ANALISIS
Mengulik UU Kamtansiber, Penjaga Baru Dunia Siber
CNN Indonesia
Rabu, 21 Agu 2019 08:14 WIB
Jakarta, CNN Indonesia -- Dewan Perwakilan Rakyat (DPR) pada awal Juli 2019 telah menyetujui Rancangan Undang-Undang Keamanan dan Ketahanan Siber (RUU Kamtansiber) menjadi usulan untuk dibahas sebagai peraturan inisiatif DPR. Badan Siber dan Sandi Negara (BSSN) akan menjadi lembaga yang memiliki kewenangan menjalankan peraturan ini.
Ketua DPR, Bambang Soesatyo bahkan mengatakan RUU sudah masuk prolegnas dan akan diselesaikan pada akhir September. Saat ini RUU Kamtansiber disebutnya telah dalam tahap pembahasan Badan Legislasi (Baleg).
"Seluruh fraksi sudah menyetujuinya, berbagai masukan, kerangka berpikir dari akademisi dan stakeholder sudah ada. Jadi tinggal pembahasan saja," katanya beberapa waktu lalu.
Akan tetapi, beleid terbaru ini dianggap memancing polemik. Bahkan UU Perlindungan Data Pribadi yang sudah antre sejak lama di prolegnas tak kunjung jelas kabarnya. Selain terkesan terburu-buru, aturan bahkan disebut melanggar beberapa standarisasi keamanan siber internasional.
Ketua Association Forensic Digital Indonesia (AFDI) Kombes Pol Muhammad Nuh Al-Azhar bahkan menganggap aturan juga banyak perbedaan pakem-pakem keamanan siber yang sudah tertuang dalam International Organization for Standardization (ISO).
Muhammad mengatakan perbedaan pertama berada pada judul beleid tersebut yang menggunakan kata Keamanan dan Ketahanan Siber. Padahal ISO hanya membahas kata keamanan siber. Ia tidak mengetahui dari mana asal kata ketahanan tersebut.
"Kalau kita mengacu ke literatur internasional yang ada satu kata, keamanan siber. ISO 27032 tentang panduan untuk keamanan siber cyber security. Saya juga tidak tahu kenapa muncul istilah satu kata ketahanan itu," ujarnya kepada CNNIndonesia.com.
Muhammad mengatakan draft RUU Kamtansiber tidak membahas apakah keamanan siber dalam RUU Kamtansiber itu masuk ke pre incident, incident, atau post incident.
"Kita mau masuk ke sisi mana? Karena dalam keamanan siber itu sudah ada namanya ISO 27035 tentang security insiden management. Jadi kalau nanti ada suatu insiden bagaimana me-managenya. Kalau yang 27037 itu tentang kaitannya handling process terhadap bukti digital. Jadi ada standarnya. Kita mau masuk ke mana," katanya.
Pre Incident adalah langkah-langkah pencegahan atau mengamankan sistem dan jaringan dari serangan siber. Dalam pre incident, Muhammad menjelaskan ada edukasi dan audit. Edukasi ini berbentuk literasi kepada masyarakat tentang kesadaran dalam keamanan siber.
Di sisi lain, audit dibutuhkan untuk melakukan pengecekan ulang dari sisi keamanan dan ketahanan dari sisi sistem dan jaringan yang rentan diserang.
"Audit itu mulai dari perangkat keras, perangkat lunak, termasuk dari audit ke sisi manajemen. Yang sering terlupakan itu adalah audit sisi manajemen. karena sesungguhnya tak ada keamanan siber tanpa ada campur tangan langsung dari sisi manajemen," ujarnya.
Sisi manajemen resiko keamanan sering dilupakan karena orang-orang di bidang siber menganggap peranti lunak dan peranti keras keamanan siber sudah mumpuni untuk menangkal serangan.
"Seringkali orang di Indonesia atau pun dunia seakan-akan kalau sudah punya hardware dan software canggih itu sudah aman. Padahal tidak, kita butuh manajemen yang atur segala macam prosedur operasi standar," ujarnya.
