mopdf.com

Riset yang kami lakukan untuk menyusunkerangka koordinasi antar lembagatersebut menggunakan metode penelitiandesk research – dengan menggunakandata sekunder yang telah dirilis searapublik. Kami mengumpulkan data-datamelalui review literatur-literatur yangmembahas mengenai keamanan siberseperti buku, jurnal ilmiah, berita, artikeldaringdanpublikasi-publikasipemerintah. Selain itu, kami jugamenggunakan data-data yang didapatkandaripemaparanparapemangkukebijakan, perwakilan korporasi, sertaakademisi yang memberikan materidalamsesi-sesiConventiononCybersecurity 2018 di Universitas GadjahMada, Yogyakarta.KAPASITAS KEAMANAN SIBER INDONESIAUrgensi regulasi keamanan siber diIndonesia hadir salah satunya disebabkanoleh tingginya pengguna internet. Datamenyebutkan bahwa pengguna internet diIndonesia saat ini sejumlah 143,26 jutajiwa, dimana angka tersebut sebandingdengan 54,68 persen jumlah pendudukkeseluruhan.11Tingginyapenggunainternet tersebut ditambah lagi denganadanya prediksi jumlah pertumbuhanpengguna internet yang tinggi, yakni lebihdari 8 persen pertahun. Hinggatahun-tahun mendatang, n jumlah pengguna internetdi seluruh Indonesia. Dengan demikian,dampak dan manfaat yang diterimamasyarakat atas penggunaan internet punkian luas. Di sisi lain, dengan tingginyapenetrasi pengguna internet di Indonesia,turut berkorelasi dengan tingginya tingkatrisiko kejahatan berbasis internet.8Kekhawatiran akan hadirnya berbagaiancaman baru yang muncul daripersebaran pengunaan internet munculseiring dengan meningkatnya intensitaspenggunaan teknologi dan menimbulkanurgensi pembentukan institusi ataupunregulasi baru terkait keamanan siber. Haltersebut tertuang pula dalam kesepakatandalam forum PBB yang bernama UnitedNations Group of Governmental Experts(UN-GGEs). Beberapa kesepakatan didalamnya menguraikan adanya dukunganuntuk menciptakan norma siber baru.12Poin-poin detailnya menegaskan bahwanegara-negara harus memasukkan aspekICT(InformationCommunicationTechnology) sebagai hal yang perludiseriusi dalam beberapa kerangkakebijakan yang melindungi warga duniadari ancaman.

Menurut laporan yang dirilis oleh Norton,hingga tahun 2017 saja terdapat sekitar57.4 juta orang di Indonesia yang menjadikorban dari serangan siber.13 Kerugianyang dialami entitas bisnis dan korporasiyang diakibatkan oleh serangan siber punsangat besar. Berdasarkan laporan yangdirilis oleh Microso pada tahun aan di Indonesiaakibat kejahatan siber mencapai lebih dari33 Miliar Rupiah.14 Sementara dalam kajianyang dilakukan oleh Global PartnersDigital, disebutkan bahwa dalam kasusperadilan di Indonesia yang menggunakanUU No. 11 tahun 2008 tentang Informasidan Transaksi Elektronik (ITE) dalam delikperkara meningkat hingga 60 kasuspertahun di tahun 2015.15 Hal ini ikutmengindikasikan bahwa ancaman sibersudah kian merebak. Sulitnya menangkalancaman ini disebabkan oleh latennyasistem dunia siber yang membutuhkansistempenanganankhususyangkomprehensif dalam aplikasinya. Di sisilain, tidak adanya regulasi hukum yangspesifik mengatur tentang keamanan dakancaman-ancaman siber yang laten.57,4 Jutaorang Indonesiamenjadi korbanserangan siberRpRp.33 MiliarKerugian yang ditanggungperusahaan-perusahaandi Indonesia akibatkejahatan siberSeiring dengan berkembangnya trenkepedulian dunia terhadap keamanansiber, beberapa kali organisasi duniamenyelenggarakan penilaian terhadapkapasitas penyelenggaraan keamanansiber di seluruh dunia. Pada tahun 2017dan 2018 setidaknya terdapat dualembaga yang melalukan assesmentterhadap pelembagaan keamanan onal(ITU)menyelenggarakan penilaian GlobalCybersecurity Index (GCI) di tahun 2017.Dari penilaian tersebut, Indonesia beradadi posisi ke 70 dari 162.16 Dalam penilaiantersebut, terdapat lima indikatorpelembagaan keamanan siber yangdinilai dari suatu negara di antaranya:Legal, Technical, Organizational, CapacityBuilding, Cooperation. Sedangkan yangterbaru di tahun 2018, E-GovernanceAcademy (EGA) melakukan hal serupadengan istilah National Cyber SecurityIndex (NCSI). Dari penilaian tersebut,Indonesia berada di posisi 83 dari 100negara.17 Dalam data yang disajikantersebut, empat hal yang didalami adalahLegislation in force, Established units,Cooperation formats, dan Outcomes/Product.9

