91.7 SCFM Mata Anda, Telinga Anda
Penulis merupakan sekretaris Indonesia Cyber Security Forum yang aktif dalam diskusi pada komunitas multi-stakeholder digital forensik, IoT, Blockchain, smartcity, smartgrid, cyber defence, keinsinyuran, big data, AI, dan standardisasi kompetensi SDM. Saat ini menjadi staf ahli manajemen risiko di anak perusahaan BUMN, serta narasumber teknis di beberapa kementerian dan lembaga.
Warganet gaduh. RUU Keamanan dan Ketahanan Siber mendadak hadir dan dikejar untuk diundangkan di akhir September 2019. Kegaduhan ini sempat direkam oleh Drone Emprit saat mayoritas warganet bereaksi negatif menolak RUU KKS.
Hal yang wajar karena sosialisasi yang sangat kurang, sementara waktu pembahasan sangat terbatas. Bayangkan saja, komunitas keamanan siber baru mendapat draft RUU di pertengahan Juli 2019 tanpa pernah diajak Baleg DPR untuk membahasnya.
Bandingkan dengan RUU Perlindungan Data Pribadi, sudah 5 tahun dibahas sampai sekarang belum selesai. Padahal RUU ini sangat penting di tengah banyaknya kasus kejahatan data pribadi warga. Isu kejahatan data pribadi bahkan menjadi topik pidato kenagaraan Presiden Jokowi pada HUT RI ke-74 yang menyatakan bahwa hak warga negara atas data pribadi harus dilindungi.
Namun sayangnya komunikasi yang dibangun lebih ke arah urgensi RUU belum masuk ke detail materi substantifnya. Apakah RUU KKS ini penting untuk diundangkan? Sangat penting. Ini karena semakin dalamnya interaksi warga dan industri ke dalam dunia siber, sehingga ancaman serangan siber sangatlah nyata.
Argumentasi tersebut tidak bisa dibantah karena Indonesia memang ketinggalan di sisi tata kelola keamanan siber dibandingkan negara tetangga. Namun apakah hal ini cukup menjustifikasi ketergesaan akan penetapan RUU KKS?
RUU KKS ini seharusnya dikembangkan dalam satu sistem hukum informasi dan komunikasi, yang terdiri dari beberapa UU dan aturan pelaksana yang mempunyai keterkaitan dan saling melengkapi. UU yang sudah ada dalam sistem hukum ini antara lain: UU Informasi dan Transaksi Elektronik, UU Telekomunikasi, dan UU Keterbukaan Informasi Publik serta aturan pelaksanaannya.
Artinya, dalam definisi dan ruang lingkup seharusnya RUU KKS dibangun dalam satu koridor definisi tata kelola tersebut sehingga menjelaskan keterkaitan dan posisinya. Sayangnya, dari Pasal 1 RUU KKS saja kita dapat membaca kurangnya hubungan dan harmonisasi definisi dengan UU yang telah ada.
Definisi keamanan siber menurut ISO 27032 adalah pengamanan aspek-aspek kerahasiaan, keutuhan, ketersediaan informasi di ranah internet. Hal ini diatur di dalam UU ITE dan PP PSTE. Yang belum? Pengamanan spesifik kepada infrastruktur informasi kritis terhadap ancaman siber. Bagaimana dengan istilah Ketahanan Siber?
Apabila kita telaah menggunakan sistem eclis.id, definisi ketahanan nasional hanya ditemui pada bagian penjelasan UU Hubungan Luar Negeri dan juga terdapat definisi ketahanan pangan dalam UU Pangan. Intinya adalah perwujudan daya tangkal dan daya tahan demi terjaminnya kelangsungan hidup.
Apa hubungan istilah infrastruktur siber dengan sistem dan jaringan elektronik, pengamanan siber dengan sistem pengamanan dalam penjelasan UU ITE, penyelenggara KKS dengan penyelenggara SE? Bagaimana posisi masyarakat dan pemangku kepentingan lainnya di sana? Apa perbedaan perangkat siber dengan perangkat telekomunikasi yang di atur dalam UU Telekomunikasi? Kenapa akademisi dan perguruan tinggi tidak disebutkan keterlibatannya? Selain itu, banyak pertanyaan mengemuka mengenai begitu besarnya peran BSSN di sini.
Masyarakat dan industri yang akan menanggung akibatnya. Misalnya, tata kelola Sistem Nasional Sertifikasi Profesi, ditetapkan melalui UU, PP, Perpres, dan Permenaker yang mengatur harmonisasi Standardisasi Kompetensi Nasional, Khusus, dan Internasional. Kementerian atau lembaga teknis yang menyiapkan materi yang kemudian ditetapkan oleh Menteri Tenaga Kerja sebagai standar nasional.
Namun ketika melihat RUU KKS, BSSN melaksanakan semua kewenangan di bidang KKS: akreditasi organisasi profesional, sertifikasi perangkat dan personel, penentuan standar, serta perizinan untuk pendidikan, pelatihan, dan penelitian. Contoh lain adalah sertifikat digital dan tanda tangan elektronik.
Industri sudah bergerak melakukan investasi dan saat ini dalam proses sertifikasi dan berinduk. PP dan Permenkominfo telah ada sebagai payung hukum. Semuanya akan mentah kembali apabila RUU KKS disahkan tanpa perbaikan.
Peran masyarakat dan industri tersebar di banyak pasal yang mayoritas berisi perijinan dan sanksi.
Coba lihat pasal 6 yang tidak menyebutkan masyarakat sebagai penyelenggara KKS atau pasal 8 yang membatasi peran masyarakat hanya pada perlindungan sistem elektronik internal dan penyediaan jasa.
Selain itu juga, RUU KKS juga hanya menyebutkan SOC (Security Operating Center) tanpa menyebutkan CERT (Computer Emergency Response Team) dan ISAC (Information Sharing and Analysis Center). Ketiganya merupakan kolaborasi para pemangku kepentingan yang menjadi praktik terbaik di dunia internasional dengan tugas dan kapabilitas yang berbeda-beda.
Sebagai Chief Information Security Officer (CISO) yang tersertifikasi, penulis tidak menafikan betapa signifikan RUU KKS. Namun lebih baik RUU ini sedikit terlambat daripada menyimpan risiko di kemudian hari.
Mengingat sempitnya waktu, begitu banyak pemangku kepentingan yang belum substansi materi RUU dan tingginya potensi konflik, kami memohon kepada pemerintah dan DPR untuk menunda pengesahan RUU KKS.