Muhammad mengatakan di saat serangan terjadi, yang bisa dilakukan adalah monitoring. Hal ini dilakukan untuk mendeteksi adanya serangan siber. Selanjutnya dalam post incident, harus dilakukan investigasi dan mitigasi.
Mitigasi berkaitan dengan pemulihan sistem. Langkah apa yang harus dilakukan agar sistem bisa pulih dengan cepat.
"Investigasi itu yang dilakukan penegakkan hukum. Ini membutuhkan waktu lama, apalagi kalau berhadapan dengan peretas yang well organized, belum lagi yang disponsori oleh negara," imbuhnya.
Terkait langkah-langkah konkret mitigasi, Muhammad menilai RUU Kamtansiber belum memiliki hal tersebut. Langkah-langkah pemulihan belum dijelaskan dalam bagian kedua aturan yang berjudul "Mitigasi Risiko Ancaman Siber."
"Kemudian pasal 12 tentang mitigasi risiko. Kalau terjadi serangan dan ada sistem down, bagaimana sistem dibangkitkan kembali (recover) itu termasuk bagian dari mitigasi. Dan itu tidak disebut di dalam pasalnya," ujarnya.
Pasal 13 menyebutkan "Mitigasi risiko Ancaman Siber sebagaimana dimaksud dalam Pasal 12 dilaksanakan sesuai dengan standar khusus yang ditetapkan oleh BSSN."
Muhammad merasa keberatan dengan kata "standar khusus" BSSN ini karena artinya aturan ini tidak sesuai ISO. Selain itu ia mengatakan tidak menemukan "standar khusus" yang diminta oleh BSSN dalam aturan tersebut.
"Di pasal 13 disebutkan ada standar khusus dan penilaian, itu saya tidak temukan. ISO sudah punya standar sendiri. Apakah kita merasa lebih pintar dibanding ISO mau membuat standar lagi. Apakah kita pemain lama, lebih lama dibanding teman-teman di luar sana," ujarnya.
[Gambas:Video CNN]
Muhammad mengibaratkan standar tersebut sebagai sebuah mobil. BSSN seharusnya tak perlu membuat sebuah mobil baru, sementara sudah ada mobil yang lama.
"Kalau memang sudah ada mobilnya, ya kita adopsi saja mobilnya. Buat apa kita sibuk dengan bikin mobil baru yang kualitasnya tidak mengalahkan mobil yang sudah ada," katanya.
Pada bagian ketiga dibahas mengenai "Respon Ancaman Siber" yang tertuang dalam pasal 14 hingga pasal 16. Lagi-lagi, Muhammad mengatakan BSSN membuat standar yang berebeda dengan ISO 27035 dan ISO 27037.
"Pasal 16 tentang respon ancaman siber. Itu sudah ada di ISO 27035 sama ISO 27037. Nah saya juga bingung kenapa BSSN mau buat standar lagi. Didorong saja, profesional pelaku di dalam dunia siber itu untuk mematuhi ISO, lebih bagus itu. Bukan malah membuat standar lagi, kalau tidak sesuai standar BSSN bisa kena sanksi," ujarnya.
Menurutnya, BSSN seharusnya mendorong agar para pelaku di dunia siber bisa mematuhi ISO. Seharusnya BSSN bisa membantu para pelaku agar bisa mematuhi ISO.
"BSSN yang mendorong, membantu, dan memfasilitasi untuk ajak masyarakat agar bisa patuhi ISO. Banyak organisasi atau lembaga yang tidak mematuhi . Nah itu tugasnya BSSN untuk membantu mematuhi, bukan malah mau bikin standar. Nanti ini kalau tidak ikut ini kena sanksi," jelasnya.
Muhammad juga mengatakan draft RUU Kamtansiber tidak membahas mengenai infrastruktur siber, yaitu jaringan. Padahal jaringan merupakan infrastruktur paling vital untuk menjaga keamanan siber.
