RUU KKS Harus Bersifat Inklusif dan Nonbirokrasi
Richardus Eko Indrajit | Foto: Cyberthreat.id/Oktarina Paramitha Sandy
Jakarta, Cyberthreat.id – Serangan siber yang terjadi di Indonesia sangat beragam, mulai fokus pada mematikan sistem jaringan, mencuri data, hingga mengubah atau merusak data. Serangan dari tahun ke tahun berubah-ubah terus berkembang.
Dalam pandangan Pakar Teknologi Informasi Richardus Eko Indrajit serangan siber di Indonesia terbagi dalam empat kelompok. Pertama, bersifat intersepsi yaitu mencoba menyadap, padahal bukan lembaga yang berhak untuk menyadap. Kedua, interupsi yaitu membuat layanan mati, misalnya, serangan membanjiri akses situs web, sehingga membuat server melambat dan situs web tak bisa diakses atau down.
Ketiga, modifikasi, yaitu serangan berupa mengubah situs web menjadi lebih buruk dari aslinya. Dan, keempat, fabrikasi, yaitu serangan penipuan. Ini seperti kejadian, pesan singkat (SMS) “Mama minta pulsa”.
“Jadi, itu semua ancaman yang paling besar,” kata Guru Besar Ilmu Komputer ABFI Institute Perbanas tersebut kepada Cyberthreat.id saat ditemui di Jakarta, Kamis (22 Agustus 2019).
Kami berbincang mengenai bentuk-bentuk serangan siber hingga isu terkini, yaitu Rancangan Undang-Undang Keamanan dan Ketahanan Siber (RUU KKS). Berikut petikan wawancaranya:
Melihat berbagai bentuk serangan itu, lantas apa yang harus diproteksi?
Semua harus diproteksi, cuman mana yang tanggung jawab negara, mana yang bukan. Negara itu bertanggung jawab pada infrastruktur kritis, aset-aset yang menguasai hajat hidup orang banyak. Kalau itu mati, akan membahayakan keberlangsungan hidup suatu negara. Yang dilindungi yang perlu-perlu saja. Itu bagian dari risk management.
Hal itu berkaitan dengan keamanan siber (cybersecurity), Anda melihatnya bagaimana?
Kami melihat security itu harus holistik, tidak bisa sepotong-potong. Ada tiga komponen (menyangkut cybersecurity, red), yaitu people, proses dan teknologi. People ini menyangkut kesiapan sumber daya manusianya, tidak hanya orang yang jago soal cibersecurity, tapi juga mengenai kultur security. Indonesia nih masih punya kultur security yang sangat rendah.
Kedua, proses. Yaitu, proses menjaga keamanan, proses menjaga privasi, manajemen password itu harus menjadi budaya. Yang terakhir, teknologinya sendiri. Di Indonesia belum ada framework yang bisa membuat menjadi satu yang holistik, tapi adanya pecahan-pecahan.
Apalagi SDM cybersecurity minim ya...
Di Indonesia ini sumber daya cybersecurity itu masih sangat kurang dibanding yang dibutuhkan. Kalau di teknologi sudah ada yang bisa bikin sedikit, tapi masih banyak yang impor. Dan dunia global ini semuanya kerja sama.
Makanya, kita membutuhkan yang namanya grand strategy untuk cybersecurity nasional. Didalamnya terdapat banyak komponen, komponen manusia, komponen proses, komponen regulasi, komponen struktur, dan lain-lain.
Jadi yang kita butuhkan adalah framework besarnya. Kalau sudah ada kita tinggal bagi tugas saja, komponen SDM tanggung jawab pendidikan. Komponen teknologi mungkin dari vendor atau tenaga penelitian, kemudian di bagian proses dan regulasi misalnya pemerintah.
Bagaimana dengan pendidikan cybersecurity?
Kalau soal pendidikan cybersecurity bisa dilakukan dengan berbagai cara, melalui pendidikan formal yaitu sekolah dan non formal melalui pelatihan dan belajar secara otodidak. Yang penting ada usaha untuk itu. Dan, di kampus-kampus jurusan informatika harus membuka jurusan atau bidang studi keamanan siber. Juga, harus tumbuh training di bidang keamanan
Soal RUU KKS yang saat ini dibahas, pendapat Anda?
Kalau saya melihatnya begini, target adalah bukan punya undang-undang, target adalah bagaimana undang-undang itu dijalankan sehingga menjamin kemaslahatan bagi banyak orang.
Jadi, saya enggak melihat ada fungsi waktu di situ (di RUU KKS). Artinya kalau ini penting dan genting harus segera ada, tapi kalau terlalu lama, juga tidak baik.
Dunia siber itu di dalamnya banyak sekali stakeholder, artinya yang bisa menjaga siber itu banyak pihak. Enggak mungkin cuma satu pihak. Banyak pihak ini harus duduk bareng merancang UU. UU ini harus berisi banyak peran serta berbagai stakeholder terkait.
Ia lalu menggambarkan kondisi siber nasional saat ini, di mana yang memiliki infrastruktur adalah swasta, internet yang mengadakan provider, ada pembuat konten, sistem pembayaran dilakukan oleh pihak lain, dan perizinan dilakukan pemerintah.“Ini kan ekosistem,” katanya.
Itu semua harus ada peran sertanya. Yang bagus dalam UU tersebut supaya berjalan dengan baik adalah isinya pihak-pihak yang berkaitan memegang prinsip egaliter, semua sama jika sudah masuk ke dalam internet.
Kedua, harus inklusif; tidak ada yang bisa mengatur internet sendiri. Ketiga nonbirokrasi; internet bisa cepet karena di dalamnya tidak ada birokrasi.
Dan, ingat, hacker itu menyerang per detik, kalau pendekatan kita terlalu lambat, diketawain sama hacker. Jadi, karena sifat-sifatnya itu tadi, maka cara pendekatannya juga seperti itu. Menurut pandangan saya, undang-undang tersebut akan bagus jika didalamnya memuat tentang bagaimana kita berkoordinasi, berbagi peran antar-stakeholder.
Apakah sudah melihat RUU KKS?
Saya tanya yang sudah baca, (lembaga) yang ada lebih banyak (ditemukan) nama BSSN. Kementerian lain muncul, tapi hanya variabel. Jadi, yang kurang dari RUU ini adalah mengenai pola kerja samanya. Enggak bisa hanya ditangani oleh “satu orang” saja.
Menurut saya, untuk BSSN ini sifatnya governance artinya memastikan semua stakeholder menjalankan semua kewajiban yang berkaitan dengan keamanan. Jadi, BSSN ini tidak menjalankan, tapi mengawasi melalui instrumen yang berbentuk standar, berbagi peran, dan lain-lain. Yang menjalankan, ya setiap sektor masing-masing sesuai dengan risk management. Nah seyogyanya, yang mengawasi dan mengatur ini semua memang BSSN.
Saya yakin, kalau semua dikumpulin dan membagi tugas sesuai peran masing-masing akan bersemangat kok, saya tahu persis orang-orang di internet akan sangat terbuka apalagi kalau untuk negara kita. Undang-undang yang bagus adalah yang bisa dijalankan, bisa dijalankan kalau semua stakeholder gembira.
Kita membuat undang-undang itu bukan untuk membuat semuanya berhenti, tapi untuk membuat digital ekonomi di Indonesia itu tumbuh dengan pesat tanpa kita harus takut. Makanya, UU tersebut harus disimulasikan terlebih dahulu jika kurang kita bisa perbaiki.
RUU KKS ini penting atau tidak?
RUU ini sangat penting, semua RUU pasti penting. Cuma yang mesti dilihat adalah kegentingannya. Kalau penting dan genting harus cepet, kalau penting dan tidak genting masih bisa kita bicarakan kembali.
Redaktur: Andi Nugroho
