在全國國際機場的移民服務完全癱瘓 100 多個小時后，印尼政府承認其新成立的國家數據中心 (PDN) 遭受了網絡攻擊。

惡意 Lockbit 3.0 勒索軟件加密了存儲在中心的重要數據，其背后的黑客組織要求支付 800 萬美元的贖金。

不幸的是，大多數數據沒有得到妥善備份。

在撰寫本文之前，印尼政府未能完全恢復至少 282 家受感染機構的數據。

這不是第一次，而且很可能也不會是最后一次。

印尼網民仍然清楚地記得 2021 年衛生部的 Covid-19 追蹤應用程序遭到黑客攻擊，以及 2022 年一名名為“Bjorka”的匿名黑客入侵國家機構和企業，泄露了數百萬個人數據。

更糟糕的是，在最近的 Lockbit 攻擊發生幾天后，印尼武裝部隊戰略情報局遭到入侵，其敏感數據被泄露到互聯網論壇上。

在印尼黑客界，與私營企業相比，國家機構對自身數據的保護最為薄弱。

在日益數字化的世界，網絡攻擊顯然是對國家安全的重大威脅。

印尼政府未能保護本國公民的在線數據，反映出該國網絡安全治理極其薄弱和無效。

這使得印尼幾乎無法抵御數字世界不斷演變的威脅，數百萬印尼網民極易受到不良分子的攻擊。

此外，如果數字安全的整體狀況仍然不確定，外國投資者將不愿意進入印尼，這是政府特別關注的問題。

根據國際電信聯盟發布的《制定國家網絡安全戰略指南》，各國政府最高層必須設立主管網絡安全的機構，提供指導、協調行動并監督網絡安全戰略的實施。

必須持續提供充足的資源（財政、物質和人力資源）。

此外，政府必須保證在開發最有效的網絡安全能力以應對任何可能的威脅時資源使用的問責制和透明度。

五國如何實現關鍵基礎設施保護方法的現代化

這些良好做法應該成為印尼政策制定者的參考。

然而，印尼的現實情況一直遠非理想。

印尼的網絡安全法規導致不同機構的職責分散，在預防網絡犯罪方面仍然無效。

例如，缺乏專門的個人數據保護法 (UU PDP) 反映了長期存在的監管框架薄弱的情況，直到 2022 年，該法才終于在議會通過。

而自 2016 年首次提出以來，該法經歷了多年的停滯。

即便如此，法律規定的措施，例如建立一個總體數據保護監督機構，仍未實現。

目前，印尼的網絡安全治理主要由兩個機構負責：信息通信部（Kominfo）和國家網絡與密碼局（BSSN）。

近年來，這兩個機構的領導都是政客、警察和軍官，他們沒有信息技術方面的知識或背景。

他們缺乏數字事務能力，網絡安全水平低下。

嚴重阻礙了機構間協調、有效的國家網絡安全戰略以及對災難的迅速準確響應。

印尼當局仍在采用過時（或者說原始）的安全方法應對網絡安全威脅。

例如，在 2022 年 Bjorka 案件發生后，政府專注于“追捕”黑客并將其繩之以法，就像處理普通的搶劫或盜竊案件一樣，而不是評估導致此次入侵的數據保護中的制度和技術缺陷。

在議會就最新國家數據中心違規行為與信息通信部和國家網絡與密碼局舉行的聽證會上，人們清楚地認識到，監管執行不力、缺乏技術監督和人力資源不足導致許多機構未能正確備份其數據。

根據法律規定，備份用戶數據是每個政府機構和私營企業的責任，由信息通信部和國家網絡與密碼局協助。

然而，機構和企業之間的協調不明確，導致許多不合規案件得不到處理。

讓問題更加復雜的是，國家網絡與密碼局從一開始就沒有充分參與國家數據中心項目的規劃，盡管它名義上是數據保護的主要執行者。

因此，在最近的勒索軟件攻擊之后，政府承認許多印尼公民的關鍵數據無法重新獲取。

這一災難性事件必須被反思，作為印尼立即改善網絡安全治理的嚴重信號。

首先，網絡安全法規的制定、監測和評估必須以結構化協調的方式讓所有利益相關者參與，從各級國家機構到擁有數百萬用戶數據的私營企業。

在國家層面，必須定期評估潛在風險，然后制定并推行全國性的災難響應和恢復計劃，以確保在未來發生事件時將用戶數據和相關系統的損害降至最低。

此外，必須用在數字技術事務方面有經驗的年輕一代取代那些占據與網絡安全治理相關的戰略職位的不懂技術的官員，尤其是信息通信部和國家網絡與密碼局。

應該給予技術專家更多空間，讓他們直接影響決策過程并推動更進步的政策。

這樣，未來的政策就可以通過提高對網絡安全重要性的認識以及更適合應對數字環境中復雜事件的方法而得到強調。

觀察人士一再提倡“擇優任命技術精湛的機構負責人”和“發展印尼的網絡安全隊伍”。

分析人士也呼吁減少官僚主義和政治障礙，以改善利益相關方之間的協調。

然而，到目前為止，在高級職位上推行更多任人唯賢制度和改善跨部門協調方面尚未取得進展。

因此，印尼需要投入更大的政治意愿和強有力的協調來改革網絡安全機構，提升其能力，并改善監管執法和監督。

否則，超過 2.7 億印尼公民將仍然無法上網，印尼的數字主權狀況仍將不確定。