Artikel ini adalah analisis independen (white paper) berdasarkan sintesis laporan ancaman global (Dragos, Claroty, Check Point, CISA, WaterISAC) dan evaluasi regulasi nasional 2024-2025. Data bersumber dari riset multi-sumber termasuk advisory pemerintah AS, UK, Australia, laporan insiden BSSN, dan analisis kerentanan CVE. Tidak mewakili pandangan institusi mana pun.
๐จ Eksekutif Summary: Paradoks 2026
Sektor air Indonesia di tahun 2026 menghadapi paradoks yang mengkhawatirkan. Secara hukum, kita telah memiliki payung terkuat dalam sejarah: UU Perlindungan Data Pribadi (UU PDP No. 27/2022) berlaku penuh sejak 17 Oktober 2024. Namun secara infrastruktur, kita masih berjuang memulihkan diri dari “The Great Exposure” periode 2024-2025โdi mana ilusi keamanan nasional runtuh di hadapan serangan ransomware PDNS yang melumpuhkan 239 instansi pemerintah.
Data global melukiskan masa depan yang suram bagi utilitas yang tidak bersiap:
Di saat yang sama, aktor negara (state-sponsored) seperti Volt Typhoon terbukti bersembunyi di jaringan infrastruktur kritis AS (air, energi, komunikasi) selama 5 tahun untuk pre-positioning sabotase. American Water Worksโutilitas terbesar AS yang melayani 14 juta orangโditembus Oktober 2024. Di Massachusetts, Volt Typhoon beroperasi 10 bulan mengumpulkan dokumentasi SCADA sebelum terdeteksi.
Implikasi hukum di Indonesia sudah nyata: Direksi PDAM sebagai Pengendali Data menghadapi ancaman penjara hingga 6 tahun dan denda Rp 6 miliar (Pasal 67-68 UU PDP). Untuk korporasi, denda bisa mencapai 2% pendapatan tahunanโyang berarti kebangkrutan teknis bagi PDAM dengan margin tipis, karena dihitung dari revenue bukan profit.
๐ Bab 1: Evaluasi Forensik (Anatomi Kegagalan Nasional)
Sejarah 2022-2025 memberikan pelajaran mahal yang tidak boleh terulang. Mari kita bedah detail insiden ini untuk memahami benang merah kelemahan sistemik yang berulang.
1.1 The Bjorka Effect (2022): Katalis UU PDP
Periode Agustus-September 2022 menandai titik balik kesadaran nasional. Dalam rentang tiga minggu, individu/kelompok bernama Bjorka membocorkan:
- 1,3 miliar data registrasi SIM Card (seluruh pelanggan seluler Indonesia)
- 105 juta data KPU (daftar pemilih tetap)
- Doxing pejabat negara termasuk Presiden dan keluarga
Implikasi politik: Wakil Ketua Komisi I DPR mengakui dalam sidang: “Kena Bjorka aja kemarin sempoyongan kita.” Tekanan publik dan internasional mempercepat pengesahan UU PDP No. 27/2022 yang sebelumnya mandek 6 tahun di DPRโdisahkan 20 September 2022.
Pelajaran untuk PDAM: Reputasi institusi dan negara bisa “sempoyongan” hanya dalam 3 minggu serangan intensif. Data yang tidak terenkripsi dan tidak tersegmentasi adalah bom waktu.
1.2 BSI Ransomware (Mei 2023): Kegagalan Monitoring 24/7
Serangan LockBit 3.0 terhadap Bank Syariah Indonesia (8-14 Mei 2023) adalah studi kasus textbook tentang kegagalan deteksi dini.
Data Terukur:
- 1,5 TB data nasabah dicuri (NIK, rekening, transaksi)
- Downtime total: 4 hari layanan perbankan lumpuh (recovery penuh 12 hari)
- Tuntutan tebusan: Diperkirakan $20 juta (tidak dibayar)
Root Cause Analysis:
- Infiltrasi terjadi selama libur Lebaran 2023 (22-28 April)โsaat tim keamanan lengah atau cuti.
