Membongkar Borok RUU Keamanan dan Ketahanan Siber
Warganet gaduh. RUU Keamanan dan Ketahanan Siber mendadak hadir dan dikejar untuk diundangkan di akhir September 2019. Kegaduhan ini sempat direkam oleh Drone Emprit saat mayoritas warganet bereaksi negatif menolak RUU KKS.
Hal yang wajar karena sosialisasi yang sangat kurang, sementara waktu pembahasan sangat terbatas. Bayangkan saja, komunitas keamanan siber baru mendapat draft RUU di pertengahan Juli 2019 tanpa pernah diajak Baleg DPR untuk membahasnya.
Bandingkan dengan RUU Perlindungan Data Pribadi, sudah 5 tahun dibahas sampai sekarang belum selesai. Padahal RUU ini sangat penting di tengah banyaknya kasus kejahatan data pribadi warga. Isu kejahatan data pribadi bahkan menjadi topik pidato kenagaraan Presiden Jokowi pada HUT RI ke-74 yang menyatakan bahwa hak warga negara atas data pribadi harus dilindungi.
BSSN sebagai aktor utama dalam RUU tersebut tidak tinggal diam. Berbagai kegiatan dan rapat dilaksanakan untuk menjelaskan ke masyarakat dan industri mengenai RUU. Tercatat beberapa pertemuan dilaksanakan dan diikuti seperti diskusi publik di Perpusnas, Trijaya, Konferensi CIIP Bali, dan FGD FT UI.
Namun sayangnya komunikasi yang dibangun lebih ke arah urgensi RUU belum masuk ke detail materi substantifnya. Apakah RUU KKS ini penting untuk diundangkan? Sangat penting. Ini karena semakin dalamnya interaksi warga dan industri ke dalam dunia siber, sehingga ancaman serangan siber sangatlah nyata.
Argumentasi tersebut tidak bisa dibantah karena Indonesia memang ketinggalan di sisi tata kelola keamanan siber dibandingkan negara tetangga. Namun apakah hal ini cukup menjustifikasi ketergesaan akan penetapan RUU KKS?
Mari kita lihat telaah substansi materi per pasalnya di sini. RUU baru seharusnya memberikan jawaban akan pertanyaan-pertanyaan dasar: bagaimana RUU ini mengisi kekosongan hukum, mengatur peran seluruh pemangku kepentingan yang terkait serta peran serta masyarakat di dalamnya. Definisi dan Ruang Lingkup Untuk menjawab pertanyaan pertama, haruslah jelas posisi RUU ini terhadap sistem hukum yang sudah ada.
RUU KKS ini seharusnya dikembangkan dalam satu sistem hukum informasi dan komunikasi, yang terdiri dari beberapa UU dan aturan pelaksana yang mempunyai keterkaitan dan saling melengkapi. UU yang sudah ada dalam sistem hukum ini antara lain: UU Informasi dan Transaksi Elektronik, UU Telekomunikasi, dan UU Keterbukaan Informasi Publik serta aturan pelaksanaannya.
Artinya, dalam definisi dan ruang lingkup seharusnya RUU KKS dibangun dalam satu koridor definisi tata kelola tersebut sehingga menjelaskan keterkaitan dan posisinya. Sayangnya, dari Pasal 1 RUU KKS saja kita dapat membaca kurangnya hubungan dan harmonisasi definisi dengan UU yang telah ada.
Definisi-definisi di dalam RUU KKS seharusnya dibangun dengan menggunakan istilah Sistem Elektronik (SE), Jaringan SE, Penyelenggara SE, Informasi Elektronik, dan Perangkat Telekomunikasi yang telah ada. Hal tersebut tidak dilakukan, bahkan definisi Sertifikat Elektronik dan akreditasi pun, berbeda dengan UU lainnya. Dari sisi ruang lingkup pengamanan siber juga tidak jelas.
Definisi keamanan siber menurut ISO 27032 adalah pengamanan aspek-aspek kerahasiaan, keutuhan, ketersediaan informasi di ranah internet. Hal ini diatur di dalam UU ITE dan PP PSTE. Yang belum? Pengamanan spesifik kepada infrastruktur informasi kritis terhadap ancaman siber. Bagaimana dengan istilah Ketahanan Siber?
Apabila kita telaah menggunakan sistem eclis.id, definisi ketahanan nasional hanya ditemui pada bagian penjelasan UU Hubungan Luar Negeri dan juga terdapat definisi ketahanan pangan dalam UU Pangan. Intinya adalah perwujudan daya tangkal dan daya tahan demi terjaminnya kelangsungan hidup.
