Urgensi RUU KKS di tengah ganasnya serangan siber
Tak lama setelah mengumumkan bakal menjalankan pemeliharaan sistem via akun Twitter resminya pada 22 Mei lalu, PT BFI Finance Indonesia diserang peretas. Serangan siber itu sempat membuat PT BSI Finance Indonesia terpaksa mematikan sejumlah sistem layanan untuk para nasabah.
Meski tak terindikasi menyebabkan kebocoran data, humas PT BFI Finance Indonesia Dian Fahmi mengatakan serangan siber tersebut mendorong perusahaan berbenah. Anggaran digelontorkan untuk mengamankan sistem digital perusahaan dari serangan serupa di masa depan.
"Nanti (rincian anggaran untuk perbaikan sistemnya) akan kami laporkan di laporan keuangan kami yang publish minggu depan," ucap Dian kepada Alinea.id, Senin (21/7).
Dengan penguatan sistem pertahanan digital, Dian optimistis PT BSI Finance bakal kebal terhadap serangan siber. Di lain sisi, ia juga berharap pemerintah turut memperketat pengawasan di ruang siber nasional.
"Saat ini, saya rasa kami semua dituntut untuk lebih baik dalam meningkatkan kewaspadaan, baik secara organisasi maupun individu," ucap Dian.
Sebelum PT BSI Finance Indonesia, serangan siber juga sempat dialami PT Bank Syariah Indonesia (BSI) Tbk, awal Mei lalu. Selama berhari-hari, mobile banking BSI dan layanan nasabah lainnya tak bisa diakses karena gangguan sistem.
Kelompok peretas LockBit mengaku menjadi dalang serangan siber tersebut. LockBit mengumumkan mencuri 9 pangkalan data yang berisi 15 juta informasi nasabah, semisal nomor telepon, alamat, nama, informasi dokumen, jumlah rekening, nomor kartu, dan transaksi.
Selain itu, LockBit juga mengaku menggondol sejumlah dokumen keuangan, dokumen hukum, perjanjian kerahasiaan atau non disclosure agreement (NDA), serta kata sandi semua layanan internal dan eksternal yang digunakan di BSI.
Sempat "bungkam", BSI akhirnya mengakui adanya serangan siber terhadap perseroan. Dalam surat resmi kepada PT Bursa Efek Indonesia (BEI) bertanggal 25 Mei 2023, Senior Vice President BSI Gunawan Arief Hartoyo membenarkan sistem layanan BSI diserang peretas.
"Setelah dilakukan penelusuran atas gangguan tersebut, perseroan menemukan indikasinya adanya serangan siber sehingga perseroan melakukan berbagai langkah penanganan sesuai protokol penanganan insiden siber yang berlaku," tulis Gunawan.
Serangan terhadap BSI dan PT BFI Finance Indonesia hanya segelintir kasus serangan siber yang mengemuka di ruang publik. Dalam survei yang dirilis Mei lalu, perusahaan keamanan siber Fortinet menemukan lebih dari 66% organisasi di Indonesia melaporkan penerobosan keamanan siber dalam satu tahun terakhir.
Lebih dari satu juta serangan siber terjadi setiap harinya menyasar individu, lembaga, dan perusahaan. Khusus untuk sektor keuangan, Fortinet mencatat serangan bertipe ransomware, seperti yang dialami BSI, merupakan serangan siber paling marak.
Laporan yang dirilis AwanPintar.id pada semester pertama 2023 juga merekam hal yang serupa. Menurut lembaga itu, Indonesia merupakan salah satu negara yang alamat protokol internetnya (IP adress) paling banyak digunakan peretas. Indonesia berada di peringkat ke-11, sedangkan tiga teratas ialah Brasil, AS, dan Iran.
Ibu kota Jakarta menjadi basis serangan terbanyak dengan 11,2 juta serangan selama paruh pertama 2023. Peringkat kedua diduduki Depok dengan 2,4 juta serangan. Tangerang berada di posisi ketiga dengan total 1,2 juta serangan, diekor Bogor dengan 911 ribu serangan dan Bekasi dengan 843 ribu serangan.
Urgensi RUU KKS
Peneliti Lembaga Studi & Advokasi Masyarakat (ELSAM) Parasurama Pamungkas menilai pemerintah belum serius mengamankan ruang siber nasional. Salah satu indikator gamblang ialah tersendatnya pembahasan Rancangan Undang-Undang Keamanan dan Ketahanan Siber (RUU KKS) di DPR.
Mengemuka sejak 2019, menurut Parasurama, draf RUU KKS masih berupa naskah akademik. Hingga kini, DPR bersama pemerintah belum terlihat punya niatan untuk membahasnya kembali. Selain itu, draf RUU KKS yang beredar pun masih menyisakan beragam catatan.
"Terutama dari segi pendekatan, keamanan siber masih terkesan state-centric dan belum mencerminkan pendekatan yang berpusat pada manusia. RUU KKS mengatur penyelenggara keamanan dan ketahanan siber terbatas pada lembaga negara, pemerintah pusat, dan pemerintah daerah. Semuanya adalah lembaga pemerintah," ucap Parasurama kepada Alinea.id.
Konsep keamanan siber yang tertuang dalam naskah akademik, menurut Parasurama, juga belum mencakup tiga elemen kunci keamanan siber, yakni mengenai kerahasiaan, integritas, dan ketersediaan. Ketiga elemen itu perlu diatur rinci guna menjamin privasi publik dan menghindari penyalahgunaan oleh otoritas negara.