Bagaimanakah sebenarnya kapasitas pemerintah Indonesia dalam menghadapiancaman-ancaman baru dalam keamanan siber?Kapasitas Organisasional:Pembentukan Badan Siber danSandi Negara (BSSN)Pada awal tahun 2017 pemerintahRepublikIndonesiamenerbitkanPeraturan Presiden (Perpres) nomor 53tahun 2017 tentang Badan Siber dan SandiNegara. Terbitnya Perpres tersebutmerupakan sebuah langkah besar ditengah semakin meningkatnya urgensiterhadap peraturan terkait keamanansiber yang komprehensif. Badan Siber danSandi Negara (BSSN) ini dibentuk untukmelaksanakan keamanan siber secaraefektif dan efisien dengan memanfaatkan,mengembangkan,danmengonsolidasikan semua unsur yangterkait dengan keamanan siber.18 Badantersebutdibentuklangsungolehpemerintah, bertanggung jawab kepadapresiden,dandifungsikanuntukmenyelenggarakan penciptaan iklim siberyang aman.10Kapasitas Legal:Undang-Undang dan Peraturanterkait Keamanan SiberSelain peraturan yang berkaitan denganaktivitas kejahatan/ kriminal, hal-hal yangterkait dengan keamanan siber diIndonesia hanya bertumpu pada 3regulasi. Pertama adalah Undang-undang(UU) nomor 36 tahun 1999 tentangTelekomunikasi.19 Peraturan ini mengaturtentangbagaimanaTelekomunikasidilaksanakan dengan andal. Melengkapiregulasi tersebut, ada pula UU nomor 11tahun 200820 tentang Informasi danTransaksi Elektronik yang pula dilengkapioleh UU nomor 19 tahun 201621 tentangperubahan atas UU nomor 11 tahun 2008tentangInformasidanTransaksiElektronik. Ditambah pula oleh PeraturanPemerintah (PP) no 82 tahun 201222tentang Penyelenggaraan Sistem danTransaksi Elektronik. Ketiga aturantersebut secara simultan melengkapipenyelenggaraan kegiatan siber diIndonesia. Poin tentang bagaimanakeamanan siber dilembagakan secaraumum, belum tertuang dalam aturankhusus yang baku.

