Pada April 2026, Badan Siber dan Sandi Negara (BSSN) merilis angka yang bikin merinding pemilik bisnis kecil: Indonesia menghadapi sekitar 170 serangan siber per detik, atau setara 5 miliar anomali trafik sepanjang tahun. Sektor yang paling sering jadi sasaran bukan cuma bank dan rumah sakit — pelaku usaha kecil dan menengah masuk daftar utama karena dianggap "buah yang gampang dipetik": minim IT, minim anggaran, tapi datanya tetap berharga (Kompas, 23 April 2026).

Buat pemilik UMKM, satu serangan ransomware yang berhasil bisa berarti tutup permanen. Riset Datacomm pada 2025 menyebut lebih dari 60 persen UMKM yang mengalami serangan ransomware berat tidak pernah pulih sepenuhnya — mereka kehilangan database pelanggan, riwayat transaksi, file desain, atau bahkan akses ke akun marketplace mereka sendiri.

Solusinya bukan antivirus mahal. Solusinya adalah satu disiplin lama yang tahun ini naik kelas: aturan backup 3-2-1-1. Panduan ini menjelaskan apa itu 3-2-1-1, kenapa versi lama (3-2-1) sudah tidak cukup di 2026, dan langkah praktis menerapkannya dengan anggaran UMKM Indonesia — mulai dari Rp 0 sampai sekitar Rp 150 ribu per bulan.

Apa Itu Aturan Backup 3-2-1-1?

Aturan 3-2-1 dipopulerkan fotografer Peter Krogh hampir 20 tahun lalu dan sejak itu jadi standar industri. Inti aturannya:

  • 3 salinan data — file aslinya plus dua backup.
  • 2 jenis media penyimpanan — misalnya hard disk laptop dan hard disk eksternal. Jangan menaruh dua salinan di media yang sama.
  • 1 salinan di luar lokasi (offsite) — disimpan di tempat fisik berbeda atau di cloud, supaya kebakaran, banjir, atau pencurian di kantor tidak menghapus semua salinan sekaligus.

Aturan ini bekerja dengan baik selama bertahun-tahun. Tapi sejak gelombang ransomware modern muncul — terutama varian yang sengaja menyerang backup terlebih dulu sebelum mengenkripsi data utama — para vendor keamanan menambahkan satu lapis terakhir. Aturan baru yang sekarang dianjurkan adalah:

3 salinan data, 2 jenis media, 1 offsite, dan 1 salinan yang tidak bisa dihapus atau diubah (immutable).

"Tidak bisa dihapus" di sini benar-benar berarti tidak bisa dihapus. Bahkan jika hacker berhasil mendapatkan password admin Anda, salinan immutable ini terkunci sampai periode retensi yang Anda set berakhir. Teknologinya dikenal sebagai WORM (Write Once, Read Many) atau di layanan cloud disebut Object Lock.

Kenapa 3-2-1 Saja Sudah Tidak Cukup di 2026

Ransomware generasi baru — banyak di antaranya kini ditenagai AI yang sanggup mengenali pola file backup — bekerja dengan tiga taktik baru:

  1. Dwell time panjang. Sebelum mengenkripsi, malware bersembunyi selama berminggu-minggu memetakan jaringan. Selama periode itu, semua backup harian yang Anda buat ke hard disk eksternal yang tetap colok di komputer juga sudah terinfeksi.
  2. Targeting backup. Varian seperti LockBit, Akira, dan kerabatnya secara aktif mencari folder bernama "backup", "veeam", "shadow copy", lalu menghapus atau mengenkripsi semuanya lebih dulu. Tujuannya jelas: memastikan korban tidak punya jalan pulih kecuali bayar tebusan.
  3. Pencurian kredensial cloud. Kalau backup offsite Anda tersimpan di Google Drive atau OneDrive yang login otomatis, satu kompromi password berarti hacker bisa menghapus seluruh isi cloud Anda lewat browser.

Itu sebabnya lapisan keempat — salinan immutable yang berada di luar kendali kredensial harian Anda — sekarang dianggap wajib. Trilogix Cloud bahkan menyebutnya "the gold standard" untuk perlindungan data modern.

Cara Menerapkan 3-2-1-1 untuk UMKM Indonesia

Mari kita bongkar setiap angka jadi langkah praktis yang bisa Anda kerjakan akhir pekan ini.

Salinan #1: Data Asli (Production)

Ini adalah file yang Anda pakai sehari-hari — di laptop kasir, di komputer admin, di HP yang dipakai mengelola akun Tokopedia. Inventarisasi dulu: apa saja yang penting? Daftar wajibnya biasanya berisi database pelanggan (Excel atau aplikasi POS), file desain produk, foto stok, riwayat transaksi marketplace, kontrak digital, dan kredensial akses (idealnya disimpan di password manager, bukan file Notes).

Catat di mana setiap kategori berada. Tanpa daftar ini, langkah-langkah berikutnya akan bocor.