"Kerahasiaan itu bagaimana sistem menangkal pengungkapan informasi yang tidak sah dan sering dikaitkan dengan pelanggaran data karena penyerang berusaha mendapatkan informasi tanpa otorisasi yang tepat. Integritas itu soal jaminan bahwa tidak ada perubahan terhadap data yang ada dalam lalu lintas pemrosesan. Ketersediaan mengacu pada jaminan bahwa data bisa digunakan tanpa gangguan dan bisa dilakukan kapan pun," jelas dia.
Persoalan lainnya ialah terkait rumusan mengenai penapisan konten dan aplikasi elektronik yang dinilai berbahaya oleh negara. Menurut Parasurama, poin terkait itu di draf RUU memuat kewenangan Badan Siber dan Sandi Negara (BSSN) memantau sekaligus menyaring konten-konten digital yang dianggap berbahaya.
Penapisan konten, kata dia, potensial ditafsirkan mutlak oleh lembaga negara. Penafsiran sepihak itu bisa memicu sikap otoritarian negara terhadap konten-konten yang diproduksi publik dan beredar ruang siber nasional.
Regulasi serupa juga tertuang dalam Peraturan Pemerintah Nomor 71 tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik dan Peraturan Menteri Komunikasi dan Informatika Nomor 5 Tahun 2020 tentang Penyelenggara Sistem Elektronik Lingkup Privat.
"Di dalamnya ada ketentuan mengenai penapisan konten yang dianggap meresahkan masyarakat. Kecenderungan ketentuan ini dipakai serampangan karena tidak ada batasan soal apakah yang dimaksud berbahaya," ucap Parasurama.
Lebih jauh, Parasurama berharap RUU tersebut nantinya dibahas dengan melibatkan partisipasi publik. Selain sektor perbankan yang karakter bisnisnya butuh kepastian keamanan, lembaga swadaya masyarakat (LSM) dan aktor-aktor lainnya juga perlu diajak berdiskusi untuk memastikan RUU tersebut tidak melanggar hak privasi masyarakat.
"Pendekatannya multi pemangku kepentingan sehingga, baik sektor privat maupun masyarakat sipil, bisa masuk di sana. Penyelenggaraan keamanan siber nantinya akan juga bisa memanfaatkan kerja sama baik dari segi anggaran maupun operasional dengan sektor privat agar pendekatannya bergeser dari state-centric," jelas dia.
Anggota Komisi I DPR RI Bobby Adhityo Rizaldi membenarkan DPR ingin memperkuat kewenangan BSSN lewat RUU KKS. Selain yang terkait keamanan negara, RUU KKS juga bakal mengatur perlindungan serangan siber di ranah privat.
"Konsepnya pengamanan siber di lembaga negara harus di koordinir BSSN. Kalau serangan siber ke ranah privat, nanti juga diatur siapa yang pegang kewenangannya dan instrumen mana untuk mengejar pelaku di luar negeri karena sifat hacking ini kan melintasi batas negara," ucap Bobby kepada Alinea.id, Selasa (18/7).
Terpisah, Wakil Ketua Komisi I DPR RI Abdul Kharis Almasyhari mengatakan belum ada tindak lanjut terhadap draf RUU yang diinisiasi DPR itu. "Di Komisi 1 DPR RI, belom ada agenda pembahasan RUU KKS," ucap Abdul kepada Alinea.id.
Kesampingkan ego sektoral
Ketua Indonesia Cyber Security Forum (ICSF) Ardi Sutedja menganggap wajar jika RUU KKS mangkrak di DPR. Menurut dia, ada perang dingin antara sejumlah lembaga intelijen negara, semisal Badan Intelijen Strategis (BAIS) dan Badan Intelijen Negara (BIN) dengan BSSN di belakang layar.
"Kegagalan (pembahasan) di 2019 karena BIN dan BAIS juga mencurigai bahwa RUU KKS akan mengebiri Undang-Undang (Nomor 17 Tahun 2011 tentang) Intelijen Negara dan menciptakan super body seperti NSA (National Security Agency) di AS," ucap Ardi kepada Alinea.id, Senin (17/7).
Pada 2019, RUU KKS sempat berpolemik lantaran diisukan dibahas secara kilat oleh DPR dan bakal disahkan tanpa rapat dengar pendapat (RDP) dengan para pemangku kepentingan. Wacana pengesahan RUU KKS bahkan sempat memicu peluncuran petisi penolakan dari Internet Development Institute (ID Institute) di Change.org.
Menurut Ardi, seharusnya lembaga-lembaga intelijen mengesampingkan ego sektoral supaya RUU KKS bisa kembali dibahas. Pasalnya, kasus-kasus peretasan dan serangan siber kini kian marak dan telah merugikan sektor privat dan lembaga-lembaga negara.
Lebih jauh, Ardi juga sepakat pembahasan RUU KKS harus melibatkan semua pemangku kepentingan, termasuk sektor privat dan masyarakat umum. Ia khawatir RUU KKS bakal jadi bom waktu yang memicu konflik antarlembaga dan masyarakat.
"Bom waktu karena bila tidak melibatkan semua pemangku kepentingan maka RUU justru akan menjadi risiko dan kerentanan baru di dalam ruang siber nasional yang sudah menguasai hajat hidup orang banyak dari sudut ipoleksosbudhankam (ideologi, politik, ekonomi, sosial, budaya, pertahanan, dan keamanan),"ucap Ardi.
Pelibatan publik, lanjut Ardi, juga penting untuk memastikan RUU KKS tak didesain berpihak kepada kepentingan bisnis. Selain itu, muatan RUU KKS juga harus dipastikan tidak melanggar kebebasan berpendapat dan privasi.
"RUU KKS ini terindikasi akan membatasi kebebasan berpendapat dan mendapatkan akses terhadap informasi," kata Ardi.