Di sisi legal ataupun regulasi yangditerapkan pemerintah, UU Keamanandan Pertahanan Siber juga sudah menjadi1 dari 55 proglam legislasi nasional(prolegnas) yang berarti akan menjadiprioritas untuk dibentuk menjadiundang-undang.23 Dalam regulasi lain,terdapat revisi di UU ITE di tahun 2016serta adanya wacana revisi dalamPeraturan Pemerintah nomor 82 tahun2012 sedang berjalan. Kedua aspekregulasi maupun kelembagaan secaraorganisasi menimbulkan titik terang bagikemajuan keamanan siber Indonesia dimasa depan.Terkait dengan standar dan regulasitentunya tidak dapat dipisahkan dariperkembangan sektor bisnis dan swasta.Regulasi dan standar dipandang sebagaiunsur penting yang dapat membangunkejelasan mekanisme bisnis yang dijalani.Selama ini, nyatanya sektor swasta adalahsektor yang paling membutuhkan sisteminformasi dan jaringan erat terkait denganpenerapan teknologi. Azas efektif danefisien yang selalu dibutuhkan olehperusahaan, menuntut penggunaan ICT diperusahaanakanselaluterjadi.Standardisasi penyelenggaraan jaringanyang aman sudah lebih dahulu diterapkandi perusahaan. ISO 27001 tentangkeamanan jaringan merupakan trenstandarisasimutuyangsudahberkembang di Indonesia. Audit danpenyeragaman mutu sudah dilakukansecara masif dan hampir di seluruhperusahaan yang menggunakan jaringaninternet. Standarisasi mutu untukkeamanan siber secara khusus terusberkembang. Sebagai contoh, lahirnya ISO27301 secara khusus menjelaskanstandarisasi mutu terkait ICT readiness forbusiness continuity24. Didalamnya memuatterkait aspek ICT apa saja danresiko-resikonyaterkaitdampaknyaterhadap keberlanjutan usaha. Termasukdidalamnya terkait aspek keamanan yangsudah diperbarui.11

Kapasitas Kerjasama AntarlembagaKerjasama antarlembaga terkait denganisu keamanan siber dilihat masih belumterjalin dengan baik. Belum adanya alurregulasikoordinasiyangjelasantarinstitusi dan antarsektor merupakanpenyebab lemahnya kerjasama tersebut.Salah satu poin terberat dalammelembagakan keamanan siber menjadihal yang berjalan secara sistemik danmenyeluruh di Indonesia terkait eratdengan aspek koordinasi. Logikapemerintahan Indonesia yang birokratikdan cenderung kaya akan strukturketimbang fungsi, menjadi tantanganberat.Terdapattantanganuntukberkoordinasi dan membuat alur kerjabaik kelembagaan terkait denganstakeholderlintasinstansibaikpemerintah, swasta, maupun masyarakat.Hal ini juga terkait dengan bagaimanaisu-isu sektoral yang berbeda kebutuhansatu sama lain bisa dikoordinasikan secaraberimbang dan proporsional.Kapasitas Sumber DayaManusia/MasyarakatSumber daya manusia dilihat sebagaisalah satu faktor penting yang dapatmendukungterciptanyaekosistemkeamanan siber di Indonesia. Sumberdaya manusia yang dimaksud mencakupkomunitas masyarakat sebagai pengguna12teknologi yang rentan terhadap ancamansiber dan juga sebagai tenaga ahliprofessional yang dibutuhkan dalamkeamanan dan pertahanan siber.Minimnya tenaga ahli di bidang keamanansiber di Indonesia seringkali disebutsebagai sebuah tantangan yang palingbesar terhadap penguatan ekosistemkeamanan siber nasional.25 Selain itu,minimnya budaya keamanan siber dalammasyarakat Indonesia juga dilihat sebagaisebuah ancaman yang cukup urgen. Naturranah siber yang memungkinkanterjadinya serangan kritis yang berasal darikelalaianindividumenjadikanpembangunan budaya keamanan sibersebagai sebuah fondasi penting.Perlu terdapat peningkatan pemahamanatas pentingnya peran dan partisipasimasyarakatdalammeningkatkankeamanan siber. Selain terkait pertahanandan keamanan negara, di sisi lain, isuterkait dengan hak personal ataupunperlindungan data pribadi tidak pernahdipisahkan dari diskursus keamanan siber.Hal inilah yang menjadi tolak ukur betapamasyarakat pun memiliki andil yang besar.Regulasi dan pelembagaan perlumenyertakankerjasamad a r ikomunitasmasyarakat.

