Meredam Serangan di Ruang Siber dan Penyalahgunaan Data Pribadi

DALAM sidang paripurna pada 20 September 2022, DPR RI mengesahkan Rancangan Undang-Undang Perlindungan Data Pribadi (RUU PDP) menjadi UU PDP.

Yang menarik, pada hari RUU PDP disahkan, media massa memberitakan bahwa si peretas siber atas nama Bjorka menghilang dari peredaran.

Tentu saja, kejadian itu tak bisa dimaknai bahwa UU PDP sangat ‘sakti’ untuk membungkam peretas siber dan aksi manipulasi data pribadi melalui teknologi digital.

Pasalnya, ‘perlawanan’ atas kejahatan siber tak cukup melalui pendekatan hukum saja, melainkan harus dilakukan lewat pendekatan yang beragam dan secara berkelanjutan.

Paling tidak, praktik terbaik untuk mengurangi risiko keamanan siber adalah pendekatan tiga cabang, yaitu: Manusia, Lingkungan, dan Teknologi (Abu Bakar, Hlb.global, 2022).

Sebelum mendiskusikan soal stategi membentengi serangan siber, satu pertanyaan yang cukup menggelitik benak penulis adalah: “Mengapa Indonesia selalu menjadi incaran para peretas siber atau hacker?”

Dan, mengapa data pribadi warga Indonesia sangat rentan terhadap aksi manipulatif melalui perangkat digital?

Jawaban awal yang bisa dikemukakan adalah karena sekarang ini orang Indonesia sudah berada di ruang siber. Mereka saling terhubung menggunakan jaringan internet untuk melakukan berbagai kegiatan sehari-hari.

Tampaknya, fenomena tersebut tak bisa lepas dari kondisi ekonomi Indonesia yang semakin ‘gemuk’ dan diprediksi akan terus menjadi besar.

Wellington Capital Advisory (WCA) Team (29 Agustus 2021), misalnya, memperkirakan Indonesia akan menjadi negara dengan ekonomi terbesar ke-4 setelah India, China, dan Amerika Serikat, dengan PDB 10,1 triliun dollar AS pada 2030, naik dari 3,2 triliun dollar AS pada tahun 2017.

Menurut WCA Team, untuk menjadi pemain global nomor empat, Indonesia membutuhkan investasi besar dalam infrastruktur digital. Sebab, sejumlah studi membuktikan bahwa pemanfaatan teknologi digital, terutama di lingkungan usaha mikro-kecil dan menengah (UMKM) dapat mendongkrak pertumbuhan ekonomi tahunan negara sebesar dua persen.

Indonesia sangat gencar membangun infrastruktur digital sehingga penggunaan internet meningkat pesat dalam beberapa tahun terakhir.

Simon Kemp, peneliti dari Datareportal menyebukan per Januari 2022, ada 204,7 juta pengguna internet di Indonesia, dengan tingkat penetrasi internet mencapai 73,7 persen dari total populasi.

Namun, sayangnya kemajuan pesat teknologi digital Indonesia tidak dibarengi dengan sistem pengamanan siber yang kuat sehingga selalu menjadi target serangan siber.

Sebagai gambaran, antara tahun 2007 dan Agustus 2022, ratusan juta data pribadi dan data perusahaan Indonesia telah dicuri dan dijual di pasar gelap siber

Pada Juli 2022, Badan Siber dan Sandi Negara (BSSN) menyebut lebih dari 700 juta serangan siber terjadi di Indonesia selama semester pertama tahun 2022. Salah satu yang menghebohkan adalah serangan siber yang dilancarkan Bjorka itu.

Membangun strategi keamaan siber

Ankit Fadia dkk dari McKinsey & Company (2020) menyebutkan kemajuan teknologi digital yang dibarengi dengan ketegangan geo-ekonomi dan geo-politik dapat menimbulkan ancaman serangan siber berbahaya dari kriminal siber, termasuk yang disponsori oleh perusahaan, bahkan negara.

Oleh karena itu, setiap negara perlu mengembangkan strategi keamanan siber nasional yang komprehensif, meliputi lima elemen sebagai berikut.

Pertama, adanya badan keamanan siber nasional yang berdedikasi. Terkait elemen ini, sejak 2017 lalu, Indonesia sudah membentuk Badan Siber dan Sandi Negara (BSSN). Lembaga ini diamanatkan melindungi kedaulatan digital negara.

Sejauh ini BSSN telah meluncurkan beberapa inisiatif, termasuk Honeynet, program honeypot nasional.

Sementara itu Kementerian Pertahan (Kemhan) RI telah mendirikan pusat pertahanan siber untuk mengawasi tata kelolanya. Di bawah koordinasi Kemhan, TNI telah membentuk unit siber untuk melakukan kegiatan dan operasi pertahanan siber.

Pada 2017, Polri telah membentuk Direktorat Cyber Crime untuk menangani kejahatan dunia maya.

Selain itu, Kementerian Luar Negeri (Kemlu) telah mulai menggunakan diplomasi siber, penggunaan instrumen dan metode diplomatik untuk menemukan solusi untuk masalah dunia maya.

