Penguatan Keamanan Siber di Sektor Strategis

N.A. Salmawan | Foto: Arsip pribadi

Sebagaimana pada tulisan sebelumnya tentang pelindungan infrastruktur informasi vital (IIV), maka sejak tanggal 24 Mei 2022 yang baru lalu, Peraturan Presiden tersebut telah ditandatangani oleh Presiden RI.

Regulasi yang merupakan turunan dari Peraturan Pemerintah nomor 71 tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PSTE) ini, diberi judul Peraturan Presiden Nomor 82 tahun 2022 tentang Pelindungan Infrastruktur Informasi Vital.

Diharapkan dengan dikeluarkannya regulasi ini, maka langkah ini menjadi sebuah bentuk hadirnya negara pada masalah keamanan siber di sektor yang dianggap strategis. Sebagaimana dipahami bersama, ada beberapa kriteria untuk mengkategorikan sebuah sektor strategis, di antaranya adalah sektor tersebut berkaitan dengan pelayanan publik, menguasai hajat hidup orang banyak, berhubungan dengan pertahanan dan keamanan negara, serta memiliki pengaruh terhadap pertumbuhan ekonomi nasional. Beruntungnya, poin-poin tersebut sudah dimasukkan pula di dalam peraturan presiden dimaksud.

Sebagaimana tertulis pada pasal 2 Perpres 82/2022 ini, tujuan dibuatnya peraturan presiden ini adalah untuk melindungi keberlangsungan penyelenggaraan IIV secara aman, andal, dan tepercaya. Kemudian tujuan lainnya adalah untuk mencegah terjadinya gangguan, kerusakan, atau kehancuran pada IIV akibat serangan siber, dan/atau ancaman/kerentanan lainnya. Terakhir adalah untuk meningkatkan kesiapan dalam menghadapi Insiden Siber dan mempercepat pemulihan dari dampak Insiden Siber.

Kita pahami bersama bahwa keberlangsungan bisnis proses sektor strategis merupakan tulang punggung dan sekaligus urat nadi kehidupan bangsa dan negara. Mulai dari urusan pangan, kesehatan, telekomunikasi, keuangan, hingga pertahanan negara, kesemuanya itu menjadi hal yang sangat penting yang harus dijaga keberlangsungannya. Bukan hanya pada tingkat operasionalnya, namun juga harus ada usaha perkuatan terhadap tata kelolanya, orang-orangnya sampai pada tataran koordinasinya.

Perlu digaris-bawahi pada perpres tentang Pelindungan IIV sebagaimana telah tersebut pada tulisan sebelumnya, bahwa hingga saat ini, sektor yang dikategorikan strategis baru ditentukan delapan sektor, sementara sektor strategis tambahannya akan ditetapkan kemudian oleh presiden dalam bentuk Keputusan Presiden. Kedelapan sektor vital tersebut adalah sektor administrasi pemerintahan, kesehatan, transportasi, energi, pertahanan, pangan, keuangan, dan teknologi informasi dan komunikasi.

Sebagai tambahan, di dalam peraturan presiden ini juga sudah sekaligus menunjuk instansi pembina, pengawas dan pengatur sektor masing-masing yang disebut Kementerian atau Lembaga. Di mana pada pasal 1 perpres ini disebutkan bahwa Kementerian atau Lembaga adalah Instansi Penyelenggara Negara yang bertugas mengawasi dan mengeluarkan pengaturan terhadap sektornya.

Tanggung Jawab Bersama

Jika kita sedikit menyelami regulasi ini, maka kita akan menemukan beberapa karakteristik yang memberikan penekanan kepada tugas yang dibebankan kepada pemerintah dan organisasi penyelenggara IIV. Selain itu, perpres ini juga mengusung konsep penjenjangan dalam pengelolaan usaha pelindungan, yaitu penjenjangan dari lingkup organisasi penyelenggara IIV, lingkup sektor sebagai sebuah kelompok organisasi yang bergerak di bidang sejenis, hingga jenjang nasional sebagai jenjang tertinggi. Penjenjangan ini untuk memudahkan dilakukan pembinaan dan pengawasan di mana tiap jenjang ditentukan penanggungjawabnya.