Kapasitas Teknis/ InfrastrukturAspek teknis masih merupakan kendaladan pekerjaan rumah yang besar bagiIndonesia. Keamanan siber mencakupdua aspek penting, yaitu infrastrukturlunak dan keras. Infrastruktur lunakmencakup Sumber Daya Manusia (SDM),kebijakan, proses, protokol, dan pedomanuntuk melindungi sistem dan data.Sementara itu, yang dimaksud denganperangkat keras adalah teknologi yangdibutuhkan untuk melindungi sistem dandata dari ancaman eksternal dan internalsiber.26 Menurut Global Cybersecurity Index,Indonesia masih tertinggal di sektor teknisdalampembangunanCERT/CSIRTSektoral.27 Kelemahan kapasitas teknistersebut perlu diatasi dengan komitmenyang lebih kuat dari pemerintah maupunsektor terkait terhadap pengadaaninfrastruktur yang dibutuhkan untukmenjaga keamanan siber, baik dari segihardware maupun peningkatan kapasitassumber daya manusia yang dapatmelindungi infrastruktur tersebut darikelalaian dan kerentanan yang dapatdieskploitasi oleh peretas.Dengan berdirinya BSSN, Indonesia telahmemenuhi pilar organisasional yangdicetuskan oleh ITU. Namun berdirinyaBSSN saja tidaklah cukup untuk memilikisebuah framework keamanan siber yangefektif. Maka dari itu, bahkan dalampelaksanaan BSSN sebagai sebuahorganisasi, dibutuhkan kecakapan SDM,kerjasama dan koordinasi yang harmonisantarlembaga, regulasi hukum yang jelas,serta perangkat teknologi yang mumpuni.13

REKOMENDASI KERANGKA KERJASAMAKEAMANAN SIBER INDONESIABerangkat dari penilaian atas kapasitaspemerintah terhadap lima indikatorkeamanan siber tersebut diatas, makadibutuhkan sebuah framework nal. Empat sektor utamayang dilihat penting perannya dalampelaksanaan kerangka keamanan siber diIndonesia dalam hal ini adalah sektorakademik, bisnis, pemerintah, dan jugakomunitas masyarakat.28 BSSN telahmemiliki sebuah skema kerjasama yangmelibatkan sektor- sektor tersebut, namunhingga saat ini masih sedikit dokumenpendukung yang dapat ditemukan yangmenjelaskankoordinasifactualantarinstitusi tersebut. Maka dari itu,penulis berusaha untuk menjabarkan apayang dimaksud dengan masing- masingsektortersebutdanbagaimanaperanannya dalam skema kerjasamakeamanan siber. Framework kerjasama inididasarkan oleh elaborasi data temuanyang ditemukan oleh Puslitbang Kominfo29dan juga Global Cybersecurity Agenda(GCA) yang dikeluarkan oleh ITU.RekomendasiSkema Koordinasi BSSNIndustriFinansial & PerbankanKesehatanInformasi & gsi Legal/Penegakan HukumKolaborasi14

A. Badan Siber dan Sandi Negara(BSSN)BSSN merupakan instansi badan nasionalpengembangan dari Lembaga SandiNegara. BSSN disahkan melalui PerpresNomor 53 tahun 2017 yang selanjutnyadisempurnakan melalui Perpres Nomor 133tahun 2017. dalam kerangka StrategiKeamanan Siber Nasional-nya, BSSN jugatelah mengidentifikasi enam sektor yangrawan terkena serangan siber, yaitupemerintahan, pertahanan dan keamanan,perbankan, kesehatan, ESDM, transportasi,TIK, dan ketahanan pangan. Dalamframework kerja sama multi-stakeholders diatas, BSSN berperan sebagai koordinator.Sebagai koordinator, hal paling mendasaryang patut untuk dilakukan oleh BSSNadalah perumusan kebijakan strategismengenai keamanan siber dan responnyadan juga standardisasi pengaturankeamanan siber.30 Selain itu, tujuan utamadari pembuatan skema kerja sama diatasadalah penguatan BSSN sebagai instansiyang bertanggung jawab atas segala isuyang menyangkut dengan siber dan sandi.Arus kerja sama yang tergambar adalahkerja sama dua arah, di mana BSSNdiharapkan dapat mensosialisasikanisu-isu siber dan sandi kepada limastakeholders lainnya. Sebaliknya, terdapatarus koordinasi balik dari lima stakeholderstersebut kepada BSSN yang akandijabarkan dalam kelima poin dibawah ini,sesuai dengan sektor masing- masing.B. Instansi PemerintahDi dalam sebuah skema kerja sanamulti-stakeholders,salahsatukekhawatiran yang muncul adalahmelemahnya peranan instansi pemerintah,dan menguatnya sektor swasta.31 Namunsebetulnya, peran pemerintah di sinisangatlah krusial. Pemerintah sebagaiwakil negara memiliki kewenangan untukmengumpulkan data intelijen dari negaralain.32Pemerintahjugadapatmerahasiakan informasi – dari entitas laindi luar pemerintahan – sebelum informasitersebut tersedia untuk swasta maupunmasyarakat luas. Selain itu, sangat pentingbagi instansi pemerintah disini untukmemiliki kewaspadaan akan keamanansiber, mengingat sektor pemerintahanmerupakan salah satu sektor yangteridentifikasi rawan mendapat serangansiber. Namun sayangnya, hingga saat inihanya dua kementerian yang sudahmemiliki CERT sendiri.15

