Hacker Bobol PDNS, Pengamat: Tanpa Keterlibatan Orang Dalam Saja Sudah Lemah, Apalagi Ada Orang Dalam

JawaPos.com - Babak baru kasus bobolnya Pusat Data Nasional Sementara (PDNS) Kementerian Kominfo (Kemenkominfo) mengungkapkan sejumlah fakta mengejutkan. Fakta itu diungkap oleh akun @kafiradikalis di media sosial X.

Akun X @kafiradikalis membeberkan temuan bahwa kebocoran PDN diduga kuat berasal dari orang dalam sejak 11 Oktober 2022. Parahnya, data tersebut kemudian diunggah dan dibagikan secara gratis dan cuma-cuma di website berbagi dokumen Scribd oleh sosok bernama Dicky Prasetya Atmaja.

Nama tersebut menurut temuan netizen bekerja atau pernah bekerja di LintasArta. Lintasarta sendiri adalah perusahaan penyedia solusi end-to-end dalam bidang Teknologi Informasi dan Komunikasi (ICT) dan diketahui merupakan member usaha dari grup Indosat Ooredoo Hutchison atau IOH.

Menanggapi adanya dugaan keterlibatan orang dalam (ordal) dalam kasus bocornya Pusat Data Nasional Sementara (PDNS) Kominfo, Pengamat Keamanan Siber Alfons Tanujaya menjelaskan, keterlibatan orang dalam ini semakin membuktikan buruknya tata kelola pengelolaan Pusat Data Nasional di Indonesia.

"Tanpa keterlibatan orang dalam saja sudah lemah, apalagi ada orang dalam. Yah parah lah," kata Alfons dihubungi JawaPos.com. Orang dalam dimaksud adalah orang yang dipercaya mengelola server PDNS.

Menurut pendiri Vaksincom itu, dalam bidang pekerjaan seperti pengelolaan data center, dibutuhkan orang yang berintegritas tinggi. Pasalnya, orang-orang tersebut berkenaan langsung dengan data-data masyarakat, atau mungkin data sensitif yang dipercaya untuk dititipkan ke pusat data.

"Jelas ada dong (yang menjunjung tinggi integritas). Harusnya kalau terbukti membocorkan data akses yang berakibat bobolnya server PDN bisa ditindak (pidana)," terang Alfons.

Alfons juga menyinggung soal SOP yang buruk dalam sistem dan pengelolaan Pusat Data Nasional tersebut. Menurut Alfons, PDNS tidak menerapkan standar ISO 27001, ISAE 3402 dengan baik yang berkenaan dengan standar keamanan informasi dan standar jaminan internasional yang mengatur laporan kontrol organisasi layanan.

"Iya, bukan hanya SOP-nya (yang buru), tetapi standar pengamanan ISO 27001, ISAE 3402 yang tidak dijalankan dengan baik," lanjut Alfons.

Kemudian, dengan dugaan keterlibatan orang dalam yang membagikan data sensitif Pusat Data Nasional Sementara atau PDNS di website berbagi dokumen Scribd, Alfons menilai, ada ketidak jelasan dalam pembatasan akses PDN.

Dengan demikian, orang-orang yang seharusnya tidak berada dekat dengan server apalagi pusat data, bisa masuk lebih jauh dan mendekat ke pusat data. Lebih buruk bahkan bisa mengaksesnya.

Baca Juga: Lagi Musim! Waspada Malware Kuras Rekening Tersembunyi di HP, Jangan Sampai Nasibnya Seperti PDNS Kominfo

"Itu namanya hak akses dan itu bertingkat dan sangat dibatasi dan dipantau. Sehingga kalau terjadi kesalahan konfigurasi atau penyalahgunaan akses semua tercatat di log dan bisa ditindak lanjuti," tutur Alfons.

Hal ini juga semakin menguatkan keyakinan masyarakat bahwa disiplin yang baik dalam mengelola Pusat Data Nasional tidak dijalankan. Apalagi, dengan kejadian ini, bocornya Pusat Data Nasional Sementara akibat serangan ransomware, pihak-pihak terkait malah saling lempar tanggung jawab.

"Kelihatannya pembatasan hak akses dan pemantauan akses tidak dilakukan dengan disiplin, sehingga tidak terdeteksi. Dan Pemulihan password nya juga lemah dan tanpa dibocorkan pun, dengan brute force simpel akan bisa tertebak dalam waktu singkat," tandas Alfons.