Sumber gambar : DALL-E Image Generator
ARTICLE
Penulis: Obrina C Briliyant, Dosen Politeknik Siber dan Sandi Negara, Mahasiswa Doktoral pada School of Computer Science and Informatics, Cardiff University
Dalam laporan tahun 2021 oleh University of Queensland, seorang pakar hukum siber Indonesia membandingkan arsitektur keamanan internet di Indonesia dengan analogi ‘rumah kosong’— memiliki fondasi setengah jadi, dengan atap berlubang, dan masih kosong. Beliau berpendapat bahwa hal ini dipengaruhi oleh kurangnya visi strategis, pemahaman teknis yang buruk, dan distorsi patron politik. Dua tahun kemudian, Indonesia dilanda kampanye doxxing yang belum pernah terjadi sebelumnya—publikasi ilegal terhadap informasi pribadi individu yang ditargetkan— dan kebocoran data secara besar-besaran. Aktivitas kriminal siber ini terindikasi dilakukan oleh seorang peretas atau sekelompok peretas anonim yang menggunakan alias ‘Bjorka’. Data sensitif dari badan intelijen, badan usaha milik negara, bisnis, dan jutaan warga negara biasa Republik Indonesia berhasil disebarkan secara tidak sah.
Lanskap Ancaman Siber Global
Baik Negara maupun Industri terus bergulat dengan isu keamanan siber. Kemajuan teknologi berdampak pada meningkatnya transformasi digital, hal ini berimplikasi pada bertambahnya risiko keamanan siber. Isu terkini di ranah siber tidak hanya menyoroti teknologi canggih, namun juga interdisiplin seperti kesadaran keamanan siber (psikologi), tata kelola siber (manajemen), serta hukum siber.
Berkaca dari perang Rusia-Ukraina yang masih terjadi sampai saat ini, serangan siber menjadi bagian dari perang sejak hari pertama. Dimulai pada tanggal 14 Januari 2022, ketika 37 instansi milik pemerintah Ukraina diserang mulai dari defacement, penghapusan data, dan denial of service (DoS). Kemudian pelaku ancaman berkembang memanfaatkan kampanye targeted phishing seperti whaling dan spearphishing yang menargetkan bisnis-bisnis penting seperti perbankan, e-commerce dan payment system. Seiring waktu, serangan berevolusi dengan meninggalkan kampanye phishing, namun langsung menggunakan kerentanan sistem sebagai akses awal. Kerentanan seperti SSH tunneling, webshells dan kelemahan Application Programming Interface (API) menjadi target eksploitasi. Mereka menjalankan suatu rootkit—script yang dibuat khusus untuk mengeksploitasi suatu kerentanan sistem— yang disebut industroyer2 pada sistem. Aplikasi berbahaya ini dapat mengeksploitasi protokol yang biasa digunakan pada industri dan infrastruktur vital (energi, pengolahan air, transportasi, telekomunikasi) untuk melakukan DoS, lalu menjalankan perangkat antiforensik caddywiper untuk menghindari deteksi dan forensik. Setelah Interpol terlibat dalam konflik Rusia-Ukraina, pelaku ancaman mengubah taktik mereka dan kembali menggunakan spearphishing ke beberapa organisasi energi di Ukraina.
Tren lain yang sedang berkembang dalam solusi keamanan siber adalah automasi keamanan siber. Banyak pihak menyadari kemajuan teknologi Artificial Intelligence (AI) membuka peluang industri keamanan siber untuk beralih dari postur keamanan siber yang reaktif menuju ke postur keamanan siber yang antisipatif berbasis AI. Bicara mengenai topik data science untuk mengatasi masalah keamanan siber, banyak hal tengah dilakukan tidak hanya pada isu automasi tapi juga security forecasting. Menurut artikel ilmiah Vulnerability Forecasting: In theory and practice, kerentanan siber akan terus muncul, tetapi kita tidak perlu hanya bisa bereaksi terhadap ancaman siber. Kita dapat memprediksi dan mengklasifikasikan kerentanan siber sesuai kebutuhan, misalnya berapa banyak kerentanan yang akan datang dari vendor tertentu? Berapa banyak kerentanan yang akan berada dalam sistem skoring seperti CVSS (common vulnerability scoring system)? Berapa banyak kerentanan terhadap protokol jaringan komputer? Dengan menggunakan teknik ini, organisasi dapat membuat SOC (security operation center) dan blue team-nya lebih strategis dan tidak hanya reaktif. Contoh lain datang dari Splunk, salah satu vendor keamanan siber global, yang mengajukan pendekatan teknik data science untuk menganalisis Tanda Tangan TLS (transport layer security). Pendekatan tersebut mengusulkan pemanfaatan teknik seperti one-hot encoding & dimension reduction untuk mengelompokkan sejumlah besar tanda tangan/hash. Hasilnya kita dapat mengklasifikasikan tanda tangan/hash untuk membedakan atau membandingkan satu tanda tangan dengan tanda tangan lainnya. Untuk klasifikasi yang melibatkan nilai hash panjang dipetakan ke dalam sebuah titik dalam grafik (atau dimasukkan ke dalam model 2 dimensi), dan setiap titik diberi label ke dalam peta. Hasilnya, perilaku jahat, atau direpresentasikan dengan tanda tangan berbahaya (malicious) dapat dikelompokkan berbeda di peta.