Peraturan yang sudah mulai disusun sejak awal 2020 lalu tersebut, mulai diberlakukan pada 24 Mei 2022 sesuai tanggal penandatanganan oleh presiden. Namun ada sejumlah peraturan turunan sebagai pekerjaan rumah bagi BSSN dan Kementerian atau Lembaga untuk segera diselesaikan paling lama 18 bulan sejak perpres dimaksud diundangkan.

Peraturan turunan tersebut antara lain adalah peraturan yang mengatur tentang tentang Kerangka Kerja Pelindungan IIV; peraturan tentang Pengukuran Tingkat Kematangan Keamanan Siber, peraturan tentang penerapan manajemen risiko Keamanan Siber dan beberapa peraturan turunan lainnya.

Tentunya, dari terciptanya peraturan yang berkaitan erat dengan keamanan siber nasional ini, ada banyak perubahan yang ingin dicapai. Sebelum adanya regulasi ini, pemerintah sangat sulit untuk memperoleh profile kematangan (maturitas) keamanan siber secara nasional. Selain itu, belum ada sebuah norma setingkat regulasi perpres yang mengharuskan sebuah sektor atau bahkan organisasi berkategori strategis untuk membangun sistem pertahanan siber dalam bentuk tim tanggap insiden siber atau CERT (Computer Emergency Response Team).

Sementara Tim Tanggap Insiden Siber ini sendiri sesungguhnya sangat dibutuhkan kehadirannya, terutama dengan maraknya kejadian insiden siber yang kerap muncul belakangan ini, apakah dalam bentuk penggantian halaman muka (defacement), pencurian data akun pelanggan sebuah layanan, hingga aksi pemerasan terhadap sebuah penyelenggara sistem elektronik dengan metode ransomware. Potensi timbulnya krisis siber yang merupakan eskalasi insiden siber secara masif juga salah satunya disebabkan oleh belum terpolanya koordinasi antar-instansi dan belum terciptanya sistem berbagi informasi secara terstruktur.

Dengan lahirnya perpres ini, diharapkan adanya benefit yang dapat diperoleh untuk semua kalangan, baik negara yang dalam hal ini pemerintah, maupun masyarakat. Benefit tersebut di antaranya adalah pemetaan potensi kekuatan siber sekaligus potensi kerentanan dan vulnerabilitas dari sebuah sistem elektronik strategis.

Dengan pemetaan potensi tersebut, diharapkan pemerintah akan dengan mudah memberikan perhatian-perhatian yang lebih besar terhadap sektor yang berdasarkan hasil pengidentifikasian dianggap masih lemah. Selain itu dengan regulasi ini, para stakeholder sektor strategis mampu memastikan kesiapannya untuk mengantisipasi serangan dan insiden siber. Dan dengan regulasi ini pula, penyelenggara IIV tidak bisa main-main terhadap sumber dayanya, termasuk SDM-nya.

Sebuah penyelenggara IIV wajib memprioritaskan penggunaan tenaga kerja Indonesia dan wajib meningkatkan kapasitas serta kapabilitaas SDM nya, baik melalui pelatihan, seminar maupun forum-forum edukasi dan literasi. Sehingga dengan demikian tercipta sebuah ekosistem keamanan siber yang mumpuni dan berkualitas.

Keterlibatan Pentahelix

Hal yang cukup menarik adalah pelibatan semua pihak dalam penguatan usaha pelindungan IIV. Pelibatan di sini adalah memberikan peluang untuk melibatkan semua pihak, terutama dalam kegiatan berbagi informasi dan kegiatan rapat koordinasi. Pelibatan tersebut diatur pada pasal 18 dan pasal 24 perpres ini.

Frase yang digunakan dalam pelibatan tersebut adalan “pihak lain yang dibutuhkan.” Dengan penggunaan frase ini, maka kita perlu merujuk pada konsep Strategi Keamanan Siber Nasional, di mana entitas yang termasuk di dalamnya adalah empat entitas utama yang disebut Quad-Helix. Keempat pihak tersebut adalah Pemerintah, Pelaku Usaha, Akademisi dan Komunitas.

