Menganalisis Strategi Keamanan Siber Nasional Indonesia

Juli 28, 2021 12:06 pm || By

Irnasya Shafira, Research Associate Center for Digital Society Universitas Gadjah Mada

Seiring dengan pergerakan dunia yang semakin hari semakin digital, kebutuhan akan strategi keamanan siber berskala nasional sangatlah meningkat. Dunia secara global telah mengalami serangan siber terhadap bisnis dan negara. Pandemi yang tengah berlangsung telah mendorong pemerintahan di seluruh dunia untuk menganjurkan work from home (kerja dari rumah) dan sebagai konsekusinya, teknologi menjadi lebih prevalen dalam kehidupan pribadi dan pekerjaan kita semua. Peningkatan kerja dari rumah ini kemudian meningkatkan eksposur kita terhadap risiko siber yang lebih tinggi pula. Penyerang siber (cyber attackers) mengeksploitasi kesempatan ini untuk meningkatkan aktivitas kriminal mereka. Dari Februari hingga Mei 2020, lebih dari setengah juta orang secara orang secara global telah terpengaruh oleh serangan yang menyebabkan data pribadi dari pengguna layanan konferensi video dicuri dan dijual di dark web.[1] Bukan hanya layanan konferensi video, negara juga telah merekam peningkatan serangan siber selama pandemi. Lohrmann telah menyimpulkan berbagai tajuk berita yang memberitakan serangan-serangan tersebut dan telah menjuluki tahun 2020 sebagai Tahun Dimana Krisis COVID-19 Membawa Pandemi Siber.[2]

Indonesia juga tengah dilanda pandemi siber ini. Badan Sandi dan Siber Nasional (BSSN) sebgai institusi siber nasional Indonesia, telah melaporkan bahwa telah terjadi 88.414.296 serangan siber sejak 1 Januari hingga 21 April tahun 2020. Bentuk serangan yang paling umum adalah aktivitas virus trojan di angka 56%, diikuti dengan pengumpulan informasi illegal di angka 43%, dan serangan aplikasi situs di angka 1% lainnya.[3] Di akhir tahun 2020, angka serangan siber meningkat menjadi 423.244.053 serangan dan diprediksi akan meningkat jauh pada tahun 2021.[4]

Menurut penelitian yang dilakukan oleh Frost dan Sullivan yang diinisiasikan oleh Microsoft pada tahun 2018, kejahatan siber telah menyebabkan kerugian sebanyak kira-kira 478,8 triliun rupiah atau sebanyak 34,2 milyar US dolar.[5] Hal ini terjadi sebelum pandemi. Pratama Persadha, seorang ahli keamanan siber, telah memprediksi bahwa defisit global akibat serangan siber mungkin akan mencapai 84 ribu triliun rupiah atau sebesar 6 triliun US dolar.[6] Fakta-fakta ini memperlihatkan betapa daruratnya kebutuhan Indonesia akan strategi keamanan siber berskala nasional.

Upaya untuk meningkatkan komitmen dunia terhadap keamanan siber telah dilakukan dengan pemeringkatan Indeks Keamanan Siber Global (Global Cybersecurity Index—GCI) oleh Perserikatan Telekomunikasi Internasional (International Telecommunication Union—ITU) terhadap 193 negara anggotanya. Peringkat tersebut diberikan dengan dasar 5 pilar, yaitu: 1) legal/hukum, 2) teknis dan prosedur, 3) struktur organisasi, 4) pembangunan kapasitas, dan 5) kerja sama internasional. Berdasarkan penilaian GCI pada tahun 2020, Indonesia berada di peringkat 77 dari 193 anggota.[7] Hal yang patut dikhawatirkan dari laporan GCI adalah fakta bahwa pengembangan kebijakan keamanan siber di Indonesia berada di angka 0% saat dikonsiderasikan dengan betapa banyaknya serangan siber yang diderita Indonesia selama 5 tahun terakhir. Sehingga, tulisan ini bertujuan untuk menjelaskan strategi keamanan siber nasional Indonesia yang sudah ada dan akan diadakan di masa depan.