Pasal 10 ayat 2 memang membahas infratstruktur siber nasional, tapi tidak menyebutkan jaringan. Pasal 10 ayat 2 hanya menyebut empat infrastruktur, yaitu infrastruktur informasi kritikal nasional, infrastruktur penyelenggaraan pemerintahan elektronik, infrastruktur ekonomi digital, dan infrastruktur sistem elektronik
"Jaringan itu tulang punggungnya internet exchange. Nah, infrastruktur yang paling vital itu adalah jaringan. Tapi itu enggak dibahas. Ini saya juga bingung, berbicara siber tapi kok tidak berbicara ke core siber yang merupakan jaringan," ucapnya.
Ketua DPR, Bambang Soesatyo bahkan mengatakan RUU sudah masuk prolegnas dan akan diselesaikan pada akhir September. Saat ini RUU Kamtansiber disebutnya telah dalam tahap pembahasan Badan Legislasi (Baleg).
"Seluruh fraksi sudah menyetujuinya, berbagai masukan, kerangka berpikir dari akademisi dan stakeholder sudah ada. Jadi tinggal pembahasan saja," katanya beberapa waktu lalu.
ADVERTISEMENT
SCROLL TO CONTINUE WITH CONTENT
Lihat juga:Hantu Orde Baru di Era Digital Jokowi |
"Kalau kita mengacu ke literatur internasional yang ada satu kata, keamanan siber. ISO 27032 tentang panduan untuk keamanan siber cyber security. Saya juga tidak tahu kenapa muncul istilah satu kata ketahanan itu," ujarnya kepada CNNIndonesia.com.
Muhammad mengatakan draft RUU Kamtansiber tidak membahas apakah keamanan siber dalam RUU Kamtansiber itu masuk ke pre incident, incident, atau post incident.
"Kita mau masuk ke sisi mana? Karena dalam keamanan siber itu sudah ada namanya ISO 27035 tentang security insiden management. Jadi kalau nanti ada suatu insiden bagaimana me-managenya. Kalau yang 27037 itu tentang kaitannya handling process terhadap bukti digital. Jadi ada standarnya. Kita mau masuk ke mana," katanya.
Pre Incident adalah langkah-langkah pencegahan atau mengamankan sistem dan jaringan dari serangan siber. Dalam pre incident, Muhammad menjelaskan ada edukasi dan audit. Edukasi ini berbentuk literasi kepada masyarakat tentang kesadaran dalam keamanan siber.
Di sisi lain, audit dibutuhkan untuk melakukan pengecekan ulang dari sisi keamanan dan ketahanan dari sisi sistem dan jaringan yang rentan diserang.
"Audit itu mulai dari perangkat keras, perangkat lunak, termasuk dari audit ke sisi manajemen. Yang sering terlupakan itu adalah audit sisi manajemen. karena sesungguhnya tak ada keamanan siber tanpa ada campur tangan langsung dari sisi manajemen," ujarnya.
Lihat juga:Milenial Jadi Sasaran Empuk Peretasan |
Sisi manajemen resiko keamanan sering dilupakan karena orang-orang di bidang siber menganggap peranti lunak dan peranti keras keamanan siber sudah mumpuni untuk menangkal serangan.
"Seringkali orang di Indonesia atau pun dunia seakan-akan kalau sudah punya hardware dan software canggih itu sudah aman. Padahal tidak, kita butuh manajemen yang atur segala macam prosedur operasi standar," ujarnya.
Muhammad mengatakan di saat serangan terjadi, yang bisa dilakukan adalah monitoring. Hal ini dilakukan untuk mendeteksi adanya serangan siber. Selanjutnya dalam post incident, harus dilakukan investigasi dan mitigasi.
Mitigasi berkaitan dengan pemulihan sistem. Langkah apa yang harus dilakukan agar sistem bisa pulih dengan cepat.
"Investigasi itu yang dilakukan penegakkan hukum. Ini membutuhkan waktu lama, apalagi kalau berhadapan dengan peretas yang well organized, belum lagi yang disponsori oleh negara," imbuhnya.
