Mempertanyakan Wewenang CISO Negara: BSSN, Kominfo, atau Polri?

img

Insiden siber atau peretasan belum menjadi isu atau perhatian utama Indonesia.

Topik keamanan siber kalah telak dengan riuh politik dan ekonomi atau sentimen agama yang lebih menguasai perbincangan di dunia nyata dan maya.

Padahal, sebuah insiden siber bisa mengguncang semuanya. Perpecahan politik hingga agama juga terjadi bisa bermula dari dunia siber.

Dalam hal-hal seperti itu, publik di Indonesia masih gelap memandang: siapa yang sebenarnya bertugas mengamankan dunia siber? Lembaga mana yang menjadi koordinator utama memimpin operasi penelusuran atau penindakan jika terjadi insiden siber.

Ambil contoh, kebocoran data Tokopedia yang ramai pada tahun lalu, siapa yang berwenang menindaklanjutinya? Kementerian Kominfo atau Badan Siber dan Sandi Negara atau Kepolisian?

Atau, andaikata ada peretasan rantai pasokan (supply chain attack) dari keretanan perangkat lunak, contoh baru-baru ini, Orion SolarWinds dan Microsoft Exchange Server yang dipakai tidak hanya oleh lembaga publik, tapi juga lembaga privat, siapa yang berwenang mengambil langkah penindakan?

Guru Besar Teknik Komputer Universitas Indonesia (UI), Profesor Kalamullah Ramli sampai sekarang masih mempertanyakan posisi antara Badan Siber dan Sandi Negara (BSSN) dan Kementerian Komunikasi dan Informatika (Kominfo) dalam hal jika terjadi insiden siber.

Ia menerangkan di sebuah perusahaan TI selalu ada pembagian antara chief information officer (CIO) dan chief information security officer (CISO). Jika meminjam istilah tersebut, di level negara, lembaga mana di Indonesia memegang jabatan itu?

"Sampai sekarang saya saja bingung itu siapa yang berwenang, itu menjadi masalah siapa sebenarnya. Masalah BSSN atau masalah Kominfo. Jadi perlu tegas juga posisinya, siapa CIO negara, siapa CISO negara," ujarnya saat berbincang dengan Cyberthreat.id, Rabu (14 April 2021).

Jika melihat dari wewenangnya sekarang, Kalamullah memperkirakan BSSN sebagai CISO negara, tetapi dengan posisi tidak sekuat Kominfo dalam hal menindak para perusahaan yang melanggar atau lalai dalam keamanan siber.

"Jujur saya melihatnya BSSN ini masih sedikit lemah posisinya, karena terhadap para penyelenggara internet, misalnya, BSSN tidak mengeluarkan izin. Izinnya ada di Kominfo," tuturnya.

Karena itu, ia menilai BSSN masih lemah untuk menindaklanjuti jika ternyata perusahaan atau instansi yang terkena peretasan terbukti lalai dalam hal melindungi sisi sibernya.

Kalamullah menceritakan saat dirinya menjabat sebagai Dirjen Pos dan Penyelenggaraan Informatika (PPI), Kementerian Kominfo mengirim penyidiknya untuk menyelidiki dugaan pelanggaran siber.

Jika ditemukan pelanggaran, misalnya, di perusahaan telekomunikasi atau penyedia jasa internet (ISP), Kemenkominfo memiliki wewenang mengeluarkan surat peringatan. Surat peringatan ini levelnya antara 1 hingga 3 dan ada wewenang untuk mencabut izin perusahaan itu.

"Registrasi [perusahaan] di Kominfo, tetapi cybersecurity-nya ada di BSSN. Kalau BSSN ingin melakukan penertiban, penindakan, saya kira tidak bisa memberikan efek jera," ujarnya.

Oleh karenanya, menurut Kalamullah, BSSN lemah karena tidak ada dasar untuk menindaklanjuti secara hukum para pelanggar ini seperti halnya Kominfo.

"Sifatnya jadinya sukarela. Karena perbuatan apa yang bisa memaksa orang untuk taat pada peraturan BSSN, misalnya?" tuturnya.

