Pembentukan Badan Siber dan Sandi Negara (BSSN) di Indonesia adalah sebuah keputusan strategis dan berani. Namun, dari sisi administratif, pembentukan BSSN berpotensi menggemukkan organisasi lembaga negara yang saat ini sebetulnya dalam fase perampingan untuk efisiensi dan efektivitas birokrasi.
Dari sisi perencanaan, pembentukan badan ini terkesan terburu-buru karena tujuan instansi ini belum jelas, dan strukturnya yang berpotensi tumpang tindih dengan organisasi lainnya. Tulisan ini menguraikan masalah yang menyelimuti lembaga baru tersebut.
Tata kelola keamanan siber di dunia
Setiap tahun, seluruh laporan keamanan siber baik dari perusahaan keamanan internet, lembaga akademis, asosiasi, maupun organisasi antarpemerintah (inter-governmental organisation) menyatakan serangan siber terus meningkat, baik intensitas serta frekeunsinya.
Serangan-serangan itu berasal tidak hanya dari individu-individu maupun organisasi seperti Anonymous, tapi juga dari negara atau istilahnya serangan yang disponsori negara. Misalnya, serangan StuxNet yang menyasar infrastruktur nuklir Iran, dan terbaru WannaCry yang ditengarai oleh Amerika Serikat dan Ingris disponsori oleh Korea Utara. Serangan-serangan siber ini selain berpotensi menganggu kegiatan strategis suatu negara, juga seringkali menjadi bagian “protes politik” atau hacktivism di dunia maya.
Begitu strategisnya siber ini, beberapa negara “memperluas” kepentingan negaranya selain mengamankan kedaulatan tanah, air, dan udara, juga menjadikan siber sebagai bagian “teritori” negara. Berbeda dengan kedaulatan konvensional negara yang memiliki batasan fisik, kedaulatan siber tidak memiliki batas yurisprudensi yang jelas, tapi harus diamankan untuk menjaga kegiatan strategis negara.
Tidak kurang 38 negara membuat organisasi baru untuk menangani kemananan di dunia siber dengan membentuk Badan Keamanan Siber (National Cyber Security Agency), yang nomenklatur, rumusan, dan tujuan yang berbeda, tergantung visi dan motif sebuah negara.
Sampai saat ini, terjadi kesalahpahaman konsep antara information security (keamanan informasi) dan cyber security (keamanan siber). Kebingungan konsep ini tidak hanya terjadi di Indonesia, tapi juga di dunia. Dua istilah ini seringkali dianggap sama, padahal sejatinya dua hal yang berbeda bentuk.
Berbeda dengan keamanan informasi, keamanan siber memiliki konsep yang lebih luas. Dari sisi pengamanan aset, keamanan informasi berada dalam lingkup menjaga kerahasiaan, integritas, dan ketersediaan informasi (confidentiality, integrity, dan availability), baik yang bersifat digital maupun non-digital. Termasuk di dalamnya catatan-catan kertas nota dinas rahasia, dokumen-dokumen kertas rahasia perusahaan, riwayat kesehatan, bahkan mungkin print out ATM. Pentingnya keamanan informasi dilihat dari nilai informasi tersebut.
Adapun keamanan siber tidak hanya mengamankan informasi yang bersifat digital, tapi juga mengamankan aset-aset siber seperti uang digital, infrastruktur kritis (seperti jaringan telekomunikasi, satelit, perbankan, dan listrik), dan keamanan negara.
Inisiatif yang strategis dan berani
Inisiastif pembentukan BSSN patut diapresiasi, mengingat skor Cyber Maturity bidang tata kelola siber untuk Indonesia pada 2016 diturunkan nilainya oleh The Australian Strategic Policy Institute (ASPI). Alasan ASPI menurunkan skor Indonesia adalah karena tidak adanya langkah nyata pemerintah Indonesia terkait tata kelola siber, yakni lembaga apa atau siapa yang menjadi pemegang komandonya.
Tahun berikutnya, peringkat tata kelola siber kembali naik, seiring dengan pembentukan BSSN. Tapi belum jelasnya fungsi koordinasi dan peta jalan tata kelola keamanan siber, juga menjadi masalah yang belum terselesaikan.
Di kawasan Asia Tenggara dan Pasifik, Indonesia dikelilingi oleh negara-negara yang sudah memiliki National Cyber Security Strategy (NCSS), roadmap dan strategi siber yang jelas. Malaysia, Singapura, Filipina, dan Australia sudah membuat strategi siber yang jelas.
Bahkan, Singapura awal Februari lalu telah mengajukan draf undang-undang terkait keamanan siber. Negara-negara tersebut menganggap dunia siber sama pentingnya dengan mengamankan wilayah udara, darat, dan laut.
Tata kelola keamanan siber di Indonesia
Tidak banyak sumber literatur yang menjelaskan asal muasal pembentukan BSSN ini. Beberapa sumber menyebutkan ide embrio BSSN berasal dari Desk Ketahanan dan Keamanan Informasi Cyber Nasional (Desk Cyber) bentukan Kementerian Politik Hukum dan Keamanan sejak Januari 2014 dan berakhir pada Desember 2016. Desk Cyber berisi banyak praktisi keamanan informasi dan fokus penanganan dan rekomendasi isu-isu cyber security di Indonesia.
Tarik ulur pembentukan BSSN dimulai sejak 2015, pada masa pemerintahan Presiden Susilo Bambang Yudhoyono. Pada 19 Mei 2017, Presiden Joko Widodo menandatangani Peraturan Presiden Nomor 53 tahun 2017 (“Perpres 53”) tentang Badan Siber dan Sandi Negara (BSSN) yang menjadi dasar hukum lahirnya badan baru ini.
Tujuh bulan kemudian, Perpres 53 direvisi lewat Peraturan Presiden Nomor 133 Tahun 2017 (“Perpres 133”) yang menempatkan koordinasi lembaga baru ini langsung di bawah presiden. Sebelumnya, koordinasinya di bawah Menteri Koordinator Politik, Hukum, dan Keamanan. Selama 7 bulan sejak disahkan melalui Perpres 53, lembaga ini tidak memiliki pemimpin.
Regulator dan koordinator versus fungsi teknis
Secara garis besar, badan keamanan siber di dunia berfungsi untuk menjadi representasi negara sebagai regulator di dunia siber dan meminimalkan tumpang-tindih fungsi organisasi.
Terdapat dua bentuk representasi negara dalam pendirian badan siber.
Pertama, Badan Keamanan Siber dibentuk untuk menjadi regulatory maker alias pembuat peraturan di dunia siber. Format ini dibuat oleh Australia, Austria Bangladesh, Republik Ceko, Estonia, Finlandia, Prancis, dan Jerman.
Kedua, Badan Keamanan Siber berfungsi teknis. Badan ini memiliki fungsi-fungsi teknis terkait pengamanan langsung dunia siber, dan ad-hoc di salah satu lini siber. Kanada memiliki Public Safety Canada yang memberikan sosialisasi dan edukasi tentang dunia siber, dan juga punya Canadian Cyber Incident Response Centre yang berfungsi mirip dengan Indonesia Security Incident Response Team on Internet and Infrastructure/Coordination Center (Id-SIRTII/CC) di Indonesia.
Contoh lainnya, Kolombia yang membentuk 3 Badan Keamanan Siber yaitu Comando Conjunto Cibernético (Joint Cyber Command), Centro Cibernético Policial (Center of Cyber Police), dan CoICERT yang memiliki fungsi di bidang militer, kepolisian dan tim responsif menghadapi serangan.
Dalam praktiknya kedua fungsi ini, pembuat peraturan dan fungsi teknis, lebih baik dipisah untuk mengurangi kekuasaan yang terlalu besar di satu lembaga yang mengurusi ranah siber.
