Pusat Data Nasional lumpuh lebih dari sepekan, apakah kesalahan tata kelola PDNS atau kelalaian manusia?

Namun, hingga kini, belum ada indikasi bahwa data-data di PDNS Surabaya juga telah dicuri. Ia "hanya" dikunci sehingga tidak bisa diakses.

"Tentunya belum bisa kita pastikan 100% tidak bocor [datanya] karena proses forensiknya masih jalan, tapi sampai saat ini yang kita tahu data itu ada di dalam [PDNS Surabaya] dalam keadaan terenkripsi," kata Kepala BSSN, Hinsa Siburian, saat rapat kerja dengan Komisi I DPR pada 27 Juni.

"Kalau itu diambil [datanya], akan kelihatan traffic keluarnya juga besar. Itu kan datanya cukup banyak."

Per 26 Juni, pemerintah mencatat ada total 282 instansi pemerintah yang datanya tersimpan di PDNS Surabaya sehingga terdampak serangan ransomware. Ini mencakup data kementerian dan lembaga, serta pemerintah provinsi, kabupaten, dan kota.

Dari 282 instansi itu, ada 239 yang layanan publiknya terganggu dan tidak memiliki backup data. Layanan 43 instansi lainnya juga terkendala, tapi disebut bisa segera pulih karena memiliki backup.

Saling menyalahkan soal backup

Saat rapat kerja dengan Komisi I DPR pada 27 Juni lalu, pemerintah menjelaskan cara kerja dua PDNS milik Indonesia yang masing-masing terletak di Serpong, Banten, dan Surabaya, Jawa Timur.

PT Aplikanusa Lintasarta adalah vendor atau penyedia layanan untuk PDNS 1 di Serpong.

Sementara itu, PT Sigma Cipta Caraka (Telkomsigma) – anak usaha BUMN PT Telkom Indonesia – adalah vendor PDNS 2 di Surabaya dan sebuah cold site atau fasilitas backup data di Batam, Kepulauan Riau.

Berdasarkan materi presentasi Kementerian Komunikasi dan Informatika serta BSSN di DPR, dua PDNS tersebut seharusnya terhubung dan saling mereplikasi atau membuat salinan data, sekaligus menyimpan backup di cold site di Batam.

"Desain PDNS seperti yang di-release oleh Kominfo serta BSSN sebetulnya sudah ideal jika memang implementasi serta pengelolaannya sesuai dengan desain tersebut," kata Pratama Persadha, pakar keamanan siber dari Communication and Information System Security Research Center (CISSReC).

"Namun, kenyatannya proses replikasi tidak berjalan karena seharusnya begitu PDNS 2 mengalami gangguan, maka PDNS 1 akan mengambil alih, kemudian data di PDNS 2 akan dipulihkan dari cold site."

Silmy Karim, Direktur Jenderal Imigrasi Kementerian Hukum dan HAM, juga sempat mengatakan bahwa data kementeriannya di PDNS tidak direplikasi.

Menurut Silmy, pihaknya telah mengirim surat kepada Kementerian Kominfo sejak April untuk meminta datanya direplikasi, tapi tidak digubris.

Maka, Silmy meminta stafnya terus membarui backup data internal di Pusat Data Keimigrasian (Pusdakim) untuk berjaga-jaga.