Korupsi Pengadaan PDNS: Serangan Ransomware dan Kerugian Negara Rp 959 Miliar

Kejaksaan Negeri Jakarta Pusat (Kejari Jakpus) telah mengungkap kasus korupsi dalam pengadaan barang dan jasa pengelolaan Pusat Data Nasional Sementara (PDNS) di lingkungan Kementerian Komunikasi dan Informatika (kini Kementerian Komunikasi dan Digital, Kominfo) periode 2020-2024. Kasus ini berujung pada serangan ransomware yang melumpuhkan layanan publik dan mengakibatkan kerugian negara mencapai lebih dari Rp 959.485.181.470. Kejadian ini bermula pada pertengahan Juni 2024, ketika serangan ransomware yang diidentifikasi sebagai varian baru Brain Chipher dari Lockbit 3.0 melumpuhkan PDNS 2 Surabaya, mengakibatkan sejumlah layanan publik vital tidak dapat diakses. Kejadian ini juga menyebabkan tereksposnya data pribadi sejumlah penduduk Indonesia, termasuk data KTP, nomor rekening, dan nomor telepon seluler.

Menurut Kasi Intel Kejari Jakpus, Bani Immanuel Ginting, penyebab utama serangan ransomware ini adalah kegagalan memasukkan pertimbangan kelaikan dari Badan Siber dan Sandi Negara (BSSN) sebagai syarat penawaran dalam proses pengadaan. Hal ini dinilai sebagai bentuk kelalaian yang berujung pada kerentanan sistem keamanan PDNS. Serangan siber tersebut berdampak sangat luas, khususnya terhadap layanan Imigrasi yang mengalami dampak paling parah. Analisis forensik BSSN lebih lanjut mengungkapkan adanya upaya penonaktifan fitur keamanan Windows Defender pada PDNS 2, sebuah praktik yang langsung menjadi sorotan publik. Kejadian ini memicu pengunduran diri Direktur Jenderal Aplikasi Informatika (Dirjen Aptika), Semuel Abrijani Pangerapan, pada 4 Juli 2024.

Pemerintah, melalui kerjasama dengan Lintasarta dan Telkom, membangun PDNS sebagai fasilitas penyimpanan data sementara untuk kementerian, lembaga, dan pemerintah daerah. Ironisnya, lambatnya pemulihan layanan pasca serangan ransomware juga diakibatkan oleh kurangnya anggaran untuk melakukan backup data. Fakta ini terungkap setelah pemerintah mengakui kekurangan anggaran untuk operasional PDNS pada Oktober hingga Desember 2024 dalam rapat dengan Komisi I DPR. Meskipun PDNS 2 dinyatakan pulih sepenuhnya pada September 2024, lima bulan setelah serangan, dampak jangka panjang dari serangan ini terhadap kepercayaan publik dan keamanan data nasional masih perlu dikaji lebih lanjut. Jumlah kementerian, lembaga, dan pemerintah daerah yang terdampak serangan ini mencapai 167 dari total 282 entitas yang memanfaatkan layanan PDNS 2. Kejadian ini menjadi pengingat pentingnya keamanan siber dan akuntabilitas dalam pengelolaan proyek pemerintah, serta perlunya investasi yang memadai untuk mencegah kejadian serupa terulang kembali.

Berikut beberapa poin penting terkait kasus ini:

• Kerugian Negara: Lebih dari Rp 959.485.181.470.
• Pelaku Serangan: Ransomware Brain Chipher (varian baru Lockbit 3.0).
• Dampak: Layanan publik lumpuh, data pribadi penduduk Indonesia terekspos.
• Penyebab Utama: Kegagalan memasukkan pertimbangan kelaikan BSSN dalam proses pengadaan.
• Kelemahan Sistem: Penonaktifan fitur keamanan Windows Defender.
• Kurangnya Backup Data: Akibat kekurangan anggaran.
• Jumlah Lembaga Terdampak: 167 dari 282 kementerian, lembaga, dan pemerintah daerah.

Kasus ini menjadi pelajaran berharga bagi pemerintah dan seluruh pihak terkait dalam hal tata kelola pengadaan barang dan jasa, khususnya yang menyangkut keamanan data dan infrastruktur publik. Transparansi dan akuntabilitas menjadi kunci untuk mencegah terulangnya kejadian serupa di masa mendatang.