Namun insiden tersebut hanya memperlihatkan sistem data negara di bawah naungan pemerintah yang tidak berdaya. Timbul pertanyaan, mengapa pemerintah tidak belajar dari serangan sebelumnya?

Bisa diterima jika lalu ada tekanan publik terhadap pejabat pemerintah, yang bertanggung jawab atas perlindungan data, untuk mengundurkan diri. Bidang khusus seperti keamanan siber memang memerlukan orang-orang dengan kompetensi spesifik.

Undang-Undang Perlindungan Data Pribadi (PDP) yang disahkan pada 2022 baru akan berlaku pada Oktober nanti. Bisa dibilang, kali ini, para pejabat cukup beruntung. Jika UU itu sudah berlaku, mereka, sebagai yang punya kontrol atas data-data pribadi masyarakat, bisa diadili karena gagal melindungi data pribadi warga negara.

Kita harus berterima kasih kepada kelompok peretas. Tentu saja bukan karena tindakan mereka, tetapi karena yang telah mereka lakukan membangkitkan kewaspadaan kita. Serangan ini kembali mengingatkan akan kerentanan pusat data dan sistem data kita secara umum terhadap ancaman dunia maya. Ada kebutuhan mendesak untuk mengubah pengaturan perlindungan data kita.

Jika kita gagal mengambil pelajaran dari insiden ransomware yang memalukan ini, yang dipertaruhkan adalah transformasi negara menuju dunia digital. Selain itu, kepercayaan masyarakat terhadap kemampuan pemerintah untuk melindungi data pribadi, yang menurut konstitusi adalah hak dasar, akan terkikis kecuali ada perbaikan yang dilakukan.

Kerusakan yang ditimbulkan oleh Brain Cypher tidak bisa dianggap remeh. Brain Cypher menggunakan ransomware LockBit 3.0 untuk mengunci semua data di pusat data nasional sementara di Surabaya, Jawa Timur. Pelayanan publik yang terdampak antara lain kegiatan keimigrasian, proses pendaftaran sekolah, Kartu Indonesia Pintar, dan validasi Nomor Pokok Wajib Pajak (NPWP).

Pusat data nasional menyimpan data dari 282 lembaga pemerintah, termasuk kementerian, lembaga negara, dan pemerintah daerah. Akibat dibajak, 239 lembaga kehilangan data karena tidak ada salinannya.

Jika tidak ada upaya mitigasi yang dilakukan, akan terjadi konsekuensi yang mungkin lebih dahsyat sekaligus berdampak lebih luas, ketika penjahat dunia maya kembali melancarkan serangan.

Badan Siber dan Sandi Negara (BSSN) sebenarnya telah merumuskan peta strategi keamanan siber nasional. Peta ini akan membantu berbagai pemangku kepentingan keamanan siber dalam menyusun kebijakan keamanan siber di instansi masing-masing. Namun hanya sedikit orang yang mengetahui road map tersebut, karena tidak dipublikasikan dengan baik.

Dalam peta itu, telah tertera bahwa fokus fase pertama, dari 2019 hingga 2025, adalah pada stabilisasi teknologi keamanan siber. Hal tersebut dilakukan, antara lain, dengan membangun kemampuan teknologi keamanan siber di BSSN, menyiapkan regulasi dan sistem manajemen, serta mengembangkan sumber daya manusia di bidang tersebut.

Periode kedua (2026-2035) menekankan pada integrasi teknologi siber dan enkripsi nasional. Dua hal ini dilakukan untuk mendorong regulasi di bidang perekonomian terkait otomasi, transformasi organik dan siber pada perbankan, serta transaksi ekonomi. Pengembangan tata kelola pemerintahan digital (smart government), serta upaya-upaya untuk menjamin kedaulatan eksistensi Indonesia di dunia siber, akan menjadi sorotan utama pada periode ini.

Pada periode terakhir, 2036-2045, pemerintah akan memprioritaskan kemandirian Indonesia di bidang teknologi siber dan enkripsi. Tujuannya untuk menjaga kepentingan nasional dan kedaulatan negara di ranah siber.

Mengingat pentingnya peran infrastruktur pusat data dalam mendukung transformasi digital dalam layanan pemerintah, sangat penting untuk menyelesaikan insiden keamanan pada pusat data sementara secara menyeluruh, transparan, serta akuntabel.

Cara yang dipilih dalam penanganan serangan siber ini akan mempengaruhi keberlangsungan transformasi digital dalam layanan pemerintah, terutama terkait kepercayaan masyarakat terhadap pengelolaan data pribadi warga negara. Dan kepercayaan itulah yang menjadi landasan dalam memberikan layanan publik. Setelah terjadi insiden ransomware, pemerintah harus memastikan bahwa semua pusat data menerapkan standar keamanan yang paling tinggi. Hal ini harus diwujudkan dalam peraturan yang sedang disiapkan pemerintah untuk mengimplementasikan UU PDP yang akan mulai berlaku pada pertengahan Oktober mendatang.

Untuk menjamin standar keamanan tertinggi, orang-orang yang akan duduk di lembaga yang bertanggung jawab mengawasi perlindungan data pribadi sebagaimana diamanatkan UU PDP harus punya keahlian di bidang keamanan siber. Sementara itu, sangat penting melakukan kampanye untuk meningkatkan kesadaran masyarakat mengenai perlindungan data.