Pihak pertama, dalam hal ini pemerintah, otomatis diwakili oleh instansi-instansi yang dianggap pembina, pengawas dan pengatur sektor seperti BSSN untuk sektor administrasi pemerintahan, Kementerian ESDM untuk sektor energi, Kementerian Kesehatan untuk sektor kesehatan, Kementerian Perhubungan untuk sektor transportasi dan seterusnya sebagaimana diatur pada pasal 4 ayat (3) perpres ini.

Pihak kedua adalah pelaku usaha atau perusahaan. Pihak ini diasosiasikan dengan perusahaan-perusahaan yang berkategori strategis seperti perusahaan BUMN, perusahaan-perusahaan yang masuk ke dalam sektor vital seperti perusahaan yang bergerak di bidang transportasi, keuangan, kesehatan, pangan dan lain-lain.

Kemudian pihak ketiga adalah kalangan akademisi dan pihak keempat merupakan pihak masyarakat, baik masyarakat pada umumnya maupun komunitas yang memiliki perhatian terhadap masalah keamanan siber dan keamanan informasi. Pihak akademisi dan masyarakat/komunitas ini sangat dimungkinkan keterlibatannya dalam memperkuat usaha pelindungan infrastruktur informasi vital, terutama pada kegiatan forum analisis dan berbagi informasi keamanan siber serta dalam rapat koordinasi tahunan yang diselenggarakan oleh BSSN.

Secara garis besar dapat dinilai bahwa regulasi Perpres tentang Pelindungan IIV ini telah menggunakan pendekatan dengan penerapan elemen transformasi dan keberlanjutan (sustainability) berupa pelibatan People, Process, dan Technology. Dengan pelibatan ketiga elemen tersebut diharapkan pada tahap penerapan regulasi ini akan lebih adaptif dan implementatif.

Pekerjaan rumah berikutnya

Jika diperhatikan lebih jauh, Perpres tentang Pelindungan IIV ini menitik-beratkan pada pengaturan atas hadirnya negara dalam menjamin keamanan wilayah siber. Hal tersebut ditandai oleh pasal-pasal yang pada umumnya lebih menekankan dalam pemberian tugas kepada instansi penyelenggara negara untuk melakukan kegiatan-kegiatan yang digariskan dalam perpres tersebut. Seperti misalnya keharusan bagi instansi yang masuk kategori Kementerian atau Lembaga untuk melakukan verifikasi dalam menetapkan penyelenggara sistem elektronik di sektornya menjadi Penyelenggara IIV, melakukan penyusunan Peta Jalan Pelindungan IIV pada sektornya, membangun Tim Tanggap Insiden Siber pada sektornya dan beberapa tugas lain.

Di sisi lain, para pihak penyelenggara IIV pun mendapatkan beban tugas yang tidak ringan, seperti memastikan sistem elektronik yang dikelolanya tetap aman, menyiapkan Tim Tanggap Insiden Siber, aktif dalam forum berbagi informasi, meningkatkan kapasitas SDM-nya, dan memprioritaskan penggunaan Tenaga Kerja Indonesia.

Walaupun hingga perpres ini ditanda-tangani oleh Presiden masih terdiri dari delapan sektor strategis, namun penambahan sektor lain tetap terbuka ruang ke depannya. Usulan penambahan sektor lain dapat dilakukan melalui mekanisme rapat koordinasi nasional yang dihadiri oleh kementerian/lembaga terkait dan/atau pihak lain yang diperlukan. Hasil rapat koordinasi mengenai penambahan sektor tadi kemudian disampaikan oleh BSSN kepada Presiden yang selanjutnya ditetapkan dalam bentuk Keputusan Presiden. Sektor-sektor yang berpotensi masuk ke dalam sektor strategis adalah seperti sektor pendidikan, pariwisata, energi nuklir dan lain sebagainya.

 

Penulis adalah Ketua Tim Panitia Antar-Kementerian Penyusunan Rancangan Perpres Pelindungan Infrastruktur Informasi Vital. Sebelumnya, ia menjabat sebagai Direktur Proteksi Infrastruktur Informasi Kritikal Nasional di BSSN.