Strategi Keamanan Siber Indonesia yang Sudah Ada

Jika dilihat dari angka 0% pada pengembangan kebijakan keamanan siber yang disebutkan oleh ITU, dapat dilihat bahwa Indonesia tidak memiliki satu Undang-Undang komprehensif yang meregulasi keamanan siber nasional-nya. Namun, regulasi keamanan siber nasional Indonesia ada dalam berbagai Undang-Undang yang saat ini digunakan sebagai petunjuk utama dalam pelaksanaan teknis hal-hal yang berhubungan dengan siber seperti UU No. 11 tahun 2008 tentang Informasi dan Transaksi Elektronik (UU ITE) dan revisinya pada UU ITE No. 19 tahun 2016. UU ini mengatur tentang pelanggaran terhadap perlindungan data, akses tidak diizinkan ke sistem komputer untuk mendapatkan suatu informasi, dan pengambilan kendali paksa serta penyadapan komputer atau sistem elektronik lainnya. Namun UU ITE tidak menyentuh elemen-elemen penting dari keamanan siber seperti infrastruktur informasi[8] atau menangani kebutuhan modal manusia di bidang keamanan siber.[9]

Namun hal ini tidak berarti bahwa Indonesia tidak memiliki langkah-langkah untuk keamanan siber sama sekali karena masih berada dalam tahap dikembangkan. Pada tahun 2017, Islami, staf Kementerian Komunikasi dan Informatika, telah menuliskan tantangan dalam implementasi strategi keamanan siber nasional Indonesia yang sudah ada[10]; dari penelitian tersebut, kita dapat melihat elemen-elemen terpisah yang menjadi bagian dari strategi keamanan siber nasional Indonesia yang dikategorisasikan dengan lima pilar GCI.

Manusia

Pembangunan Kapasitas

1. Mengadakan program Talent Pool Born to Control: Gladiator Cybersecurity Indonesia yang menyasar sepuluh ribu kandidat untuk meningkatkan keterampilan keamanan siber (Siaran Pers No. 12/HM/KOMINFO/01/2017)

2. Petunjuk teknis untuk keamanan informasi (Indeks KAMI, APRISMA, SNI ISO 27001, ISO 22301) untuk lembaga pemerintah

3. Program peningkatan pengetahuan untuk legislatif, kepala institusi, dan pimpinan industri dari sektor strategis lewat koordinasi dengan LAN dan LEMHANAS

4. Mengaplikasikan program pendidikan terakreditasi untuk modal kapital keamanan informasi sesuai dengan standar kompetensi lewat center of excellence di berbagai universitas

5. Standar Kompetensi Kerja Nasional Indonesia (SKKNI) untuk sektor keamanan informasi

6. Mengedukasi masyarakat dalam konten berkualitas, pengetahuan kebhinekaan, dan anti-terorisme yang menargetkan 40 daerah, lewat sosial media, dan menargetkan 19,1 juta pengguna twitter dan 232 ribu pengguna Instagram Indonesia

7. Mengadakan program Internet Cerdas, Kreatif, dan Produktif (i-CAKAP) untuk 1.500 agen yang berbasis di daerah perbatasan dan daerah 3T.

Proses

Legal/Hukum

1. UU No. 19 tahun 2016 tentang Perubahan UU No. 11 tahun 2008 tentang Informasi dan Transaksi Elektronik

2. UU No. 36 tahun 1999 tentang Telekomunikasi

3. Peraturan Menteri Komunikasi dan Informatika (Permenkominfo) No. 5 tahun 2017 tentang perubahan keempat Permenkominfo No. 26 tahun 2007 tentang Pengamanan Jaringan Telekomunikasi Berbasis Protokol Internet

Struktur Organisasi

1. Pendirian Badan Sandi dan Siber Nasional yang didasari oleh Peraturan Presiden No. 53 tahun 2017. Sebuah lembaga pemerintah non-kementerian yang bertanggung jawab langsung kepada Presiden. Hal ini dilakukan untuk memperkuat Lembaga Sandi Negara dan Ditjen Keamanan Informasi dan Ditjen Aplikasi Informatika Kementerian Komunikasi dan Informatika

2. Fungsi BSSN adalah implementasi teknis dari kebijakan seperti identifikasi, deteksi, proteksi, penanggulangan, pemulihan, pemantauan, evaluasi, pengendalian proteksi e-ommerce, persandian, penapisan, diplomasi siber, pusat manajemen krisis siber, pusat kontak siber, sentra informasi, dukungan mitigasi, pemulihan penanggulangan kerentanan, insiden dan/atau serangan siber