Kemlu telah berperan aktif membahas norma-norma siber dan isu-isu kejahatan siber di United Nations Group of Governmental Experts (UNGGE) dan UN Office on Drugs and Crime (UNODC).

Kementerian Komunikasi dan Informatika (Kominfo) juga telah membentuk tim respons untuk memastikan keamanan internet di Indonesia.

Studi yang dilakukan Ankit Fadia dkk merekomendasikan bahwa badan siber di kementerian dan lembaga sebaiknya berada di bawah koordinasi BSSN untuk memudahkan koordinasi sehingga dapat berfungsi efektif.

Kedua, program perlindungan infrastruktur digital yang kuat. Bagi Indonesia, elemen ini sangat penting karena sebuah studi yang dilakukan pada tahun 2014 menemukan bahwa hanya kurang dari tiga persen infrastruktur digital di lembaga pemerintah, aman.

Sementara itu, teknologi machine-to-machine (M2M), Internet of Things (IoT) dan cloud computing terus berkembang, membuat lembaga-lembaga tersebut semakin rentan terhadap berbagai serangan siber.

Menurut penulis, pengembangan program perlindungan digital harus dimulai dengan pemutakhiran teknologi keamanan siber untuk mengakomodasi ancaman siber baru.

Pemerintah dan dunia bisnis harus memastikan aset perangkat yang dimiliki telah dikonfigurasi dengan baik, diperbarui secara berkala (software maupun hardware), dan dilindungi dengan password yang kuat.

Ketiga, respons atas insiden nasional dan rencana pemulihan. Merespons gelombang serangan siber yang terus meningkat belakangan ini, pemerintah Indonesia melalui Menteri Koordinator Bidang Politik, Hukum, dan Keamanan Mahfud MD telah membentuk satuan tugas (satgas) perlindungan data untuk melindungi data, terutama data negara, dari berbagai ancaman kebocoran ataupun peretasan.

Namun, langkah tersebut perlu ditindaklanjuti dengan gerakan bersama untuk menyusun rencana pemulihan atas ‘kerusakan’ yang diakibatkan oleh peretasan siber yang sudah terjadi.

Rencana pemulihan juga perlu diwujudkan dengan kegiatan yang nyata, sehingga ‘kerugian’ akibat peretasan dan serangan siber dapat dipulihkan kembali.

Keempat, perangkat hukum atau undang-undang terkait kejahatan dunia maya. Terkait elemen ini, kita bersyukur bahwa pada 20 September 2022, DPR telah mengesahkan Rancangan Undang-Undang Perlindungan Data Pribadi (RUU PDP) menjadi UU PDP.

Mengacu ke Pasal 73 ayat (2) dan (3) UU P3, Presiden memiliki waktu 30 hari untuk mengesahkan RUU PDP tersebut. Apabila dalam waktu 30 hari tak ditandangani, maka RUU tersebut sah menjadi UU dan wajib diundangkan.

Memang UU PDP tak serta merta mengatasi semua masalah peretasan dan kebocoran data di ruang siber.

Namun, ada harapan besar bahwa UU tersebut dapat membentengi serangan siber dan melindungi data peribadi setiap warga Indonesia. Apalagi jika dalam dua tahun pemerintah berhasil merumuskan aturan turunannya dan menjalankannya dengan tertib dan konsekuen.

Harapan seperti itu tak mustahil karena Pasal 58 hingga Pasal 60 UU PDP mengamanatkan bahwa akan dibentuk lembaga perlindungan terkait data pribadi yang bertanggung jawab langsung kepada presiden.

Kelima, membangun ekosistem yang dinamis di lingkungan pemerintahan, perusahaan dan komunitas pengguna ruang siber atau warganet.

Elemen ini sangat penting. Sebab, faktor manusia sangat krusial dalam sistem keamanan siber. Manusia bisa sangat berhati-hati, tetapi juga bisa sangat ceroboh dalam memanfaatkan teknologi digital.

Ia bisa saja menguggah data pribadi diri ke ruang siber, tanpa melindunginya dengan password yang kuat. Atau, ia bisa saja tak menahan godaan untuk memanipulasi data pribadi orang lain, demi maksud komersial, atau sekadar iseng.

Diketahui negara-negara terbaik di bidang keamanan siber seperti Amerika Serikat, Finlandia, Inggris, Republik Korea dan Denmark membangun ekosistem siber yang kondusif bersandar pada talenta siber (Broadbandsearch.net, 2022).

Mereka mewajibkan lembaga publik dan dunia industri untuk mengembangkan program perekrutan dan pendidikan/pelatihan talenta siber secara berkelanjutan.

Mereka memberlakukan program akreditasi bagi lembaga yang melakukan perekrutan dan pelatihan atas talenta siber. Bahkan, mereka pun memberikan sertifikasi kepada para talenta siber yang memenuhi standar komptensi.

Di sisi lain, mereka menerapkan program pembinaan bagi warganetnya untuk memanfaatkan terknologi digital secara cerdas.

Jadi, penulis berharap dengan mengembangkan lima strategi di atas secara komprehensif, Indonesia dapat membentengi diri dari ancaman serangan siber yang tragis.