Infrastruktur Informasi Vital Nasional dan Ancaman Siber

N.A. Salmawan | Foto: Arsip pribadi

BERDASARKAN pemantauan Pusat Operasi Keamanan Siber Nasional (Pusopskamsinas) Badan Siber dan Sandi Negara (BSSN) dari tahun 2020 ke 2021 terjadi peningkatan dua kali lipat serangan siber ke Indonesia.

Terdapat sekitar 490 juta serangan siber di masa tahun pertama pandemi Covid-19, kemudian pada 2021 terjadi peningkatan secara sifnifikan yaitu hampir satu miliar serangan siber. Catatan ini menunjukkan bahwa tren serangan di dunia maya akan terus meningkat seiring bermigrasinya manusia dari kegiatan secara fisik ke aktivitas daring.

Migrasi yang belakangan dikenal dengan sebutan transformasi digital ini agaknya sebagai dampak positif dari pandemi yang telah mengakselerasi dan memaksa manusia untuk segera mengubah cara mereka bekerja.

Namun, percepatan transformasi digital itu bukan tanpa dampak negatif, apalagi kejadian insiden siber—berupa pencurian data, penerobosan akses, modifikasi tampilan halaman utama (defacement), penyebaran malware, dan insiden yang paling menakutkan berupa ransomware—membuat semua pengguna dunia siber wajib meningkatkan kewaspadaannya.

Di samping itu, pengelola penyelenggara sistem elektronik (PSE), terutama PSE di sektor strategis, sudah harus pasang kuda-kuda lebih kuat lagi seiring langkah pemerintah yang sudah mulai memberikan perhatian lebih. Perhatian tersebut diwujudkan dalam penyusunan regulasi yang akan menyasar kepada para PSE di sektor-sektor strategis, kritikal dan vital.

Sebagaimana diketahui bahwa melalui Pasal 99 Peraturan Pemerintah nomor 71 tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik disebutkan ada delapan sektor yang termasuk kategori strategis, antara lain administrasi pemerintahan, energi dan sumber daya mineral, transportasi, keuangan, kesehatan, pangan, teknologi informasi dan telekomunikasi; dan pertahanan.

PP tersebut masih membuka peluang terhadap sektor strategis lainnya yang ditetapkan oleh presiden. Oleh karena itu, ke depan tidak menutup kemungkinan bahwa sektor pendidikan, energi nuklir, pariwisata, manajeman sumber daya air, layanan kedaruratan, media elektronik, dan sektor lain akan menjadi sektor yang dinilai strategis dan kritikal sebagaimana telah diterapkan di beberapa negara maju seperti Amerika dan Australia.

Perpres Pelindungan Infrastruktur Informasi Vital

Adapun pengklasifikasian sektor-sektor tersebut menjadi sektor strategis berdasarkan pertimbangan bahwa sektor tersebut berkaitan dengan kepentingan umum, memberikan pelayanan kepada publik, berkaitan dengan urusan pertahanan dan keamanan negara, serta berpengaruh langsung maupun tidak langsung terhadap perekonomian nasional. Kriteria tersebut telah tertuang di dalam sebuah Rancangan Peraturan Presiden tentang Pelindungan Infrastruktur Informasi Vital (IIV).

Rancangan perpres yang diinisiasi/diprakarsai oleh BSSN tersebut berangkat dari amanah pasal 94 PP 71/2019, disebutkan bahwa pemerintah harus berperan dalam pengaturan pelindungan infrastruktur informasi vital.

BSSN bersama 16 instansi penyelenggara negara telah dan sedang bekerja sama dalam penyusunan rancangan perpres seja awal tahun ini dalam sebuah wadah tim yang disebut Panitia Antar Kementerian (PAK).

Pembentukan tim PAK sesuai amanah Undang-Undang Nomor 12 Tahun 2011 tentang Pembentukan Peraturan Perundang-undangan yang mewajibkan setiap penyusunan regulasi setingkat peraturan presiden, maka pemrakarsa, dalam hal ini BSSN, agar membentuk sebuah Tim Panitia AntarKementerian dan/ atau non-kementerian.

Instansi-instansi dalam tim PAK, antara lain Kementerian Pertahanan, Kementerian Pertanian, BSSN sendiri, Kementerian Kominfo, Kemenkopolhukam, Kementerian BUMN, Kementerian ESDM, Kementerian Perhubungan, dan beberapa kementerian lain.

Mengingat ada sektor keuangan yang ikut diatur di dalam peraturan presiden ini, Bank Indonesia dan Otoritas Jasa Keuangan (OJK) duduk pula di dalam Tim PAK tersebut.

Jika sedikit menengok ke belakang, kejadian listrik padam (black out) pada 2019, jalur listrik Jawa dan Bali mengalami gangguan (disrupsi) untuk beberapa jam, bahkan di beberapa kota lebih dari sehari, kondisi tersebut terasa sangat berpengaruh terhadap operasional di hampir semua sektor. Jika diperhatikan, satu sektor saja, yaitu sektor energi listrik yang terganggu, ternyata insiden tersebut berpengaruh terhadap sektor lain, baik sektor transportasi, sektor keuangan, telekomunikasi, pelayanan publik dan kepentingan umum lainnya.

Saat kejadian itu smartphone yang menjadi andalan individu modern menjadi tidak dapat berfungsi untuk bermedia sosial. Selain itu, angkutan umum berbasis data tidak dapat beroperasi, masyarakat tidak dapat menarik uang atau transfer melalui ATM, jadwal penerbangan terganggu, dan dampak negatif serius lainnya. Interkoneksi dan interoperabilitas antarsatu sektor dengan sektor lainnya benar-benar sangat terasa kekritisannya.

Bahkan, berdasarkan Peraturan Badan nomor 10 tahun 2020 tentang Tim Tanggap Insiden Siber disebutkan jika terdapat lebih dari satu sektor mengalami insiden, maka sudah masuk ke tahap krisis nasional.

Agaknya jika krisis nasional terjadi, maka pemerintah sudah harus menetapkan keadaan darurat nasional. Hal ini sejalan pula dengan UU Nomor 24/2007 tentang Penanggulangan Bencana. Di dalam undang-undang tersebut, krisis siber dapat dikatakan bencana non-alam yang disebabkan gagal teknologi. Peran pemerintah dengan wewenangnya adalah menetapkan status dan tingkatan bencana nasional. Pemerintah pun bertanggung jawab menanggulangi bencana dimaksud. Di sisi lain, masyarakat dan pelaku usaha berkewajiban mengindahkan instruksi pemerintah di samping haknya untuk memperoleh perlindungan dan bantuan dasar.

Sesungguhnya kelahiran dari Perpres Pelindungan Infrastruktur Informasi Vital sudah sangat ditunggu-tunggu oleh berbagai kalangan. Kalangan ini tidak terbatas pada organisasi penyelenggara sistem elektronik di sektor strategis, tapi yang tidak kalah pentingnya adalah sejumlah Instansi Pengawas dan Pengatur Sektor (IPPS). Hal ini mengingat bahwa regulasi seperti itu dapat memberikan arah, landasan dan kepastian hukum dalam usaha perlindungan bagi infrastruktur informasi vital terhadap segala jenis gangguan sebagai akibat penyalahgunaan informasi elektronik dan transaksi elektronik.

Perlu disampaikan pula bahwa untuk sektor-sektor strategis tersebut ada instansi yang ditunjuk sebagai IPPS-nya. Misal, untuk sektor energi, Kementerian ESDM sebagai IPPS, Kementerian Pertahanan sebagai IPPS sektor pertahanan, Kementerian Pertanian ditunjuk sebagai IPPS sektor pangan, untuk sektor transportasi yang menjadi IPPS nya adalah Kementerian Perhubungan dan seterusnya.

IPPS ini mempunyai peran penting, karena selain menjadi instansi pembina sektor, IPPS ini juga perlu menyusun peta jalan keamanan siber di sektornya dan membangun Tim Tanggap Insiden Siber (Computer Security Incident Response Team/C-SIRT) di sektornya.

Kewajiban PSE Strategis

Selain itu, di dalam rancangan perpres tersebut diatur kewajiban bagi setiap PSE sektor strategis atau Penyelenggara IIV untuk melakukan peningkatan kapasitas SDM pengelola sistem elektroniknya. Hal mana masih digunakannya tenaga kerja asing, maka tetap harus diutamakan penggunaan tenaga kerja Indonesia dan diatur alih teknologi dan alih keahlian dari tenaga kerja asing kepada tenaga kerja Indonesia.

Hal yang menarik dari rancangan perpres ini adalah pelibatan “pihak lain yang diperlukan” dalam perkuatan keamanan siber nasional. Oleh karena itu, semua pihak termasuk kalangan akademisi, privat, asosiasi bahkan komunitas yang memiliki perhatian terhadap keamanan siber memungkinkan untuk memberikan kontribusinya terhadap keamanan infrastruktur informasi vital nasional.

Pelibatan berbagai kalangan tersebut sejalan dengan Strategi Keamanan Siber Nasional (SKSN) yang juga tengah disusun oleh BSSN. Pelibatan komponen bangsa tersebut tercermin dalam penggunaan frase Quad-Helix, yaitu entitas pemerintah itu sendiri, kalangan pelaku usaha, akademisi dan komunitas/masyarakat.

Lebih jauh lagi, hal menarik lainnya adalah terkait kerja sama dan kolaborasi baik tingkat nasional maupun internasional. Tidak dapat dimungkiri telah ada hubungan kerja sama internasional oleh beberapa sektor strategis, terutama berkenaan dengan sektor-sektor yang terikat peraturan dan perjanjian internasional, seperti sektor transportasi udara, sektor keuangan, kesehatan, pangan dan sektor lainnya.

Di dalam rancangan perpres tersebut, hal berkaitan dengan kerja sama internasional ini tetap di-encourage untuk diteruskan, tapi pesannya adalah agar bentuk kerja sama di bidang siber tersebut diinformasikan kepada Kemenlu dan BSSN.

Dari sisi keamanan siber informasi tentang kerja sama itu penting karena kolaborasi antarnegara, baik regional, bilateral maupun multilateral, menjadi salah satu pilar instrumen kematangan keamanan siber sebuah negara.

Hal yang mana disadari oleh semua negara bahwa dalam menghadapi serangan siber, sebuah negara tidak dapat bekerja sendiri. Harus ada kolaborasi lintas negara untuk menghadapi serangan siber, paling tidak dalam bentuk saling berbagi informasi dengan tujuan saling mengingatkan adanya potensi ancaman siber.

Khusus untuk poin kerja sama internasional ini, sebenarnya ada paling sedikit tiga hal yang dijadikan landasan.

Pertama, pilar-pilar keamanan siber yang dikeluarkan oleh organisasi telekomunikasi internasional (International Telecommunication Union/ITU), salah satunya ialah pilar kerja sama internasional. Sebagaimana diketahui, ITU setiap tahun mengeluarkan sebuah indeks untuk mengukur tingkat kematangan keamanan siber negara-negara di seluruh dunia, yaitu Global Cybersecurity Index (GCI).

Indonesia pada 2018 menempati urutan ke-70 dari 193 negara yang dinilai, lalu 2019 naik ke peringkat 41 dan pada 2020 berhasil mencapai peringkat ke-24 dari 194 negara (tambahan negara Palestina). Peringkat yang tertera pada indeks GCI tersebut menggambarkan komitmen sebuah negara dalam melakukan tata-kelola keamanan sibernya. Amerika seperti biasa selalu menduduki peringkat pertama.

Kedua, norma perilaku pertanggung-jawab negara dalam penggunaan siber yang dikeluarkan oleh sebuah badan di bawah PBB bernama United Nation Group of Govermental Experts (UN-GGE).

UN-GGE beranggotakan 25 negara dari 193 negara PBB, Indonesia menjadi salah satu anggota UN-GGE. Norma perilaku dalam penggunaan ruang siber tersebut disepakati pada Sidang Umum PBB tahun 2015. Kesepakatan tersebut bertajuk “Norms, Rules of Principles of State Behaviour in Cyberspaceyang” berisikan 11 norma. Norma-norma tersebut bertujuan untuk memberikan pedoman kepada semua negara dalam menggunakan internet di mana salah satu normanya adalah kerja sama internasional.

Ketiga, sebuah kerangka kerja dari negara-negara ASEAN dalam melindungi infrastruktur informasi kritisnya yang dituangkan dalam sebuah kerangka kerja. Kerangka kerja ini bertema ASEAN Critical Information Infrastructure Protection (CIIP) Framework. Salah satu pilarnya ialah mengangkat masalah kerja sama lintas negara untuk bersama-sama melindungi infrastruktur infromasi kritisnya masing-masing.

Harapan dari diberlakukannya perpres ini nantinya ialah semua kalangan, terutama instansi pengawas dan pengatur sektor (IPPS), pelaku usaha di sektor strategis (Penyelenggara IIV), dan tentu saja pemerintah, dapat hadir untuk bersama-sama melakukan segala usaha pelindungan terhadap infrastruktur informasi vital. Ini ditujukan untuk menjamin keberlangsungan proses bisnis yang berkaitan dengan kepentingan umum, pelayanan publik, pertahanan dan kemanan, serta peningkatan perekonomian nasional.[]

Penulis adalah Ketua Tim Panitia Antar-Kementerian Penyusunan Rancangan Perpres Pelindungan Infrastruktur Informasi Vital. Sebelumnya, ia menjabat sebagai Direktur Proteksi Infrastruktur Informasi Kritikal Nasional di BSSN.