Kerja sama Internasional

1. Indonesia Computer Emergency Response Team (IDCERT) adalah tim CERT pertama yang berdiri di Indonesia, pada 1998, merupakan tim koordinasi teknis berbasis komunitas yang bersifat independen untuk melakukan koordinasi penanganan insiden yang melibatkan pihak Indonesia dan luar negeri

2. Indonesia Security Incident Response Team on Internet Infrastructure (ID-SIRTII). asistensi/pendampingan untuk meningkatkan sistem pengamanan dan keamanan di instansi/lembaga strategis (critical infrastructure) di Indonesia ; sentra koordinasi (Coordination Center/CC) untuk inisiatif dari dalam dan luar negeri dan sebagai single point of contact

Teknologi

Langkah-langkah Teknis dan Prosedural

1. Standar Nasional Indonesia (SNI) IEC/ISO 27001:2013 persyaratan untuk penetapan, penerapan, pemeliharaan, dan perbaikan berkelanjutan terhadap Sistem Manajemen Keamanan Informasi (SMKI)

2. SNI ISO/IEC 27018:2016, Teknologi informasi – Teknik keamanan – Petunjuk praktik perlindungan informasi personal (PII) dalam public cloud yang berperan sebagai pemroses PII

3. Trust Positive (Trust+); Workshop penggunaan internet sehat dan aman; DNS filtering Nawala; program Kementerian komunikasi dan informatika

4. Indeks Keamanan Informasi (Indeks KAMI). Alat evaluasi untuk menganalisis kesiapan pengamanan informasi di instansi pemerintah berbasis ISO/IEC 27001:2009

Analisis Strategi Keamanan Siber Nasional Indonesia yang Sudah Ada dan Rekomendasi untuk Masa Depan

Jika kita menganalisis gambaran umum dari strategi ini, dapat dilihat bahwa strategi keamanan siber nasional Indonesia masih dalam tahap peningkatan pemahaman dan pembuatan standarisasi. Dari aspek Manusia dari GCI, kurangnya modal kapital yang menjadi inisiator dari aspek lain dari strategi tersebut. Baik pemerintah ataupun industri tidak memiliki modal kapital untuk menginisiasi atau menjalankan kebijakan atau praktik keamanan siber yang konkrit, sehingga strategi pertama adalah untuk mempersiapkan modal kapital yang dapat melakukan kedua hal tersebut.

Dari aspek Proses dari GCI, ketidakadaan dasar hukum keamanan siber mempengaruhi struktur organisasi yang seharusnya meregulasi keamanan siber. Dalam ketikadaan dasar hukum tersebut, menjadi mustahil untuk melaksanakan praktik keamanan siber yang berskala nasional. Hal ini juga menciptakan kebingungan dalam mengkoordinasi tanggung jawab mengenai keamanan siber itu sendiri.[11] Rencana Undang-Undang terbaru dari UU Keamanan Siber saat ini tidak tersedia untuk publik, dengan RUU versi Mei 2019 saja yang tersedia[12], namun teks akademik dari RUU tersebut tersedia.[13] Fungsi BSSN juga mendapat kritik karena banyaknya ketumpang tindihan fungsi dengan lembaga-lembaga seperti Kemenkominfo, Unit Kejahatan Siber Polri, dan Pusat Operasi Siber Kementerian Pertahanan.[14] Di masa depan, Indonesia harus mempercepat perilisan UU Keamanan Siber untuk memberikan dasar hukum. Keberadaan UU tersebut juga dapat mendorong strategi keamanan siber nasional komprehensif yang dapat mendefinisikan fungsi BSSN dengan lebih baik.

Dari aspek Teknologi dari GCI, Indonesia saat ini sedang dalam proses menciptakan standar nasional dan alat evaluasi untuk bagaimana keamanan informasi harus dilakukan oleh lembaga pemerintahan dan industri. Salah satu poin menarik dalam strategi ini adalah bagaimana Indonesia mengimplementasikan suatu bentuk filtering Internet lewat program Trust+ dan Nawala filtering. Debat mengenai pemfilteran Indonesia juga menjadi topik yang penting dalam landskap siber Indonesia[15] dan harus menjadi bagian dari diskusi keamanan siber nasional di Indonesia di masa depan.

