Indonesia, negara dengan pertumbuhan pengguna internet terbesar keempat di dunia, menghadapi peluang sekaligus ancaman besar dengan perkembangan teknologi digital dan internet.
Perusahaan konsultan McKinsey berpendapat bahwa dengan merangkul teknologi digital, Indonesia dapat meningkatkan pertumbuhan ekonominya hingga US$150 miliar, atau setara 10% dari Produk Domestik Bruto (PDB), pada 2025.
Penelitian lain juga menunjukkan bahwa teknologi digital dapat meningkatkan pertumbuhan ekonomi tahunan negara ini sebesar 2% karena mendukung pertumbuhan usaha kecil menengah (UKM).
Namun, tanpa sistem keamanan siber yang solid, 150 juta pengguna internet di Indonesia berhadapan dengan begitu banyak ancaman keamanan.
Pada 2018, lebih dari 200 juta serangan siber terdeteksi di Indonesia.
Untuk menghadapi serangan-serangan ini, pemerintah telah mengeluarkan sejumlah peraturan dan membentuk sejumlah lembaga di Kementerian Pertahanan dan Kepolisian. Namun, itu tidak cukup. Indonesia perlu mempersenjatai diri dengan hukum yang lebih kuat dan membangun sistem dan industri keamanan digitalnya.
Memetakan ancaman-ancaman
Pada Januari 2019, 56% populasi Indonesia atau sekitar 150 juta orang menggunakan internet. Jumlahnya tumbuh 13% dari tahun sebelumnya. Pertumbuhan ini yang terbesar keempat di dunia setelah India, Cina, dan Amerika Serikat.
Karena sistem keamanan siber yang kurang baik di Indonesia, negara ini sering mengalami serangan. Sebagai gambaran, selama satu minggu di bulan Februari, Indonesia menerima 1,35 juta serangan web.
Serangan siber ini sebagian besar merupakan kasus peretasan, yang menargetkan situs web pemerintah dan perusahaan.
Beberapa lembaga pemerintah, termasuk Komisi Pemilihan Umum (KPU), Kementerian Pertahanan, Komisi Perlindungan Anak Indonesia (KPAI), Ikatan Cendekiawan Muslim Indonesia (ICMI) dan ketua dewan penasihatnya, telah menjadi target para peretas.
Peretas juga menargetkan sektor korporasi. Perusahaan operator telekomunikasi seluler Telkomsel diretas pada 2017.
Daftarnya masih banyak lagi.
Selain menjadi target peretasan, Indonesia juga menderita serangan spionase siber. Australia diduga memata-matai telepon seluler mantan presiden Indonesia Susilo Bambang Yudhoyono, istrinya Ani Yudhoyono, dan pejabat senior lainnya pada 2007 dan 2009.
Serangan siber besar terbaru di Indonesia terjadi selama serangan ransomware WannaCry pada Mei 2017. Serangan itu menginfeksi setidaknya 200.000 komputer di 150 negara dengan para penyerang menuntut uang tebusan.
Menteri Komunikasi dan Informatika) Rudiantara mengungkapkan bahwa dua belas institusi di Indonesia diserang, termasuk perusaahan perkebunan dan manufaktur serta universitas.
Memperkuat hukum
Serangan-serangan siber di atas menandakan bahwa sistem keamanan siber yang ada di pemerintah mungkin tidak efektif.
Peraturan saat ini terkait keamanan siber hanyalah Undang-Undang Informasi dan Transaksi Elektronik (UU ITE) dan Peraturan Pemerintah tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PP PSTE).
Namun, undang-undang dan peraturan ini tidak mencakup penanganan praktik penyadapan (intersepsi) dalam dunia maya atau tata kelola e-commerce. Peraturan-peraturan ini juga tidak mengatur peran pemerintah dalam sistem keamanan siber sehingga penggunaannya untuk keamanan siber masih terbatas.
Untuk mengisi celah ini, pemerintah perlu mendorong disahkannya rancangan undang-undang (RUU) keamanan siber di Dewan Perwakilan Rakyat (DPR).
RUU ini penting untuk membantu pemerintah membedakan antara penanganan serangan terhadap pertahanan siber dan kejahatan siber.
Serangan terhadap pertahanan siber menargetkan keamanan nasional kita. Penyerang ini sebagian besar teroris atau negara asing yang bermusuhan.