Dengan begitu, kata dia, jika sebuah perusahaan atau instansi lalai, ya tidak dihukum dan kemungkinan akan lalai terus.

Walau BSSN memberikan rekomendasi kepada perusahaan yang terkena peretasan, semuanya kembali pada keputusan perusahaan: apakah akan melakukan sesuai yang disarankan BSSN atau tidak. “Karena memang tidak ada pemaksaan yang bisa dilakukan [BSSN]," katanya.

Multi-stakeholder

Dihubungi terpisah, Senin (19 April), Ketua Indonesia CyberSecurity Forum (ICSF) Ardi Sutedja sependapat dengan pandangan Kalamullah. BSSN memang tidak bisa menurunkan penyidiknya untuk menginvestigasi hingga melakukan penindakan hukum. "Bila terjadi ada pelanggaran, maka kewenangan ada di Kominfo dan Polri," ujarnya.

Meski begitu, Ardi menilai siapa yang "maju paling depan" jika ada insiden itu bukanlah persoalan satu institusi saja, melainkan keamanan dan ketahanan siber itu “tanggung jawab kolektif baik pemerintah maupun swasta yang tergabung dalam multi-stakeholder komunitas siber”.

Ardi menuturkan, untuk saat ini memang Kominfo yang dapat menindak perusahaan internet atau penyelenggara sistem elektronik (PSE) yang sekiranya melanggar.

Di sisi lain, sebetulnya, kata dia, banyak perusahaan di Indonesia yang mengalami kebocoran data, korban ransomware dan lain-lain yang tidak melaporkan diri ke aparat berwenang.

Menurutnya, masih banyak lembaga/perusahaan yang tidak sadar datanya dicuri juga enggan melaporkan diri dengan alasan malu dan pertimbangan reputasi sehingga memilih untuk menyelesaikan secara tertutup.

"Kebanyakan dalam pola pikir mereka kebocoran data itu identik dengan adanya benda fisik yang hilang/dicuri, padahal di siber yang terjadi adalah penyalinan data elektronik," tuturnya.

Sementara  itu, Kepala Lembaga riset siber CISSReC, Pratama Persadha mengatakan BSSN belum punya kewenangan sebagai penindak kasus kejahatan siber dengan aturan yang ada saat ini. BSSN, katanya, mengembangkan pengamanan siber bersama Kominfo, Polri, TNI, BIN, dan Kejaksaan.

"BSSN mempunyai tugas mengonsolidasikan dan mengembangkan pengamanan siber bersama semua unsur terkait," ujar dia.

Sebatas saran

Pratama berpendapat segala bentuk kejahatan siber memang menjadi wewenang atau ditindaklanjuti oleh Polri, sedangkan BSSN sebagai pemberi saran penanganannya atau mitigasinya.

Namun, menurut dia, biasanya vendor juga diminta turun tangan sekaligus sebagai bahan bagi perbaikan produk mereka jika itu terkait supply chain attack, misalnya.

Lalu, di level negara, siapa yang pantas menjabat CIO dan CISO?

Pratama menilai baik BSSN, Kominfo maupun Polri tidak bisa tugasnya disederhanakan: mana sebagai CISO, mana sebagai CIO. “Karena pengaturannya lebih kompleks dan tanggung jawabnya lebih kompleks juga, berbeda dengan perusahaan,” Pratama menjelaskan.

Lebih lanjut, Pratama justru menyoroti pentingnya Undang-Undang Pelindungan Data Pribadi (UU PDP) dalam kasus peretasan yang sekiranya menyebabkan kebocoran data.

"Bila sudah ada nanti ada pemeriksaan oleh komisi perlindungan data pribadi, apakah ada kelalaian dalam melakukan maintenance atau kelalaian dari pihak vendor yang membuat adanya peretasan berhasil dilakukan oleh pihak luar. Namun, semua berdasarkan aturan turunan teknis pengecekan sistem PSTE dari UU PDP," ujarnya.

Dukungan lain, menurut Pratama, adalah UU Keamanan Ketahanan Siber (KKS) yang diperlukan untuk memperjelas posisi BSSN.