Di bagian awal, kita telah melihat bagaimana Indonesia sangat membutuhkan strategi keamanan siber nasional. Tantangan terbesar saat ini adalah ketidakadaan dasar hukum untuk keamanan siber dan kurangnya modal kapital untuk landskap keamanan siber Indonesia. Sehingga, menjadi penting bagi pemerintah untuk berinvestasi pada modal kapital Indonesia untuk mempersiapkan orang-orang yang dibutuhkan di dunia yang semakin digital. UU Keamanan Siber juga harus disahkan secepat mungkin untuk memulai upaya pertahanan Indonesia terhadap peningkatan serangan siber, terutama karena pandemi tidak menunjukkan tanda akan berhenti dalam waktu dekat.


[1] Deloitte. ____. Impact of COVID-19 on Cybersecurity diakses dari https://www2.deloitte.com/ch/en/pages/risk/articles/impact-covid-cybersecurity.html# pada 20 Juli 2021

[2] Daniel Lohrmann. 2020. 2020: The Year the COVID-19 Crisis Brought a Cyber Pandemic diakses dari https://www.govtech.com/blogs/lohrmann-on-cybersecurity/2020-the-year-the-covid-19-crisis-brought-a-cyber-pandemic.html pada 20 Juli 2021

[3] National Cyber and Encryption Agency Indonesia. 2020. Rekap Serangan Siber (Januari – April 2020) diakses dari https://bssn.go.id/rekap-serangan-siber-januari-april-2020/ pada 20 Juli 2021

[4] Pito Agustin Rudiana. 2021. Serangan Siber di Indonesia Diprediksi Meningkat, Perlindungan Lemah diakses dari https://tekno.tempo.co/read/1473578/serangan-siber-di-indonesia-diprediksi-meningkat-perlindungan-lemah/full&view=ok pada 20 Juli 2020

[5] Kompas.com. 2019. RI Rugi Rp 478,8 Triliun akibat Serangan Siber, DPR Siapkan RUU diakses dari https://nasional.kompas.com/read/2019/08/12/13454311/ri-rugi-rp-4788-triliun-akibat-serangan-siber-dpr-siapkan-ruu-kks?page=all pada 20 Juli 2021

[6] Fikri Kurniawan. 2020. Kerugian Serangan Siber Tahun 2021 Diprediksi RP 84.000 triliun diakses dari https://tekno.sindonews.com/read/284040/207/kerugian-serangan-siber-tahun-2021-diprediksi-rp84000-triliun-1609240357 pada 20 Juli 2021

[7] ITU. 2020. Global Cybersecurity Index 2020. International Telecommunication Unit Indonesia’s data accessible and downloadable on https://ncsi.ega.ee/country/id/

[8] Regulasi yang berkenaan dengan infrastruktur informasi berada di UU Telekomunikasi

[9] Center for Indonesian Policy Studies (CIPS). 2021. Ringkasan Kebijakan | Perlindungan Keamanan Siber di Indonesia diakses dari https://id.cips-indonesia.org/post/ringkasan-kebijakan-perlindungan-keamanan-siber-di-indonesia pada 21 Juli 2021

[10] Islami, M.J. 2017. Tantangan Dalam Implementasi Strategi Keamanan Siber Nasional Indonesia Ditinjau dari Penilaian Global Cybersecurity Index. Jurnal Masyarakat Telematika dan Informasi Vol. 8 No. 2 (Oktober-Desember 2017) hal. 137-144

[11] Aprilianti, I., & Dina, S.(2021). Pengaturan Bersama Ekonomi Digital Indonesia. Center for Indonesian Policy Studies diakses dari https://repository.cips-indonesia.org/publications/332998/co-regulating-the-indonesian-digital-economy pada 21 Juli 2021

[12] Dapat diunduh dari http://institute.id/wp-content/uploads/2019/09/RUU-Keamanan-dan-Ketahanan-Siber.pdf

[13] Dapat diunduh dari http://dpr.go.id/doksileg/proses1/RJ1-20190617-025848-5506.pdf.

[14] Steffani Dina. 2018. Tumpang Tindih Tugas Badan Siber dengan Lembaga Lain diakses dari https://www.kominfo.go.id/content/detail/12355/tumpang-tindih-tugas-badan-siber-dengan-lembaga-lain/0/sorotan_media pada 21 Juli 2021

[15] Ray Walsh dari Pro Privacy telah menuliskan gambaran umum mengenai Internet filtering di Indonesia. Beliau menyinggung bahwa ‘hampir setiap konten yang berhubungan dengan aktivitas illegal atau melanggar norma sosial Indonesia yang sangat konservatif telah di-block di Indonesia’ artikel dapat dibaca di https://proprivacy.com/guides/indonesia-privacy

Tags: