JAKARTA | ARTIK.ID - Wakil Ketua Tim Insiden Keamanan Internet dan Infrastruktur Indonesia, atau Indonesia Security Incident Response Team on Internet and Infrastructure (ID-SIRTII), Muhammad Salahuddien Manggalany, menegaskan bahwa teknologi cloud atau penyimpanan data yang disediakan perusahaan nasional sama mumpuninya dengan layanan dari perusahaan asing.
"Secara teknologi, aspek teknologinya sama. Tidak ada perbedaan sama sekali," kata Didien, sapaan akrab Manggalany, dikutip dari NSN, Jumat (28/6)
Baca Juga: Ransomware Serang PDN, Pakar ITS Tekankan Pentingnya Keamanan Siber
Analogi yang digunakan Didien adalah penyedia layanan cloud seperti pemilik kos-kosan. Penyewa kos memilih apakah hanya ingin menyewa kamar saja atau menggunakan layanan tambahan seperti membersihkan kamar atau pakaian.
Jika penyewa memilih layanan tambahan seperti mencuci pakaian, setelah dicuci, pakaiannya mau disimpan di mana? Jawabannya diserahkan kepada penyewa.
Hal serupa berlaku pada penyedia layanan cloud. Dalam layanan ini, dikenal dua sistem yang ditawarkan: managed operations dan managed services.
Pada managed operations, penyedia layanan cloud hanya menyediakan infrastruktur, sedangkan pada managed services, penyedia layanan cloud mengelola data dan backup data secara rutin.
Didien melihat akar permasalahan serangan ransomware baru-baru ini terletak pada pelaksanaan perawatan data, termasuk backup data, yang diserahkan kepada tim PDNS dan masing-masing tenant dari Kementerian/Lembaga dan pemerintah daerah.
"Jadi, kalau aneka fitur dan fasilitas backup tadi tidak diaktifkan atau tidak dikonfigurasi dengan benar, ya terjadilah insiden seperti sekarang ini. Karena kontrak ke vendor cloud dan jaringan hanya untuk sewa barang (infrastruktur) saja, tidak termasuk pengelolaan operasionalnya. Alias semua pengelolaan dilakukan sendiri oleh tim PDNS dan tenant. Vendor hanya jadi engineer panggilan technical support saja," kata Didien.
Akibatnya, meskipun teknologi cloud yang digunakan mumpuni, implementasinya tidak optimal. Buktinya, tidak ada redundansi, atau kalaupun ada, kemampuan fail over, roll back, dan recovery tidak pernah diuji saat sistem produksi terganggu.
Lebih parah lagi, tidak ada SOP mitigasi yang valid sesuai standar best practices. Artinya, sebelum kejadian, tidak ada backup memadai yang dilakukan oleh para tenant PDNS atau backup yang ada tidak berfungsi optimal. (red)
Editor : Fudai