- Pergerakan lateral tidak terdeteksi selama 6-12 hari.
- Indikasi kegagalan Security Operation Center (SOC) 24/7.
Implikasi untuk PDAM:
- SOC harus 24/7 tanpa liburโserangan sering dilancarkan saat “musim lengang”.
- Backup offline/cold storage wajib, tidak boleh terhubung jaringan utama.
1.3 PDNS Brain Cipher (Juni 2024): Dosa Fatal "No Backup"
Insiden Pusat Data Nasional Sementara 2 di Surabaya (20 Juni 2024) adalah kegagalan sistemik terbesar dalam sejarah digital Indonesia.
Skala Bencana:
- 239 instansi pemerintah lumpuh (termasuk Imigrasi, LHKPN KPK).
- 800.000 pendaftaran KIP tertunda.
- Tuntutan tebusan: $8 juta (Brain Cipher variant LockBit 3.0).
Fakta Paling Mengerikan: Dari 283 tenant yang menggunakan PDNS, hanya 44 instansi (15,5%) memiliki backup mandiri. Sisanya bergantung sepenuhnya pada backup PDNS yang ternyata tidak berfungsi atau turut terenkripsi.
Konsekuensi Kebijakan: Menko Polhukam Hadi Tjahjanto langsung mengumumkan: “Backup akan menjadi mandatory, tidak opsional lagi. Semua instansi harus punya backup offline.”
Implikasi Brutal untuk BUMD Air:
- Centralized Cloud is NOT Safer: Strategi “push everything to Smart City cloud” tanpa backup mandiri adalah bunuh diri operasional.
- Disaster Recovery Must Be Tested: Punya backup tidak cukupโharus diuji restore secara berkala.
1.4 Pattern Recognition: Benang Merah Kegagalan
Analisis komparatif mengungkap kelemahan berulang:
- Credential Theft: Dimulai dari kredensial bocor atau password default.
- Lack of Segmentation: Malware bergerak bebas dari jaringan kantor ke sistem kritis.
- Backup Failure: Tidak ada, atau tersimpan di lokasi yang sama dengan data utama.
- Vendor Dependency: Ketergantungan pada infrastruktur pihak ketiga.
๐ Bab 2: Global Threat Landscape (Ancaman OT Spesifik)
Ancaman terhadap utilitas air bukan lagi sekadar pencurian data, tapi sabotase fisik (Cyber-Physical Attacks).
Target: Utilitas air pengguna PLC Unitronics.
Kasus: Aliquippa, PA (2023) - Pompa booster dimatikan via eksploitasi password default "1111".
CVE-2024-38434: Protokol PCOM memiliki opcode 0x42 yang memungkinkan reset password admin tanpa autentikasi.
Risiko Indonesia: Ribuan PLC Unitronics di IPA kecil-menengah seringkali terekspos internet tanpa ganti password.
Modus: Living off the Land (LotL). Menggunakan tool bawaan Windows (PowerShell, WMI) agar tidak terdeteksi AV.
Tujuan: Pre-positioning. Bersembunyi 5 tahun di jaringan infrastruktur kritis AS.
IoC: Execution PowerShell aneh di jam maintenance, traffic RDP dari IP tidak dikenal.
Risiko: Infiltrasi diam-diam di jaringan PDAM yang menggunakan vendor Cisco/Siemens.
Korban: Utilitas terbesar AS (14 juta pelanggan).
Dampak: Portal pelanggan offline 10 hari, call center lumpuh.
Pelajaran: Segmentasi IT/OT menyelamatkan operasi fisik. Meski IT lumpuh, air tetap mengalir karena OT terpisah.
Skenario: Manipulasi PLC untuk membuka-tutup katup secara cepat (rapid cycling).
Dampak: Tekanan hidrolik ekstrem memecahkan pipa distribusi utama (physical destruction).
Risiko: PLC di Indonesia sering tidak punya logic rate-limiting untuk aktuator.
โ๏ธ Bab 3: Lanskap Regulasi 2026
Di tahun 2026, “pedang hukum” sudah terhunus.
