran tersebut berupa file sampel dengan kumpulan data lengkap. Pelanggaran ini menyusul insiden serupa pada tahun 2021 di mana jaringan internal Badan Intelijen Negara disusupi oleh kelompok Tiongkok.

Mengapa tidak perlu terlalu fokus? Karena seperti yang disampaikan oleh Kepala BSSN saat menjelaskan kebocoran dan penyebaran data INAFIS dalam konferensi pers tentang PDNs di Kemkominfo kemarin, situasinya persis seperti prediksi saya sebelumnya yang mengindikasikan respons yang minim, seolah-olah tidak ada yang terjadi. Mereka dengan santainya hanya menyebutkan bahwa data tersebut sudah lama dan dark web adalah tempat seseorang dapat menjual apapun. 

Masya Allah. Begitu entengnya tanggung jawab terhadap data-data tersebut? Kemacetan data di imigrasi yang langsung terkait rakyat saja dengan santainya baru diumumkan setelah 4x24 jam, apalagi ini yang tidak langsung ada dampaknya bagi masyarakat.

Mungkin skor glut 0-5 sekarang, bahkan sampai 0-10 pun tidak akan memperbaiki kinerja Kemkominfo rezim ini. Melihat bagaimana konferensi pers diselenggarakan dengan santainya dan pertanggungjawaban yang diungkapkan dengan begitu enteng kemarin, bencana yang semakin besar akan terus membayangi kemandirian data Indonesia.

Baca Juga: Kalah Quattrick 0-4, Data INAFIS Bocor dan Dijual Bebas

Membaca masterplan pembuatan Pusat Data Nasional tanpa adanya "sementara" lagi, Indonesia terlihat tidak bisa lepas dari ketergantungan asing. Hal ini mirip dengan pembangunan IKN yang terlihat sangat ingin mengandalkan bantuan luar negeri, meskipun seharusnya kita merasa malu karena IKN dibangun menggunakan sumber daya dan dana dari Indonesia sendiri.

Dalam perencanaannya, akan ada empat PDN yang dibangun, yaitu di Cikarang, Batam, IKN, dan Labuan Bajo. Semua proyek ini bergantung pada bantuan dari negara-negara asing. Misalnya, proyek di Cikarang akan mendapatkan bantuan sebesar 104 juta Euro dari Perancis atau sekitar Rp2,7 triliun, sedangkan di Batam direncanakan akan dibantu oleh Korea Selatan. Proyek di IKN dikabarkan akan meminta bantuan dari AS atau Inggris, sementara untuk proyek di Labuan Bajo belum ada negara yang terlibat. 

Apakah bantuan dari negara-negara tersebut akan cuma-cuma? Tentu saja tidak. Seperti pepatah lama yang mengatakan no free lunch, apalagi kalau lunch yang bergizi, perlu lebih dari Rp71 triliun dari APBN.

Saat konferensi pers kemarin, Dirjen Aptika Kemenkominfo, Samuel Abrejani Pangerapan, sempat menyampaikan bahwa di antara 210 institusi yang data-datanya sebelumnya ada di PDN, selain imigrasi, sudah ada LKPP dan Kota Kediri yang sudah "pulih" alias normal berjalan kembali. Namun, tidak dijelaskan secara transparan apakah pulihnya tersebut karena berhasil diurai enkripsinya kembali dari serangan Lockbit 3.0 atau institusi-institusi tersebut kebetulan memiliki data backup sendiri. Karena sebenarnya, semenjak 21 Juni 2024 alias sehari setelah PDN down, Kemkominfo mengeluarkan SK No. B-698/DJAI/AI.01.01/03/2024 yang berisi kewajiban semua penyedia data untuk memiliki backup-nya masing-masing.

Tentu hal ini sangat aneh dan memberatkan bagi institusi-institusi tersebut. Sesuai dengan prinsip Satu Data Indonesia (SDI) berbasis Sistem Pemerintahan Berbasis Elektronik (SPBE) yang mengikuti Perpres No. 132 Tahun 2022 dan Perpres No. 82 Tahun 2023, semua data harus terpusat alias disentralisasi di PDN. Tidak boleh ada data-data di luar PDN, termasuk sudah tidak boleh lagi menganggarkan server sendiri atau sentral data mandiri. 

Artinya, 43 kementerian/lembaga, 5 provinsi, 86 kabupaten, dan 24 kota yang data-datanya saat ini tersimpan di PDN harus bagaimana? Aturan yang tampak tidak sinkron ini mencerminkan carut-marutnya tata kelola data di bawah rezim saat ini, seperti yang sering dibandingkan oleh mayoritas netizen dengan negara Konoha dan Wakanda.

Sejujurnya, jika imigrasi, LKPP, dan Kota Kediri tidak memiliki data backup sendiri, maka sampai sekarang data-data mereka yang ada di PDNs belum pulih. Hal ini disebabkan pemerintah bersikeras tidak akan membayar tebusan ransomware senilai US$8 juta atau sekitar Rp132 miliar dengan kurs 1 US$ Rp16.500 saat ini.

Baca Juga: Setali Tiga Uang, StarLink 'Hanya' Tiga Puluh M, Alias Tiga Kali Prank

Karena enkripsi yang dilakukan oleh Lockbit 3.0 brandchipher (brand 3.0) ini tergolong canggih dan sulit untuk dibuka, kecuali digantikan dengan backup jika memang ada di sumbernya. Sayangnya, di PDNs disebut-sebut memang tidak ada backup-nya, mirip seperti menyimpan data dalam hard drive eksternal yang kemudian rusak. Bila tidak ada data backup lainnya, maka ya wassalam.

Kesimpulannya, quo vadis atau kemana engkau pergi SDI?

Jika SDI benar-benar diterapkan dan anggaran untuk pembuatan data server di daerah-daerah atau institusi lain tidak lagi diperkenankan, siapa yang akan bertanggung jawab jika terjadi peretasan PDN lagi seperti sekarang?

Jika Kemkominfo memiliki rasa malu dan mampu bertanggung jawab sesuai dengan UU No. 24/2022 tentang Perlindungan Data Pribadi (PDP), publik akan merasa aman dan percaya. Namun, melihat kondisi rezim ini, tampaknya harapan tersebut tidak realistis.

Mengharapkan data-data akan aman seperti mengharapkan pungguk merindukan bulan, sangat jauh dari kenyataan dan menunjukkan ketidakpahaman terhadap situasi yang ada.