Sungguh dua istilah yang berbeda dan menjadikan istilah Keamanan dan Ketahanan sangat luas ruang lingkupnya. Tidak adanya hubungan definisi dengan UU lain yang terkait, membuat semakin kaburnya substansi materi dari RUU ini. Peran Pemangku Kepentingan Ketidakjelasan definisi dan ruang lingkup membuat telaah pasal-pasal lain di bawahnya semakin membingungkan.
Apa hubungan istilah infrastruktur siber dengan sistem dan jaringan elektronik, pengamanan siber dengan sistem pengamanan dalam penjelasan UU ITE, penyelenggara KKS dengan penyelenggara SE? Bagaimana posisi masyarakat dan pemangku kepentingan lainnya di sana? Apa perbedaan perangkat siber dengan perangkat telekomunikasi yang di atur dalam UU Telekomunikasi? Kenapa akademisi dan perguruan tinggi tidak disebutkan keterlibatannya? Selain itu, banyak pertanyaan mengemuka mengenai begitu besarnya peran BSSN di sini.
Apabila sebelumnya di Perpres 53/2017 BSSN didesain sebagai koordinator, maka dalam RUU KKS ini peran sentralnya sangat terasa sampai mengambil kewenangan kementerian dan lembaga lainnya. Bukan masalah perebutan wewenang di sini, namun tata kelola yang sudah ada akan berubah seketika.
Masyarakat dan industri yang akan menanggung akibatnya. Misalnya, tata kelola Sistem Nasional Sertifikasi Profesi, ditetapkan melalui UU, PP, Perpres, dan Permenaker yang mengatur harmonisasi Standardisasi Kompetensi Nasional, Khusus, dan Internasional. Kementerian atau lembaga teknis yang menyiapkan materi yang kemudian ditetapkan oleh Menteri Tenaga Kerja sebagai standar nasional.
Standar ini akan digunakan LSP di bawah pengawasan BNSP dan diakreditasi KAN untuk melakukan sertifikasi kompetensi SDM. Di sisi lain, standardisasi kompetensi ASN diatur oleh KemenpanRB dan BKN, proses pendidikan mengikuti aturan UU Sisdiknas, serta izin dan pelaksanaan penelitian mengikuti aturan UU Sistem Nasional Ilmu Pengetahuan.
Namun ketika melihat RUU KKS, BSSN melaksanakan semua kewenangan di bidang KKS: akreditasi organisasi profesional, sertifikasi perangkat dan personel, penentuan standar, serta perizinan untuk pendidikan, pelatihan, dan penelitian. Contoh lain adalah sertifikat digital dan tanda tangan elektronik.
Industri sudah bergerak melakukan investasi dan saat ini dalam proses sertifikasi dan berinduk. PP dan Permenkominfo telah ada sebagai payung hukum. Semuanya akan mentah kembali apabila RUU KKS disahkan tanpa perbaikan.
Peran masyarakat dan industri tersebar di banyak pasal yang mayoritas berisi perijinan dan sanksi.
Coba lihat pasal 6 yang tidak menyebutkan masyarakat sebagai penyelenggara KKS atau pasal 8 yang membatasi peran masyarakat hanya pada perlindungan sistem elektronik internal dan penyediaan jasa.
Bagaimana posisi Telkom, APJII, dan ISP lainnya yang saat ini secara otomatis melindungi jaringan sistem elektronik pelanggannya? Bagaimana industri produk keamanan siber dalam negeri dapat tumbuh jika dibatasi? Agak bertolak belakang juga karena di pasal 66 disebutkan minimal persentase TKDN 50 persen, besaran yang seharusnya dinyatakan dalam aturan pelaksana demi fleksibilitas aturan.
Selain itu juga, RUU KKS juga hanya menyebutkan SOC (Security Operating Center) tanpa menyebutkan CERT (Computer Emergency Response Team) dan ISAC (Information Sharing and Analysis Center). Ketiganya merupakan kolaborasi para pemangku kepentingan yang menjadi praktik terbaik di dunia internasional dengan tugas dan kapabilitas yang berbeda-beda.
Sebagai Chief Information Security Officer (CISO) yang tersertifikasi, penulis tidak menafikan betapa signifikan RUU KKS. Namun lebih baik RUU ini sedikit terlambat daripada menyimpan risiko di kemudian hari.
Mengingat sempitnya waktu, begitu banyak pemangku kepentingan yang belum substansi materi RUU dan tingginya potensi konflik, kami memohon kepada pemerintah dan DPR untuk menunda pengesahan RUU KKS.
Oleh : Satriyo Wibowo
Penulis merupakan sekretaris Indonesia Cyber Security Forum