Di era digital yang serba canggih ini, serangan siber bukanlah hal yang baru. Namun, ketika serangan tersebut mengarah pada Pusat Data Nasional Indonesia, sebuah pertanyaan besar muncul:
“Kemana manajemen risiko Sistem Pemerintahan Berbasis Elektronik (SPBE) yang selama ini digaungkan oleh pemerintah? Apakah ini hanya formalitas belaka tanpa esensi?”
Baru-baru ini, Pusat Data Nasional (PDN) Indonesia menjadi sasaran empuk serangan yang mengakibatkan lumpuhnya layanan imigrasi di seluruh negeri. Kejadian ini memunculkan keraguan terhadap efektivitas kerangka kerja manajemen risiko SPBE yang seharusnya melindungi data dan sistem vital negara dari serangan siber.
Manajemen Risiko SPBE
Peraturan Menteri Pendayagunaan Aparatur Negara dan Reformasi Birokrasi Nomor 5 Tahun 2020 tentang Pedoman Manajemen Risiko SPBE menguraikan proses komunikasi dan konsultasi, penetapan konteks risiko SPBE, penilaian risiko SPBE, penanganan risiko SPBE, pencatatan dan pelaporan, serta pemantauan dan evaluasi. Namun, ketika teori dan praktik bertabrakan, hasilnya sering kali jauh dari harapan.
Manajemen risiko SPBE seharusnya menjadi tameng yang melindungi infrastruktur data nasional dari serangan siber. Namun, apa yang terjadi? Sebuah serangan siber yang diduga kuat telah menyebabkan gangguan sistem yang signifikan.
Ini menimbulkan pertanyaan, apakah manajemen risiko SPBE hanya sebatas dokumen yang menghiasi rak-rak arsip, sementara pelaksanaannya di lapangan masih jauh dari kata memadai?
Pada dasarnya, manajemen risiko SPBE adalah pendekatan sistematis yang meliputi proses, pengukuran, struktur, dan budaya untuk menentukan tindakan terbaik terkait risiko SPBE. Namun, serangan terbaru ini menunjukkan bahwa mungkin ada celah dalam penerapan praktik terbaik manajemen risiko tersebut.
Peribahasa “jangan taruh semua telur dalam satu keranjang”
tampaknya relevan dalam konteks ini,
mengingat keputusan pemerintah untuk menyatukan seluruh layanan pemerintah
dalam satu pusat data nasional.
Strategi ini, sementara memiliki keuntungan dalam efisiensi dan integrasi, juga meningkatkan risiko; jika satu sistem gagal, semua layanan terkait dapat terpengaruh.
Dalam situasi ini, masyarakat menjadi korban tidak langsung dari pertarungan siber yang tak terlihat. Antrian penumpang pesawat akibat kegagalan sistem imigrasi menjadi tajuk berita yang lumayan menggoda bagi pewarta.
Data sensitif dan penting keimigrasian berpotensi dieksploitasi, dan risiko kebocoran data menjadi ancaman nyata yang mengintai setiap warga negara. Ironisnya, ini terjadi di bawah naungan sistem yang seharusnya menjamin keamanan dan privasi data mereka.
Menurut berita terkini, gangguan sistem masih dalam tahap pemulihan. Di beberapa berita bahkan terdapat frasa “masih ditelusuri penyebabnya”. Hal ini menimbulkan kekhawatiran bahwa pemulihan mungkin memakan waktu lebih lama dari yang diantisipasi, terlebih ketika sang Menteri sudah turun tangan memberikan klarifikasi.
Perlu Tindakan Nyata, Bukan Retorika
Lama waktu penanganan berbanding lurus dengan tingkat keparahan. Semakin lama waktu pemulihan, artinya damage dari serangan ini cukup signifikan, dan bisa jadi, upaya pemulihan terkendala ketidaksiapan mitigasi atas dampak.
Berkaca pada kasus serangan ransomware (serupa) yang mengacak-acak sistem sebuah perbankan plat merah, dibutuhkan waktu sekitar seminggu untuk pulih normal, itupun dengan alat kendali yang lengkap semisal data recovery centre, serta business contingency plan yang memadai.
Jika seminggu setelah serangan terjadi PDN belum pulih juga, hampir dapat dipastikan kalau kesiapan pengelola hanya ala kadarnya. Belum lagi kalau yang terjadi adalah skenario terburuk yaitu yang menyerang bukan ransomware, tapi extortionware. Hanya tinggal tunggu waktu sampai data sensitif nan rahasia terjual bebas di dunia maya.
Pertanyaannya kini bukan hanya “kemana manajemen risiko SPBE?”, tetapi juga “Mana bukti kalau Manajemen risiko SPBE bukan sekadar janji manis tertulis pada lembaran negara?” Kita membutuhkan tindakan nyata, bukan hanya retorika.
Sebuah Wake-Up Call
Mungkin sudah saatnya untuk mengevaluasi kembali dan memperkuat sistem manajemen risiko SPBE. Batas antara retorika dan realita seharusnya tercermin dari kualitas, baik dari sisi kelengkapan profil risiko secara nasional, maupun dari sisi efektivitas pengendalian.
Pastikan setiap lapisan keamanan diterapkan dengan benar dan efektif. Kita juga perlu membangun kesadaran dan kesiapsiagaan di semua level pemerintahan dan masyarakat untuk menghadapi ancaman siber yang semakin canggih.
Serangan siber pada Pusat Data Nasional Indonesia adalah wake-up call bagi kita semua. Mari kita ubah retorika menjadi realita, formalitas menjadi fungsionalitas, dan esensi menjadi esensial. Karena di dunia siber, tidak ada yang namanya terlalu siap.
ASN provokatif jebolan Manajemen Kebijakan Publik Monash University yang sedang belajar untuk menulis lagi
Ulasan yang menarik. Singkat dan jelas.
Barangkali juga perlu memberikan sedikit analisis mengenai apa yang belum optimal dan comparative studies mengenai kasus serupa dan mitigasinya.