Salinan #2: Backup Lokal di Media Berbeda

Beli satu hard disk eksternal dengan kapasitas minimal dua kali besar data Anda saat ini. Hard disk 1 TB merek standar kini berkisar Rp 700 ribuan, hard disk 2 TB di kisaran Rp 1,1 juta — sekali keluar, dipakai bertahun-tahun.

Atur jadwal backup mingguan: setiap Jumat sore, colok hard disk, salin folder kerja, lalu cabut dan simpan di laci terkunci. Cabut adalah kunci. Hard disk yang selalu terhubung sama saja seperti file biasa di mata ransomware. Untuk otomatisasi, pengguna Windows bisa pakai File History bawaan; pengguna Mac bisa pakai Time Machine; keduanya gratis.

Kalau Anda punya 2-5 karyawan dan ingin lebih rapi, pertimbangkan NAS (Network Attached Storage) merek Synology atau QNAP kelas pemula seharga sekitar Rp 3-4 jutaan. NAS bisa dikonfigurasi membuat snapshot otomatis yang sulit dihapus pengguna biasa — semi-immutable di tingkat rumahan.

Salinan #3: Offsite (di Luar Lokasi Fisik)

Bencana lokal tidak peduli soal hard disk Anda di laci. Banjir Jakarta awal 2025 saja melumpuhkan puluhan toko fisik dan kantor UMKM. Salinan ketiga harus berada di tempat yang secara fisik berbeda.

Pilihan paling murah dan paling cocok untuk UMKM Indonesia:

  • Google Drive paket Business Starter — sekitar Rp 100 ribu per pengguna per bulan, dapat 30 GB plus email custom domain.
  • Microsoft 365 Business Basic — sekitar Rp 95 ribu per pengguna per bulan, dapat 1 TB OneDrive plus Office Web.
  • IDCloudHost Object Storage — penyedia lokal, harga mulai puluhan ribu rupiah per bulan untuk kapasitas awal. Cocok kalau Anda ingin server data tetap di Indonesia (sejalan dengan ketentuan UU PDP soal lokasi data tertentu).
  • Biznet Gio Cloud Object Storage — tarif sekitar Rp 100 per GB per bulan, dengan datacenter di Jakarta dan Surabaya.

Untuk file yang tidak terlalu rahasia, kombinasi Google Drive plus skrip rclone (gratis, open source) bisa otomatis menyinkronkan folder backup mingguan Anda setiap malam. Total biaya per bulan: harga paket Drive saja.

Salinan #4: Immutable / Air-gapped

Lapisan inilah yang membedakan UMKM yang bisa bangkit dari ransomware dan yang tidak. Anda butuh satu salinan yang secara teknis tidak bisa dihapus, bahkan oleh diri sendiri, selama periode tertentu.

Tiga opsi yang realistis untuk UMKM Indonesia:

1. Object Lock di penyedia S3-compatible. Layanan seperti Wasabi, Backblaze B2, atau Biznet Gio Object Storage mendukung fitur Object Lock yang menerapkan kebijakan WORM. Sekali Anda set "kunci 90 hari", tidak ada cara menghapus file sebelum 90 hari, kecuali Anda menunggu. Bahkan akun root pun tidak bisa membatalkan, kalau dikonfigurasi dalam mode Compliance (referensi AWS S3 Object Lock docs). Biaya: mulai sekitar USD 7 per TB per bulan, atau setara Rp 110 ribu.

2. Hard disk eksternal khusus yang fisik dikunci di tempat lain. Beli hard disk kedua, lakukan backup penuh sekali sebulan, lalu titipkan di rumah pemilik atau di brankas. Inilah definisi paling literal dari "air-gapped": kalau colokannya tidak ada di mana-mana, ransomware tidak punya jalan masuk. Sederhana, murah, sangat efektif. Kelemahannya: bergantung pada disiplin manusia untuk rutin merotasi.

3. Layanan immutable backup khusus UMKM. Beberapa vendor lokal seperti Cloudmatika dan Hypernet sudah menawarkan paket Backup-as-a-Service yang sudah include retensi immutable selama 30-90 hari. Harga mulai sekitar Rp 200 ribu per bulan untuk kapasitas awal — lebih mahal dari ngutak-atik sendiri, tapi datang dengan dukungan teknis lokal.

