Mengurai RUU Keamanan Siber

IMG_20190923_121112_818Dewan Perwakilan Rakyat (DPR), bersama dengan pemerintah, berencana untuk segera merampungkan proses pembahasan RUU Keamanan dan Ketahanan Siber, pada akhir September ini. Proses percepatan ini tentunya menimbulkan banyak pertanyaan, mengingat RUU ini baru disahkan sebagai usul inisiatif DPR pada tengah Juli yang lalu. Pun proses konsultasi publik dengan beragam pemangku kepentingan dalam pemanfaatan siber, belum pernah dilakukan sama sekali. Kekhawatiran menjadi kian bertambah, mengingat buruknya materi RUU yang diajukan, secara keseluruhan masih jauh dari kata mendekati sebuah kebijakan keamanan siber yang baik.

Keamanan siber sendiri sebenarnya adalah sebuah disiplin yang relatif baru, bahkan sampai dengan sekarang belum ada definisi yang disepakati bersama dan diterima secara luas. Definisi seringkali dibangun dengan mengacu pada masing-masing spektrum ancaman keamanan siber. Seperti dikemukakan Johnson (2012) misalnya mengemukakan keamanan siber sebagai tindakan apa pun yang akan mengakibatkan akses tidak sah ke suatu perangkat atau sistem, dalam bentuk gangguan, manipulasi, atau kerusakan integritas, kerahasiaan, atau ketersediaan sistem informasi atau informasi yang disimpan, diproses, atau didistribusikan melalui sistem informasi tersebut.

Para ahli keamanan siber umumnya menempatkan keamanan siber pada tiga kategori tujuan umum: kerahasiaan (confidentiality); integritas (integrity); dan ketersediaan (availability). Kerahasiaan mengacu pada upaya pencegahan pengungkapan informasi yang tidak sah, dan sering dikaitkan dengan pelanggaran data. Sementara integritas mengacu pada jaminan bahwa pesan yang dikirim sama dengan pesan yang diterima (pesan tidak diubah dalam perjalanan). Sedangkan ketersediaan mengacu pada jaminan bahwa informasi akan tersedia bagi konsumen secara tepat waktu dan tanpa gangguan, kapan pun dibutuhkan, terlepas dari lokasi pengguna (Agarwal dan Agarwal, 2011).

Kebijakan Keamanan Siber yang Baik

Konsepsi keamanan siber sesungguhnya menekankan pada pengimplementasian pendekatan teknis guna mengamankan suatu sistem komputer dari serangan dan kegagalan sistem. Keamanan siber yang baik mengakui bahwa sistem komputer memiliki kerentanan dan berupaya untuk mengatasi akar penyebab ketidakamanan, dengan memprioritaskan pengidentifikasian dan perbaikan kerentanan-kerentanan tersebut.

Lebih jauh, pendekatan terbaik demi mewujudkan keamanan siber yang baik adalah menempatkan individu dan hak-haknya sebagai pusat dari perumusan baik kebijakan maupun strategi keamanan siber, sebagai upaya untuk memperkuat dan melindungi hak asasi manusia. Penempatan individu dan hak-haknya sebagai pusat perumusan kebijakan keamanan siber ini harus diimplementasikan dalam setiap siklus perlindungan, yakni perlindungan terhadap individu, perangkat, dan jaringan (Privacy International. 2018).

Problem Definisi, Asas dan Tujuan

Mengacu pada materi yang dirumuskan, RUU ini secara limitatif telah mencoba memberikan definisi mengenai siber, keamanan dan ketahanan siber, kepentingan siber, dan ancaman siber. Problemnya adalah, pemberian definisi ini justru tak-sejalan dari watak inovatif dari siber itu sendiri, misalnya ketika pembicaraan siber berhenti pada topik mengenai kecerdasan artifisial, apakah berarti inovasi siber berakhir di situ? Padahal inovasi dan invensi siber berkembang tiap waktu, oleh karenanya hukum yang terkait dengan siber perlu bersifat supel.

Bersifat supel berarti hukum harus mampu mengantisipasi setiap perubahan di masa depan, dengan memberikan standar yang fleksibel dan dapat berlaku bagi semua perkembangan teknologi. Dengan aturan yang tidak kaku, hukum akan mampu memberikan ruang untuk setiap invensi dan inovasi teknologi, serta dapat secara baik memfasiliasi pengembangan ekonomi berbasis digital.

Sementara terkait dengan definisi keamanan dan ketahanan siber, catatan utamanya adalah kegagalannya di dalam mengidentifikasi elemen-elemen kunci yang semestinya ada dalam definisi keamanan siber.  Sedangkan definisi kepentingan siber dan ancaman siber, dalam RUU ini sepenuhnya mengacu pada definisi kepentingan nasional dan ancaman yang dirumuskan oleh UU No. 17/2011 tentang Intelijen Negara. Padahal maksud dan tujuan antara UU Intelijen Negara dan aturan tentang keamanan siber tentunya berbeda penekanan.

Dalam perumusan tujuan, RUU ini juga terlalu menitikberatkan pada kedaulatan yang identik dengan terminologi kedaulatan tradisional—yang menekankan pada teritorial dan yurisdiksi, yang justru menjadikan RUU ini tak-sejalan dengan sifat alamaiah dari siber yang lintas batas (cross border). Kedualatan dan keamanan individu di ruang siber yang seharusnya menjadi tujuan utama kebijakan keamanan siber, justru tidak mengemuka di dalamnya.