Pelindungan Data Pribadi dan Kedaulatan Data
Kembali ke isu nasional, insiden siber skala nasional yang dipicu oleh Bjorka, diakui atau tidak, telah berhasil menjadi katalis pengesahan UU Pelindungan Data Pribadi (PDP) yang telah lama tertunda. Namun, disahkannya UU PDP bukanlah garis finish, melainkan semata garis start untuk mulai menata keamanan siber nasional demi terwujudnya kedaulatan data RI.
Fakta menarik, Indonesia menjadi salah satu negara terakhir di ASEAN yang memiliki regulasi terkait PDP. Seperti halnya kisah sukses Uni Eropa (EU) dalam mengelola regulasi General Data Protection Regulation (GDPR), dibutuhkan waktu kurang lebih 2 tahun bagi GDPR untuk dapat memproteksi data penduduk EU secara efektif. Pada dasarnya, regulasi PDP di seluruh dunia mencakup pelindungan terhadap hak privasi data bagi warga negara dan memaksa para wali data (penyedia layanan, pengolah data, penyelenggara transaksi elektronik) untuk memberi tahu individu tentang data apa yang mereka miliki, kepada siapa data mereka bagikan, dan mengapa, serta mendapatkan persetujuan (consent) dari pemilik data (warga negara).
Dalam konteks Indonesia, masih ada keraguan atas kemandirian badan pengawas pelanggaran data pribadi dan hubungannya terhadap lembaga pemerintah seperti yang tertuang pada UU PDP. Hal lain yang juga dikritik adalah ketidakpastian tentang ‘apa yang merupakan kejahatan’. Ambiguitas seperti itu berisiko overlap dengan wewenang instansi penegak hukum yang lain, sebagaimana terlihat dalam penggunaan Undang-Undang Informasi dan Transaksi Elektronik (UU ITE) sebagai instrumen untuk membungkam kritik di bawah ketentuan pidana pencemaran nama baik. UU PDP masih memerlukan serangkaian peraturan pendukung agar efektif, sehingga tidak dapat dengan sendirinya memperbaiki kelemahan keamanan siber Indonesia. Lahirnya UU PDP merupakan milestone penting dalam mewujudkan kedaulatan siber Indonesia, namun masih ada milestone lainnya yang harus dilewati.
Masalah keamanan siber di Indonesia sangat kompleks dan dapat dikaitkan dengan sejumlah faktor, diantaranya kurangnya kemauan politik, persaingan antar lembaga, dan budaya politik nasional. Variabel-variabel ini menghambat kemajuan dalam hal landasan strategis, hukum, dan kebijakan keamanan siber Indonesia. Lebih jauh, faktor-faktor ini juga mengikis profesionalisme birokrasi. Didirikan pada tahun 2017 dengan ‘hanya’ berdasarkan Peraturan Presiden, visi BSSN (Badan Siber dan Sandi Negara) adalah menjadi organisasi profesional yang dihormati secara internasional yang memiliki keahlian teknis yang kuat. Namun, ketika dibandingkan dengan Pedoman International Telecommunication Union (ITU) untuk Mengembangkan Strategi Keamanan Siber Nasional, Indonesia hanya mencapai sebagian prinsip ‘Praktik Baik Keamanan Siber’.