3.1 Gap Implementasi
Meskipun lembaga pengawas masih transisi, sanksi pidana tidak memerlukan lembaga pengawas. Direksi tidak bisa berlindung.
- PN Karanganyar (2023): 5 tahun penjara untuk pencurian identitas (analog UU PDP).
- PN Tangerang (2024): 1,5 tahun penjara untuk penyalahgunaan NIK.
3.2 Tanggung Jawab Hukum Direksi
| Jenis Pelanggaran | Pasal | Sanksi Pidana | Risiko Korporat |
|---|---|---|---|
| Gagal lindungi data | Pasal 67 | Penjara 5 tahun / Rp 5 M | Denda 2% revenue |
| Pemalsuan data | Pasal 68 | Penjara 6 tahun / Rp 6 M | Pencabutan izin |
| Korporasi (pemberatan) | 70-71 | Denda 10x lipat | Pembubaran BUMD |
Prinsip Fiduciary Duty: Jika Direksi tahu risiko tapi menolak anggaran security, ini adalah kelalaian yang bisa digugat secara pribadi.
๐ก๏ธ Bab 4: Strategi Pertahanan Teknis (Technical Roadmap)
4.1 Atasi “The Convergence Trap”
Masalah utama adalah IT/OT Convergence yang tidak terkendali (Flat Network).
Ideal (Purdue Model):
|
|
Realitas PDAM: Semua dalam satu VLAN. Malware email staff HRD bisa langsung lompat ke PLC pompa.
4.2 Adopsi Standar IEC 62443
7 Foundational Requirements (FR) untuk PDAM:
- FR 1 (Auth): MFA untuk semua akses SCADA.
- FR 2 (Use Control): Operator hanya bisa view, Engineer bisa edit.
- FR 5 (Restricted Flow): Data Diode (OT ke IT only).
- FR 7 (Availability): Redundansi server SCADA.
4.3 AI-Driven Defense (The 2026 Standard)
Pertahanan manual manusia tidak scalable. Solusi seperti Darktrace atau Claroty xDome menggunakan AI untuk mempelajari “pola napas” normal jaringan OT dan mendeteksi anomali dalam hitungan detik.
4.4 Backup Strategy: The PDNS Lesson
3-2-1-1 Backup Rule:
- 3 Copies data.
- 2 Media berbeda (Disk, Tape).
- 1 Offsite.
- 1 Offline (Air-gapped) & Data Immutability.
๐ Bab 5: Rekomendasi Strategis untuk Direksi
Quick Wins (Hari 0-30): Fundamental Hygiene
- Inventory Aset: Map semua PLC, IoT, Server.
- Ganti Password Default: Audit Unitronics, Mikrotik, CCTV.
- Matikan Remote Access Liar: Tutup TeamViewer/AnyDesk vendor. Wajibkan VPN.
- Scan Shodan: Pastikan IP publik PDAM bersih dari exposure port 20256 (Unitronics) atau 502 (Modbus).
Medium-Term (Bulan 2-3): Compliance
- Tunjuk DPO: Kirim staff untuk sertifikasi CDPO.
- Susun RoPA (Record of Processing Activities): Petakan aliran data pelanggan.
- Deploy OT Visibility: Pasang sensor passive (Claroty/Nozomi) untuk melihat traffic OT.
Long-Term (Tahun 1+): Maturity
- Segmentasi Jaringan: Implementasi IDMZ.
- ISO 27001 / IEC 62443 Certification.
FD Iskandar
Analyzed & Compiled: January 2026
๐ Referensi & Sumber Data
- UU No. 27/2022 tentang Pelindungan Data Pribadi
- Peraturan BSSN No. 1 & 2 Tahun 2024 tentang IIV
- CISA Advisory AA24-038A - Volt Typhoon
- Dragos ICS/OT Cybersecurity Year in Review 2024
- Claroty Team82 Research - Unitronics CVE-2024-38434
- Laporan Insiden PDNS Juni 2024 (BSSN)