Tata Kelola Keamanan Siber

Secara tegas dapat dikatakan, RUU ini belum mampu untuk mengakomodasi pendekatan multi-pemangku kepentingan dalam keamanan siber, yang nampak secara eksplisit dari identifikasi aktor-aktor penyelenggara keamanan siber. Sebagai contoh, RUU ini belum mengakomodasi secara eksplisit peran bisnis yang memegang peranan kunci dalam keamanan siber, khususnya dari perangkat dan jaringan yang mereka kelola, termasuk individu konsumen mereka.

Terlepas dari besarnya potensi overlapping kewenangan antar-kementerian/lembaga pemerintah, akibat sejumlah materi baru yang diusulkan, RUU ini justru menghendaki pengelolaan urusan keamanan siber hanya akan menjadi domain dari negara atau bahkan pemerintah. Padahal sebuah kebijakan keamanan siber, seharusnya secara jelas dapat menentukan mekanisme yang tepat, yang memungkinkan semua pemangku kepentingan publik dan swasta yang relevan, untuk membahas dan menyepakati kebijakan yang berbeda, termasuk isu-isu dan peraturan/regulasi yang terkait dengan keamanan siber.

Sebuah undang-undang keamanan siber yang baik juga harus mampu mengidentifikasi infrastruktur informasi penting termasuk aset utama, layanan dan saling ketergantungannya. Selain itu, dia juga harus secara tepat menentukan pendekatan yang sistematis dan terintegrasi bagi manajemen risiko nasional. RUU ini meski menyebutkan operasionalisasi keamanan siber untuk mengamankan infrastruktur siber nasional, termasuk di dalamnya infrastruktur informasi kritikal nasional, namun tidak memberikan kejelasan mengenai definisi dan cakupannya.

Membatasi Inovasi dan Hak Asasi Manusia

Luasnya ruang lingkup ancaman, terutama dengan penempatan konten destruktif/negatif, dan pengembangan senjata siber sebagai bentuk ancaman siber, justru akan menghambat inovasi dan invensi teknologi inormasi dan komunikasi (siber). Ke depan, pengembangan industri strategis nasional, salah satu prioritasnya tentu semestinya harus berfokus pada teknologi siber, sehingga menjadi aneh ketika kebutuhan ini justru dikualifikasikan sebagai ancaman.

Sementara terkait dengan penempatan konten berbahaya, sebagai alasan untuk melakukan penapisan/pemblokiran konten dan aplikasi, telah membuka potensi praktik pembatasan yang keras terhadap hak publik atas informasi dan kebebasan berekspresi. Selain tidak dilengkapi dengan aturan prosedural yang memadai, istilah konten berbahaya sendiri tidak dikenal dalam leksikon hukum hak asasi manusia, maupun dalam konteks hukum siber secara umum.

RUU ini juga menghadirkan besarnya potensi ancaman terhadap privasi, khususnya data pribadi dan komunikasi pribadi, terutama yang terkait dengan konektifitas pusat operasi dari seluruh penyelenggara keamanan siber—publik dan swasta, dengan lembaga penyelenggara koordinasi keamanan siber, yang memungkinkan monitoring lalu lintas data dan internet. Terkait hal ini, salah satu tantangan terbesarnya adalah juga, belum adanya skema dan model pengawasan yang akan diaplikasikan dalam pelaksanaan kebijakan ini nantinya.

Sementara dalam konteks pemulihan, meski dilengkapi dengan formulasi skema pemberian kompensasi/restitusi/rehabilitasi, namun pengaturannya dilakukan secara tidak tepat. Sebab dalam hukum Indonesia, mekanisme tersebut hanya berlaku bagi kejahatan tertentu, sehingga belum menjawab kebutuhan mekanisme koreksi dan pemulihan dalam konteks insiden keamanan siber.

Butuh Pelibatan Seluruh Pemangku Kepentingan

Banyaknya problem dalam perumusan materi RUU ini sesungguhnya memperlihatkan belum diakomodasinya kepentingan dari berbagai pemangku kepentingan dalam pemenfaatan siber. Dengan situasi demikian, tentunya tidak elok ketika pembahasan RUU ini akan dipaksakan untuk disahkan dalam waktu dekat ini, apalagi hanya melibatkan DPR dan pemerintah.

Salah satu prinsip dari peraturan perundang-undangan yang baik adalah dia berdayaguna. Oleh karenanya, untuk memastikan RUU ini nantinya berdayaguna bagi seluruh pemangku kepentingan siber di Indonesia, semestinya dibuka ruang yang lebih luas dan inklusif bagi mereka untuk terlibat di dalam proses penyusunannya. Jangan sampai kita memiliki kebijakan keamanan siber, tetapi justru tidak sesuai dengan kebutuhan pengembangan siber itu sendiri, atau bahkan menciptakan banyak risiko baru bagi pemangku kepentingan siber, yang dapat berakhir dengan “ketidakamanan siber”.

Artikel ini pertama kali terbit di harian Bisnis Indonesia, 23 September 2019.

Published by

wahyudidjafar

Researcher and Human Rights Lawyer at Institute for Policy Research and Advocacy (ELSAM).

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s