Pentingnya strategi keamanan siber nasional telah dimasukkan dalam Peraturan Pemerintah tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PP PSTE). Namun tiga tahun kemudian, strategi ini—yang memberikan panduan untuk perumusan dan implementasi kebijakan keamanan siber— masih tetap dalam bentuk draf. Sementara itu, RUU Keamanan dan Ketahanan Siber yang menyeluruh, yang akan mengodifikasi semua aspek ketahanan siber, dimasukkan dalam program legislatif Dewan Perwakilan Rakyat (DPR) tahun 2020, tetapi tidak pernah terwujud. Gagalnya inisiatif RUU Keamanan dan Ketahanan Siber sebagian disebabkan oleh reaksi negatif dari komunitas bisnis dan kekhawatiran dari masyarakat sipil tentang beberapa ketentuan terkait privasi warga negara. Masa lalu otoriter Indonesia membuat undang-undang yang memprioritaskan keamanan nasional sangat diperdebatkan—terutama kekhawatiran mengenai penyalahgunaan kekuasaan yang dapat meningkatkan kemampuan pihak berwenang untuk memantau dan menghalangi kebebasan berpendapat secara daring.
Ketika kita melihat best practice di banyak negara lain, salah satunya Amerika Serikat (AS), terdapat regulasi keamanan nasional yang dapat mengeskalasi wewenang aparat pemerintah demi kepentingan dan keamanan nasional, seperti Patriot Act dan Cloud Act. Di sisi lain, regulasi serupa dapat berpotensi menjadi alat intelijen modern di era internet, terlebih bila negara tersebut menjadi basis produsen teknologi yang dipakai oleh banyak orang. Sebagai contoh, ketika Maret 2018 regulasi Clarifying Lawful Overseas Use of Data (CLOUD) Act disahkan oleh parlemen Amerika Serikat, regulasi ini memberikan kewenangan bagi Amerika Serikat dan sekutunya untuk memperoleh data yang disimpan oleh perusahaan asal Amerika Serikat, dimanapun data itu disimpan di seluruh dunia. Hal inilah yang membuat banyak negara menyadari pentingnya keamanan siber dan ketahanan siber dalam rangka mewujudkan kedaulatan data nasional—baca “Inilah mengapa Kota Stockholm menolak Microsoft 365”, “Kementerian Perancis dilarang menggunakan Office 365”, dan “Pejabat tinggi Inggris mengundurkan diri karena kirim dokumen negara pakai Gmail”. Indonesia sudah sepatutnya membangun kesadaran situasional terhadap lanskap siber global dan mengantisipasinya dalam suatu tata kelola keamanan siber yang strategis dan antisipatif, bukan reaktif.
Menyongsong Kedaulatan Data Indonesia
Pada tahun 2045, Indonesia akan mendapatkan bonus demografi yaitu jumlah penduduk Indonesia 70%-nya dalam usia produktif (15-64 tahun), seringkali disebut Indonesia Emas 2045. Namun melihat dari akselerasi teknologi dan transformasi digital saat ini, kita tidak bisa menunggu lebih lama lagi untuk mengamankan ruang siber. Ruang siber yang kondusif dibutuhkan untuk mengoptimalkan Indonesia Emas. Seperti instruksi Presiden Joko Widodo pada pencanangan pelaksanaan sensus penduduk tahun 2020, “Data adalah jenis kekayaan baru. Saat ini data adalah new oil, bahkan lebih berharga dari minyak. Data yang valid menjadi salah satu kunci pembangunan,” pentingnya menjaga data ‘nampaknya’ sudah menjadi kesadaran eksekutif, tinggal bagaimana bersinergi dengan legislatif dan menerjemahkannya dalam infrastruktur keamanan nasional secara efektif. Saat ini, di era layanan internet gratis dan hegemoni silicon valley, siapa yang bisa menjamin data pengguna tidak diakses oleh penyedia layanan. Kunci utama ketahanan siber dalam konteks Geopolitik adalah kemandirian atau kedaulatan data. Rusia memberi contoh konkrit tentang kemandirian yang mewujudkan kedaulatan data di ranah siber. Jauh sebelum memutuskan perang dengan Ukraina, Rusia telah menyiapkan kemandirian siber-nya dari ketergantungan terhadap negara lain. Hal ini meningkatkan ketahanan siber infrastruktur vital Rusia dari serangan siber yang berdampak fatal. Sedangkan di Indonesia, transformasi digital 4.0 kita lihat semakin melemahkan ketahanan siber karena semakin bergantung pada layanan cloud asing yang bagaikan lumpur hisap menjadikan kita semakin tidak berdaulat. Pertanyaannya, apakah Indonesia memiliki kapabilitas untuk mandiri? Jawabannya adalah dua kata, Palapa dan Helium. Palapa merupakan aplikasi perpesanan buatan Indonesia dan sepenuhnya di-hosting di Indonesia. Aplikasi chatting tersebut diluncurkan pada September 2020 lalu dengan fokus pada informasi, sistem, dan keamanan teknologi. Sedangkan Helium merupakan perangkat keamanan siber yang dikembangkan oleh anak negeri untuk memberikan solusi bagi individu dan organisasi agar dapat melakukan penilaian kerentanan siber dari mana saja, kapan saja. Talenta-talenta keamanan siber Indonesia ini perlu dikenali dan dikelola untuk dapat dioptimalkan demi kepentingan nasional.