Pertama, Kementerian Informasi danKomunikasi (Kemkominfo) yang sudahmendirikan ID-SIRTII, kepanjangan dariIndonesia Security Incident Response Teamon Internet Infrastructure. Lembaga inididirikan pada tahun 2007 berdasarkanPeraturan Menteri Komunikasi danInformatika Republik Indonesia faatanJaringanTelekomunikasi berbasis Protokol Internet.ID SIRTII merupakan response team tingkatnasional yang memiliki empat levelprioritas dalam penanganan insiden.Prioritas pertama diberikan kepada insidenyang dampaknya dapat berakibat padaterganggunya keamanan publik dankeamanan negara. Prioritas kedua adalahpenanganan insiden yang berdampakpada perekonomian negara. Prioritasketiga diberikan pada insiden yang dirasadapat menimbulkan kerugian politis, danprioritas terakhir adalah penanggulanganinsiden yang merugikan aspek nan (Kemenhan) juga memilikiCOC, Cyber Operation Center. COCmerupakan embrio dari pertahanan siberKemhan.Selainitu,COCjugabertanggungjawab untuk n dan pengembagan sistempertahanan siber Kemhan Saat ini, COCtelah bergant nama dengan Pusat Operasi16Pertahanan Siber. Sementara itu, untuktigkat provinsi dan kabupaten, hanyaProvinsi Jawa Barat dan Jawa Timur yangsudah memiliki CERT sendiri. Kerjasamayang terjalin oleh BSSN dan instansipemerintah lainnya saat ini terbatas padakerjasamapenggunaane-certificatesebagai upaya pengamanan data diri danarsip. Sebagai contoh, kerjasama telahdijalin dengan Kementerian kesehatan,Kementerian Riset, Teknologi dan

!"# #%&'%(/0.12)*%# %, apaPemerintahDaerah. Dengan demikian, dapat dikatakanbahwa sebenarnya sektor pemerintahanIndonesia masih sangat rentan terhadapserangan siber. Sikap antisipatif danpreventif dari instansi pemerintah masihjauh dari cukup. Maka dari itu, BSSN perluuntuk memperkuat sistem pertahanansiber negara baik melalui programsosialisasi maupun kumenlegalatauundang-undang yang mengatur tentangkeamanan siber di Indonesia. Melihatdinamika ancaman siber yang semakinmengkhawatirkan, koordinasi yang dapatdilakukan oleh BSSN dengan pemerintahselanjutnyaadalahpenguatanundang-undang yang mengatur tentangkeamanan siber dan juga mempercepatRUUterkait.Tatakelolaperundang-undangan keamanan sibersangat diperlukan sebagai pedoman kerjaBSSNdalammemperkuatsistemkeamanan siber negara. Sampai saat ini,masih ada dua RUU yang masihdipersiapkan, yaitu RUU Perlindungan DataPribadi dan RUU Keamanan Siber.Keduanya diharapkan dapat dimasukandalam Program Legislasi Nasional 2019.17