Pentingnya pembagian kewenangan
Rentang kendali dunia siber begitu besar membuatnya terbagi-bagi ke dalam beberapa lini, sehingga membutuhkan pusat koordinasi. Ranah siber di beberapa negara dibagi ke dalam beberapa lini: militer siber (di Latvia, Kolombia, Belgia, Belanda, Korea Selatan), infrastruktur kritis (di Estonia dan India), kepolisian siber (di Kolombia dan Estonia), dan persandian negara (di Yordania).
Dalam konteks ini, fungsi utama Badan Keamanan Siber adalah pusat koordinasi yang mengkoordinasikan, dan memberdayakan instansi yang berhubungan dengan ranah siber agar tidak terjadi tumpang tindih. Penanganan hoax dapat dimasukkan sebagai cyber crime dan jadi tugas kepolisian, sementara serangan-serangan terhadap infrastruktur kritis negara di bidang militer seperti radar, satelit, dan komunikasinya menjadi fokus utama militer siber.
Dalam praktiknya, bentuk koordinasi ini dapat ditetapkan pemerintah melalui produk hukum atau diakui oleh stakeholder siber. Melalui produk hukum, di Inggris dan Australia, fungsi koordinasi ditetapkan pemerintah menyatu di bawah koordinasi Kantor Perdana Menteri.
Bagaimana di Indonesia?
BSSN hendaknya menjadi lembaga koordinator yang ditunjuk mengkoordinasikan lini-lini sektoral siber di Indonesia. Lini-lini sektoral siber dari pemerintah (Divisi Cybercrime Kepolisian, Direktorat Keamanan Informasi Kementerian Komunikasi dan Informatika, Gov-CSIRT, BPPT-CSIRT dan ID-SIRTII), komunitas (ID-CERT, Acad-CSIRT, MASTEL, Indonesia Cyber Security Forum dan Indonesia HoneyNet Project), akademisi dan praktisi, serta infrastruktur kritis (seperti APJII, ATSI, PANDI, dan ranah energi PLN), semuanya berada di bawah satu komando.
Dengan kata lain, tujuan utama pembentukan BSSN lebih strategis digeser dari mengurusi hal-hal teknis dan “kecil” seperti penanganan hoax, pengawasan, dan respon serangan menjadi fungsi yang lebih tinggi, yaitu menjadi representasi negara di dunia siber. Tugasnya mengamankan kepentingan-kepentingan negara dan kedaulatan negara di ranah siber serta menjadi juru bicara negara terkait diplomasi siber ke luar negeri.
Masalahnya, dalam Perpres BSSN terbaru, lembaga ini memiliki dua fungsi sekaligus: pusat koordinasi (dan pembuat kebijakan) dan teknis. Terlebih, BSSN berkeinginan “menggemukkan” struktur teknisnya dengan keinginannya “melahap” semua fungsi siber yang dimiliki instansi pemerintah lainnya.
Karena itu, Perpres terkait BSSN perlu direvisi dan lebih baik memisahkan fungsi pusat koordinasi dan pembuat kebijakan dari fungsi teknis. Hal ini untuk mengurangi kontrol yang terlalu besar di dunia siber di satu badan saja dan menghindari benturan antarsektor dan antarinstitusi. Indonesia dapat belajar model pemisahan kekuasaan badan siber dari Estonia dan Jerman.
BSSN seharusnya “naik kelas” dari sekadar mengurusi teknis, menjadi fokus sebagai pembuat peraturan di dunia siber. Hal ini krusial karena “cyber space is a place with jurisdictional uncertainty and attribution issues”, seperti definisi yang dibuat oleh International Telecommunication Union (ITU). Negara harus hadir di dunia siber untuk melindungi kepentingannya dan warga negaranya.
Teguh Arifiyadi, Kepala Sub Direktorat Penyidikan dan Penindakan, Direktorat Keamanan Informasi, Kementerian Komunikasi dan Informatika Republik Indonesia, ikut berkontribusi dalam penulisan artikel ini.