Masalah tata kelola keamanan siber Indonesia berakar pada budaya politik negara. Bjorka membuka mata banyak orang tentang kurangnya kompetensi eksekutif ketika Bjorka menulis, ‘Pemimpin tertinggi dalam teknologi harus ditugaskan kepada seseorang yang mengerti, bukan politisi dan bukan seseorang dari angkatan bersenjata yang tidak memiliki kompetensi’. Kritik Bjorka mencerminkan kekecewaan terhadap penunjukan eksekutif di instansi-instansi yang mengelola keamanan siber. Beberapa pakar bahkan memandang penunjukan eksekutif ini sebagai transaksi politik yang merugikan masyarakat dan hanya sebatas peluang promosi untuk pensiunan perwira militer—yang terakhir ini menunjukkan masalah lain yang lebih luas dalam regenerasi Tentara Nasional Indonesia (TNI). Kasus Bjorka membuka tabir sikap apatis para pelaku usaha internet yang memang tidak berharap banyak dari pemerintah terhadap dasar-dasar keamanan internet. Selain itu, koherensi terhadap kerangka legislatif, peraturan, dan kebijakan tetap menjadi kelemahan utama terkait pengelolaan keamanan siber di Indonesia. Hal ini secara langsung membatasi kapasitas nasional untuk memanfaatkan peluang dan secara efektif menghadapi ancaman siber. Faktanya, meskipun Indonesia telah mendirikan sejumlah entitas keamanan siber, termasuk BSSN, Pusat Pertahanan Siber (Pushansiber) Kementerian Pertahanan RI, Satuan Siber TNI (Satsiber TNI), dan Pusat Sandi dan Siber Angkatan Darat (Pusansiad), mereka didirikan tanpa terlebih dahulu memiliki seperangkat kebijakan strategis di tingkat nasional yang mengatur hukum siber atau mendefinisikan strategi siber nasional. Koherensi strategi dan kebijakan keamanan siber penting tidak hanya untuk menjaga keamanan siber Indonesia, tetapi juga ketahanan siber untuk kedaulatan data nasional. Belajar dari insiden serangan Bjorka, yang hanya merupakan puncak gunung es kebocoran data di Indonesia, Pemerintah sudah sepantasnya menjadikan tata kelola keamanan siber sebagai prioritas nasional. Selain dasar-dasar strategis dan legislatif, juga termasuk pendanaan yang tepat, mekanisme koordinasi efektif antar entitas, penunjukan eksekutif yang kompeten secara teknis, dan program stimulus pengembangan sumber daya manusia keamanan siber Indonesia. Masih menjadi harapan banyak masyarakat bahwa penghinaan dari Bjorka akan berdampak positif pada perbaikan tata kelola keamanan siber Indonesia, apalagi untuk menyongsong Indonesia Emas 2045. Namun untuk saat ini, rumah yang sudah dibangun tersebut tidak hanya kosong, namun masih memerlukan banyak perbaikan.
***
Keterangan:
Artikel ini merupakan aset pengetahuan organisasi dengan nomor registrasi DOCTRINE UK No. 2023-02-8-Articles. Doctrine UK tidak bertanggung jawab atas pandangan yang diungkapkan dalam tulisan dan pandangan tersebut menjadi tanggung jawab penulis sepenuhnya.