Sementara itu, kejahatan siber merujuk pada setiap pelanggaran kriminal di dunia maya.
Saat ini, pemerintah tampaknya tidak membedakan keduanya.
Misalnya, Peraturan Menteri Pertahanan Tahun 2014 tentang Pedoman Pertahanan Siber mengidentifikasi pelaku pertahanan siber antara lain adalah aktivis peretas dan kelompok kejahatan terorganisir.
Padahal aktor-aktor tersebut tidak menargetkan objek pemerintah atau infrastruktur kritis nasional. Mereka juga tidak memiliki kemampuan untuk secara efektif membahayakan negara. Mereka biasanya dianggap sebagai ancaman kejahatan siber.
Identifikasi yang menyesatkan ini berpotensi membingungkan institusi mana yang harus merespons serangan itu: Kementerian Pertahanan atau Polri.
Batas-batas antara keduanya harus diperjelas sehingga dalam jangka panjang tidak akan ada tumpang tindih antara lembaga-lembaga pemerintah dalam menanggapi serangan-serangan ini.
Menjalin koordinasi yang baik antarlembaga
Kementerian Pertahanan dan Polri adalah dua dari beberapa lembaga yang menjaga sistem keamanan siber negara ini.
Pada tahun 2017, pemerintah membentuk Badan Siber dan Sandi Negara (BSSN) untuk memimpin koordinasi antara berbagai institusi dalam menjaga keamanan siber.
Kementerian Pertahanan yang menangani serangan terhadap pertahanan siber, mendirikan Pusat Pertahanan Siber (Pushansiber) untuk menerapkan tata kelola pertahanan siber.
Sementara itu, TNI di bawah Kemhan telah membentuk Satuan Siber (Satsiber) untuk melakukan kegiatan dan operasi pertahanan siber.
Sementara itu, Polri menangani kejahatan siber dengan membentuk Direktorat Cybercrime.
Selain itu, Kementerian Luar Negeri telah mulai menggunakan diplomasi siber, yaitu penggunaan instrumen dan metode diplomatik untuk menemukan solusi untuk masalah siber. Misalnya, Indonesia memainkan peran aktif dalam membahas norma-norma siber dan masalah-masalah kejahatan siber di Kelompok Ahli Pemerintah PBB Bidang Keamanan Siber (UN GGE) dan Kantor PBB Urusan Narkoba dan Kejahatan (UNODC).
Terakhir, untuk menanggapi serangan siber, Kementerian Komunikasi dan Informatika telah membentuk tim, yang dikenal dengan Id-SIRTII/CC (Indonesia Security Incident Response Team on Internet Infrastructure/Coordination Center), untuk memastikan keamanan internet di Indonesia.
Karena BSSN baru didirikan dua tahun lalu, koordinasi antara lembaga-lembaga ini masih berada dalam tahap awal. Selain itu, BSSN belum membangun infrastruktur yang solid dan menunjuk lembaga yang bertanggung jawab untuk setiap sektor.
Mengembangkan infrastruktur digital yang aman
Untuk membangun sistem keamanan siber yang solid, pemerintah harus memastikan bahwa infrastruktur digitalnya aman.
Indonesia masih dalam tahap awal mengembangkan infrastruktur digital yang aman. Sebuah riset tahun 2014 menemukan bahwa kurang dari 3% lembaga pemerintah yang aman.
Sementara itu, perkembangan teknologi mesin-ke-mesin (M2M), Internet of Things (IoT), dan komputasi awan terus membuat lembaga-lembaga ini lebih rentan terhadap berbagai serangan siber.
Pengembangan sistem keamanan digital dapat dimulai dari memperbarui teknologi keamanan siber untuk mengakomodasi ancaman siber baru.
Mengembangkan industri
Terakhir, pemerintah harus mengembangkan industri keamanan siber lokal.
Industri keamanan siber Indonesia masih baru berkembang. Pasarnya masih didominasi oleh produk perangkat keras dan perangkat lunak asing. Hanya industri jasa konsultasi lokal yang tumbuh dengan baik, menyediakan layanan seperti forensik dan keamanan digital.
BSSN harus berkoordinasi dengan berbagai lembaga untuk membuat peta jalan bagi pengembangan industri. Sasaran semacam itu membutuhkan penelitian dan perencanaan jangka panjang yang didukung oleh modal besar.