Terkait langkah-langkah konkret mitigasi, Muhammad menilai RUU Kamtansiber belum memiliki hal tersebut. Langkah-langkah pemulihan belum dijelaskan dalam bagian kedua aturan yang berjudul "Mitigasi Risiko Ancaman Siber."
"Kemudian pasal 12 tentang mitigasi risiko. Kalau terjadi serangan dan ada sistem down, bagaimana sistem dibangkitkan kembali (recover) itu termasuk bagian dari mitigasi. Dan itu tidak disebut di dalam pasalnya," ujarnya.
Pasal 13 menyebutkan "Mitigasi risiko Ancaman Siber sebagaimana dimaksud dalam Pasal 12 dilaksanakan sesuai dengan standar khusus yang ditetapkan oleh BSSN."
Muhammad merasa keberatan dengan kata "standar khusus" BSSN ini karena artinya aturan ini tidak sesuai ISO. Selain itu ia mengatakan tidak menemukan "standar khusus" yang diminta oleh BSSN dalam aturan tersebut.
"Di pasal 13 disebutkan ada standar khusus dan penilaian, itu saya tidak temukan. ISO sudah punya standar sendiri. Apakah kita merasa lebih pintar dibanding ISO mau membuat standar lagi. Apakah kita pemain lama, lebih lama dibanding teman-teman di luar sana," ujarnya.
[Gambas:Video CNN]
Muhammad mengibaratkan standar tersebut sebagai sebuah mobil. BSSN seharusnya tak perlu membuat sebuah mobil baru, sementara sudah ada mobil yang lama.
"Kalau memang sudah ada mobilnya, ya kita adopsi saja mobilnya. Buat apa kita sibuk dengan bikin mobil baru yang kualitasnya tidak mengalahkan mobil yang sudah ada," katanya.
Pada bagian ketiga dibahas mengenai "Respon Ancaman Siber" yang tertuang dalam pasal 14 hingga pasal 16. Lagi-lagi, Muhammad mengatakan BSSN membuat standar yang berebeda dengan ISO 27035 dan ISO 27037.
"Pasal 16 tentang respon ancaman siber. Itu sudah ada di ISO 27035 sama ISO 27037. Nah saya juga bingung kenapa BSSN mau buat standar lagi. Didorong saja, profesional pelaku di dalam dunia siber itu untuk mematuhi ISO, lebih bagus itu. Bukan malah membuat standar lagi, kalau tidak sesuai standar BSSN bisa kena sanksi," ujarnya.
"BSSN yang mendorong, membantu, dan memfasilitasi untuk ajak masyarakat agar bisa patuhi ISO. Banyak organisasi atau lembaga yang tidak mematuhi . Nah itu tugasnya BSSN untuk membantu mematuhi, bukan malah mau bikin standar. Nanti ini kalau tidak ikut ini kena sanksi," jelasnya.
Muhammad juga mengatakan draft RUU Kamtansiber tidak membahas mengenai infrastruktur siber, yaitu jaringan. Padahal jaringan merupakan infrastruktur paling vital untuk menjaga keamanan siber.
Pasal 10 ayat 2 memang membahas infratstruktur siber nasional, tapi tidak menyebutkan jaringan. Pasal 10 ayat 2 hanya menyebut empat infrastruktur, yaitu infrastruktur informasi kritikal nasional, infrastruktur penyelenggaraan pemerintahan elektronik, infrastruktur ekonomi digital, dan infrastruktur sistem elektronik
"Jaringan itu tulang punggungnya internet exchange. Nah, infrastruktur yang paling vital itu adalah jaringan. Tapi itu enggak dibahas. Ini saya juga bingung, berbicara siber tapi kok tidak berbicara ke core siber yang merupakan jaringan," ucapnya.
Tumpang tindih wewenang
BACA HALAMAN BERIKUTNYA TOPIK TERKAIT
ARTIKEL
TERKAIT
TERKAIT
LAINNYA DI DETIKNETWORK