Jakarta, Ditjen Aptika – Indonesia baru saja memiliki regulasi berkaitan dengan keamanan siber dan pelindungan data dengan disahkannya Undang-Undang Pelindungan Data Pribadi (PDP). Keamanan siber, termasuk keamanan data, menjadi tugas bersama dari seluruh pemangku kepentingan.
“Membutuhkan sinergi dari seluruh stakeholders. Secara global kerentanan siber memantik peningkatkan pengeluaran penyedia layanan hingga USD101,5 miliar untuk memperkuat keamanan siber sampai dengan tahun 2025,” kata Menteri Komunikasi dan Informatika, Johnny G. Plate dalam acara Tech Conference 2022 yang berlangsung dari Studio CNBC TV, Jakarta Selatan, Rabu (12/10/2022).
Keamanan data yang dimaksud mencakup upaya pelindungan data untuk menjaga kerahasiaan, integritas, dan ketersediaan data. Berkaitan dengan keamanan data, Pemerintah RI melakukan pengembangan dan penerapan komputasi awan atau cloud computing.
“Keamanan data dalam government cloud atau Pusat Data Nasional (PDN) menjadi tanggung jawab bersama antara penyelenggara dan pengguna layanan PDN,” tegas Menkominfo.
Jika PDN diibaratkan gudang sedangkan kotak di dalam gudang sebagai perumpamaan data, maka keamanan ‘gudang’ menjadi tanggung jawab penyelenggara PDN sementara keamanan ‘kotak’ di dalam gudang menjadi tanggung jawab pengguna layanan PDN.
Sebagai pengguna layanan PDN, PSE lingkup pemerintah (publik) maupun swasta (privat) yakni memastikan data pribadi di dalam sistemnya dilindungi. Di lain pihak, pemerintah selaku penyelenggara PDN memastikan keamanan dari gangguan, baik alam maupun gangguan yang disebabkan oleh manusia.
Tiga Aspek Keamanan Data
Ketua Tim Pusat Data Nasional Direktorat Layanan Aplikasi Informatika Pemerintahan (LAIP), Ditjen Aptika Kominfo, Ade Frihadi menjelaskan tiga aspek terkait jaminan keamanan dalam penyelenggaraan dan pemanfaatan PDN yang harus menjadi perhatian bersama antara penyelenggara dan pengguna layanan PDN.
“Ada tiga aspek yang harus diperhatikan penyelenggara PDN dan pengguna layanan PDN, yang disingkat dengan CIA, yaitu aspek confidentiality (kerahasiaan), integrity (keaslian), dan availability (ketersediaan) data dan informasi,” jelas Ade melalui pesan singkat, Senin (10/10/2022).
Lihat juga: Pusat Data Nasional Masuki Tahap Penetapan Pelaksana Kontrak
Pada aspek kerahasiaan, PDN menerapkan keamanan fisik sampai dengan pengamanan IT di level perangkat keras, jaringan dan cloud system. Penerapan pengamanan tersebut juga mengacu pada beberapa standar internasional yaitu ISO 27001, diantaranya pengamanan fisik dengan mensyaratkan akses ke pusat data melalui beberapa lapis screening, seperti:
- Pendataan akses di gerbang masuk hingga masuk ke ruang pusat data dengan melakukan pendaftaran kembali untuk mendapatkan akses ke ruang data center dan rak server yang akan dituju dengan ID card elektronik + fingerprint;
- Pemasangan CCTV dan parameter keamanan lainnya;
- Pemasangan perangkat seperti network firewall, Web Application Firewall, AntiDDOS, Automatic Vulnerability, File Integrity Monitoring, Email Security, Network Antivirus, dan SIEM;
- Pengamanan di level Operating System, Management Platfom, Management Aplikasi, dan Manajemen Data karena pengguna layanan PDN yang menggunakan layanan IaaS (Infrastructure as a Service) yaitu penggunaan VPS/Virtual Machine;
- Sistem operasi harus di-hardening, di-patching, penambahan autentifikasi tambahan dan prosedur untuk masuk ke dalam sistem operasi secara remote seperti penggunaan VPN;
- Manajemen Platform juga harus meng-hardening platform web server-nya, penambahan mod security, dan modul keamanan lain untuk mengantisipasi serangan peretasan yang sudah masuk ke level sistem operasi;
- Manajemen aplikasi, pengembang aplikasi harus melakukan penguatan framework aplikasi dan penggunaan secure coding;
- Manajemen data, khususnya data strategis dan rahasia sebaiknya database yang digunakan harusnya dilakukan enkripsi. Jika terjadi peretasan data terenkrip tidak dapat dibuka. Pada saat pendistribusian (transmit/receive) aplikasi dan data antarinstansi menggunakan jaringan intra pemerintah atau jaringan yang diamankan. Berbagi pakai data menggunakan teknologi API Management dengan transport layer menggunakan SSL (HTTPS) dan token untuk autentikasi penggunaan API.
Pada aspek keaslian, pengguna layanan PDN juga harus mengantisipasi peretasan terhadap data dan informasi, dengan menerapkan keamanan pada aplikasi seperti penerapan anti SQL injection, Cross-Site Scripting (XSS), Phising, Social Engineering, Insider Threat, dll agar informasi yang disampaikan di dalam website tetap terjaga keasliannya.
Untuk data elektronik yang berbentuk dokumen seperti file PDF sebaiknya menggunakan sertifikat elektronik atau CA (Certificate Authority) untuk penggunaan tanda tangan elekronik agar pada saat peretasan dan terjadi perubahan data dalam dokumen dapat dicek keasliannya.
Lihat juga: Urgensi Digital Trust dalam Pengaplikasian TTE Sektor Keuangan
Pada aspek ketersediaan, PDN menjamin tingkat ketersediaan pusat data dengan standar strata 4/tier 4/rated-4 dengan SLA 99,99 persen dari sisi fasilitas yaitu gedung, perangkat IT, jaringan, cooling system, dan power. Namun aspek ketersediaan ini bukan hanya di level pusat data saja tetapi di dalam system IT masih ada yang harus dijaga ketersediannya oleh pengguna layanan.
Contohnya seperti platform web server yang harus dijaga ketersediaannya dari banyaknya akses yang menggunakan aplikasi, looping pemrograman yang dibuat, maintenance log system dan aplikasi, dan masih banyak lagi.
Selain ketiga aspek di atas harus diperhatikan juga faktor keamanan data selain dari peretasan. Adapun faktor keamanan yang dimaksud yaitu terkait dengan pemilihan lokasi yang tidak memiliki sejarah gempa, struktur bangunan gedung pusat data harus tahan gempa, dan jaminan ketersediaan pasokan tenaga listrik.
“Untuk kelistrikan dipersyaratkan adalah 2N atau 2(N + 1) dengan sumber listrik dari 2 gardu yang berbeda. Dua gardu tersebut berasal dari pembangkit yang berbeda di mana jika terjadi blackout pada pembangkit yang satu masih ada pembangkit lain yang tetap dapat mensupply power listrik ke PDN,” tutur Ade. (lg)