Tujuh Langkah Implementasi Akhir Pekan Ini

  1. Inventarisasi 60 menit. Buka spreadsheet, daftar semua file dan database penting bisnis Anda, lokasi fisiknya, dan perkiraan ukurannya. Tanpa daftar ini, langkah berikutnya bocor.
  2. Beli hard disk eksternal. Pilih kapasitas dua kali ukuran total data Anda. Format ke exFAT supaya bisa dipakai lintas Windows/Mac.
  3. Aktifkan backup otomatis bawaan OS. File History (Windows) atau Time Machine (Mac) ke hard disk tersebut.
  4. Daftar layanan cloud. Pilih satu di antara Google Workspace, Microsoft 365, atau penyedia lokal. Setup folder "Backup" terpisah dari folder kerja harian.
  5. Setup sinkronisasi offsite. Gunakan rclone atau aplikasi backup bawaan layanan cloud Anda. Jadwalkan sinkronisasi malam hari saat traffic kantor sepi.
  6. Pesan satu opsi immutable. Wasabi, Backblaze B2, atau hard disk fisik kedua yang disimpan di lokasi berbeda. Tetapkan jadwal rotasi bulanan.
  7. Test restore. Ini langkah yang paling sering dilewati dan paling penting. Sebulan setelah setup, pura-pura kehilangan data. Coba pulihkan satu file dari setiap lapisan backup. Backup yang tidak pernah ditest sama dengan tidak ada backup.

Kesalahan Umum yang Bikin Backup Tidak Berguna

Berdasarkan laporan IDSIRTII dan analisis Cloudmatika atas insiden ransomware di Indonesia, ini pola kegagalan yang paling sering terjadi:

  • Backup dan data asli di drive yang sama. Membuat folder "Backup" di partisi C tetap rentan. Ransomware menyerang seluruh drive.
  • Hard disk eksternal selalu terhubung. Sama dengan poin di atas — drive yang ter-mount = drive yang bisa dienkripsi.
  • Password cloud yang sama dengan password email. Satu phishing berhasil = semua salinan hilang.
  • Tidak pernah test restore. Pemilik UMKM baru tahu backup-nya korup pas butuh.
  • Mengandalkan "auto-sync" sebagai backup. Dropbox/Google Drive sync menghapus file di cloud kalau Anda menghapusnya di komputer. Sync bukan backup; backup adalah salinan yang tidak ikut berubah saat data utama berubah.

Catatan Soal Kepatuhan UU PDP

Pemilik UMKM yang menyimpan data pribadi pelanggan (nama, nomor HP, alamat pengiriman) wajib memperhatikan Undang-Undang Perlindungan Data Pribadi (UU PDP) Nomor 27 Tahun 2022. Salah satu kewajibannya: melakukan langkah-langkah keamanan teknis dan organisatoris yang memadai untuk mencegah kebocoran data.

Backup yang baik adalah salah satu kontrol teknis yang diakui regulator sebagai bukti due diligence. Sebaliknya, kehilangan data pelanggan karena ransomware dan tidak punya backup bisa berpotensi dikenai sanksi administratif maksimal 2 persen dari pendapatan tahunan, sesuai Pasal 57 UU PDP. Catat: ini bukan nasihat hukum — konsultasikan dengan konsultan kepatuhan untuk situasi spesifik Anda.

Berapa Total Biaya Realistisnya?

Untuk UMKM tahap awal dengan 1-3 karyawan dan data sekitar 200 GB, biaya menjalankan strategi 3-2-1-1 yang layak terlihat seperti ini:

  • Hard disk eksternal 2 TB (satu kali): Rp 1,1 juta.
  • Hard disk eksternal kedua untuk rotasi air-gap: Rp 1,1 juta.
  • Cloud offsite (Google Workspace Business Starter, 1 user): Rp 100 ribu per bulan.
  • Object Lock storage (Wasabi 1 TB): sekitar Rp 110 ribu per bulan.
  • Waktu setup awal: 4-6 jam akhir pekan.

Total tahun pertama: sekitar Rp 4,7 juta. Tahun kedua dan seterusnya: sekitar Rp 2,5 juta per tahun. Bandingkan dengan tebusan rata-rata ransomware terhadap UMKM Indonesia yang menurut data Cloudmatika berkisar USD 5.000-20.000 (Rp 80-320 juta) — tanpa jaminan data benar-benar kembali utuh.

Kesimpulan

Strategi backup 3-2-1-1 bukan teori IT yang rumit, tapi disiplin sederhana yang menentukan apakah bisnis Anda bisa bertahan ketika hal terburuk terjadi. Tiga salinan, dua media, satu offsite, satu immutable — empat angka itu adalah selisih antara bisnis yang bisa pulih dalam hitungan jam dan bisnis yang harus mulai dari nol.

Mulai dari satu langkah akhir pekan ini: inventarisasi data Anda. Sisanya bisa Anda bangun bertahap dalam dua sampai tiga akhir pekan berikutnya. Dengan ancaman 170 serangan siber per detik yang terus meningkat, menunda berarti berjudi dengan masa depan bisnis Anda sendiri.

Disclaimer: Artikel ini ditujukan untuk edukasi umum dan tidak menggantikan nasihat hukum, akuntansi, atau audit keamanan profesional. Implementasi spesifik di lingkungan bisnis Anda sebaiknya dikonsultasikan dengan praktisi keamanan siber bersertifikat. Sumber data: BSSN (laporan April 2026), Kompas Lestari, IDSIRTII, Cloudmatika, dan dokumentasi resmi penyedia layanan cloud terkait.