C. Industri Penyedia JasaKonsultasi Keamanan SiberDidalamskemakerjasamamulti-stakeholders yang dimiliki oleh BSSN,tidak terdapat sektor industri konsultankeamanan. Padahal, industri konsultan inisangat penting perannya dengan adanyakemampuan teknologi dan sumber dayamanusia yang sangat memadai. Di dalamskema kerjasama di atas, BSSNmelaksanakan fungsi konsultatif denganperusahaan konsultan untuk mengawasiekosistem siber dengan harapan dapattercipta keamanan, pertahanan siber, danpemulihan sistem apabila ahaan dengan kapasitassumber daya manusia dan juga teknis yangbaik diharapkan dapat merencanakanskema perlindungan dengan berpikirlayaknyapenyerangdanjugatarget korban untuk membangun solusikeamanan terbaik yang dibutuhkan.35Kerangka AksiKeamanan Siber1Saat ini, pemerintah Indonesia sedangmeningkatkan kemampuan pemerintahdigitalnya dengan bekerjasama denganpenyedia jasa di bidang siber. andatanganikerjasama dengan Cisco, perusahaanteknologi global, tentang penyelenggaraanprogram Country Digital Acceleration (CDA).Program di Indonesia berfokus pada limasektor, yaitu pemerintahan digital, industrydigital, BUMN digital, inklusi digital dankeamanan siber.36 Terdapat dua acuanyang menentukan keberhasilan kerja samatersebut. Pertama, adanya kemampuankeamanan siber di Indonesia yang sejalandengan adopsi digital, sehingga mampumenghindari pelaku ancaman siber. Kedua,kerja sama dengan pemerintah dalamkoordinasi dan pelaksanaan kebijakankeamanan siber nasional.Pendirian Badan/ Agen Nasional yangmenangani agenda terkait keamanan siber2Membentuk skema dialog multisektoral4Mengidentifikasi Infrastruktur Informasi Kritis5Mengadopsi sistem penilaian risiko tingkatsektoral dan penilaian tingkat kematangan7Menerapkan hukum terkait kejahatan siberPemerintah3Membentuk sebuah strategi nasional untukmengimplementasikan peta jalankeamanan siber nasional6Menerapkan atau memperbaruiperaturan terkait keamanan siber8Menerapkan mekanismepelaporan insiden9Membangun kapabilitas untukmerespon pelaporan insidenStrategiKeamanan SiberHukum terkaitKeamanan SiberPembagianInformasi dan Responsterhadap InsidenHukum terkaitKejahatan SiberPengadopsianStandarKemanan SiberPembangunanKesadaranMasyarakatPembangunan Kapasitas dan Kapabilitas10Meningkatkan kesadaran masyarakatakan keamanan siber11Mengidentifikasi standar global yang adadan mendorong pengadopsiannya ditingkat regional12Mengidentifikasi dan memetakan kesenjangan keterampilanSDM terkait keamanan siberPerlu ditekankan bahwa, keterlibatan pihak swasta/ privat penyedia jasa tidak dapatdiartikan dengan memberikan kuasa terkait kerangka kerja keamanan siber seutuhnyakepada aktor non-pemerintah. Akan tetapi, dengan adanya masukan yang diberikan daripihak ketiga dengan pengetahuan dan kapasitas yang lebih baik,maka diharapkan dapat18

tercipta skema perlindungan terhadap keamanan siber yang lebih mumpuni. Dengan caraini, BSSN maupun instansi pemerintah lainnya dapat mendapatkan perspektif yang lebihlengkap tentang ancaman dan teknik mitigasi yang efektif. Pada akhirn

dat a sek under yang telah dirilis se ara publik . Kami mengumpulk an dat a-dat a melalui revie w literatur -literatur yang membahas mengenai keamanan siber seperti buk u, jurnal ilmiah, berit a, artik el Urgensi regulasi keamanan siber di Indonesia hadir salah sat uny a diseb abk an oleh tingginy a pengguna interne t. Dat a