Aryo Arvianto - KPKNL Ambon

Dengan meningkatnya tren Working From Home (WFH) di Indonesia, Cyber Security menjadi salah satu hal yang patut dijadikan perhatian utama bagi seluruh organisasi atau instansi yang menggunakan sistem telecommuting (bekerja jarak jauh) sebagai basis untuk melaksanakan tugas dan fungsinya. 

Walaupun bukan merupakan konsep yang sepenuhnya baru, WFH menjadi sangat  dan semakin relevan untuk diterapkan pada masa pandemi seperti saat ini. WFH dapat meminimalisir risiko kesehatan yang terjadi saat bekerja secara signifikan dengan cara mengurangi intensitas tatap muka secara fisik antara para pihak terkait. Pengurangan intensitas tatap muka tersebut dapat mengurangi potensi penyebaran virus. Dengan memanfaatkan teknologi informasi seperti internet, Personal Computer (PC), cloud based data storage dan Web-based Application sebagai elemen-elemen utamanya. WFH tidak hanya dapat mengurangi potensi risiko kesehatan yang dapat muncul saat melaksanakan tugas, namun juga dapat mengatasi berbagai macam hambatan yang tercipta pada sistem bekerja konvensional seperti jarak, waktu, dan biaya.

Dengan dipergunakannya sistem WFH, tentunya model potensi risiko yang dapat timbul akan selalu berbanding lurus mengikuti perkembangan skema tersebut. Ancaman fisik tidak lagi menjadi risiko utama, namun ancaman keamanan dalam bentuk digital menjadi potensi baru. Melalui sudut pandang militer, potensi ancaman digital nasional juga telah diidentifikasi melalui pernyataan pada kata pengantar Peraturan Menteri Pertahanan Republik Indonesia Nomor 82 Tahun 2014 Tentang Pedoman Pertahanan Siber yang menyebutkan “Sistem pertahanan negara bersifat semesta melibatkan seluruh warga negara, wilayah, dan sumber daya nasional lainnya, serta dipersiapkan secara dini oleh pemerintah dan diselenggarakan secara total, terpadu, terarah, dan berlanjut untuk menegakkan kedaulatan negara, keutuhan wilayah, dan keselamatan segenap bangsa dari segala ancaman. Keterpaduan itu merujuk pada elemen kekuatan yang dibangun dalam sistem pertahanan semesta, yang memadukan kekuatan pertahanan militer dan kekuatan pertahanan nirmiliter”. Sehingga hal tersebut memberikan gambaran terhadap kesemestaan sistem keamanan negara, begitu juga dengan ancaman yang berkaitan antara satu pintu dengan yang lainnya. Terlepas dari bentuk jasa yang ditawarkan, apakah itu jasa instansi pemerintah, startup swasta, maupun jasa yang ditawarkan oleh individu, keterkaitan atau kesemestaan sistem adalah hal yang berusaha untuk dicapai berbagai macam organisasi dan juga negara, seperti contohnya adalah big data, cloud computing, pelayanan negara satu pintu dan lain sebagainya.

Satu hal yang dapat diterima secara luas ketika suatu penyedia jasa (baik dalam sektor publik maupun privat) dapat memberikan gambaran jelas dan standar yang secara umum dapat dianggap tinggi terhadap keamanan sistem informasi & teknologinya, maka pengguna jasa (juga publik maupun privat) dapat lebih merasakan keamanan dan kepercayaan dalam menggunakan produk jasa tersebut. Data dapat menjadi target untuk dikuasai / diperjualbelikan sebagaimana dikutip dari https://www.wired.com/insights/2013/02/is-big-data-the-new-black-gold/ bahwa data merupakan sumber daya tidak habis pakai dan memiliki nilai material yang terus tumbuh seiring berjalannya waktu karena dapat dimanfaatkan untuk berbagai hal melalui keterampilan sumber daya yang tepat untuk mengekstrak dan mengolahnya. 

Artikel ini ditulis dengan tujuan untuk meningkatkan awareness terhadap keamanan siber, potensi risikonya, serta mitigasi yang dapat dilakukan dalam rangka pengembangan eksploitasi sistem kerja digital. Bagian pertama bertujuan untuk memberikan gambaran tentang dasar hukum dan definisi umum peretasan ilegal di Indonesia. Bagian kedua tentang ethical hacking sebagai salah satu profesi yang lahir akibat perkembangan digitalisasi. Bagian ketiga tentang Pendekatan yang dipilih Indonesia terhadap standardisasi keamanan digital. Bagian keempat mengenai contoh negara yang memilih pendekatan melalui standard minimum keamanan digital (United Kingdom/UK). Bagian keempat memberikan opini secara umum tentang strategi mitigasi yang dapat dilakukan untuk meminimalisir risiko dan memaksimalkan potensi digitalisasi.

Hacking/Peretasan Ilegal Sebagai Salah Satu Risiko Teknis dan Hukum di Indonesia

Dengan berbagai subbentuk dan nama, hacking / peretasan sistem menjadi perhatian serius di Indonesia sehingga mampu melatarbelakangi diundangkannya Undang-undang Nomor 11 Tahun 2008 tentang Informasi Elektronik (UU ITE) sebagaimana telah diubah dengan Undang-undang Nomor 19 tentang perubahan atas Undang-undang Nomor 11 Tahun 2008 tentang Informasi Elektronik (UU 19/2016). Kegiatan peretasan dapat menjadi tindakan pidana bilamana  hal tersebut dilakukan dengan cara melawan hukum dan tanpa hak sebagaimana secara detail dijelaskan pada pasal 30 juncto pasal 46 UU ITE lengkap dengan ancaman pidana yang mengikutinya. Adapun tujuan dari kegiatan peretasan ini sendiri bermacam-macam, namun akses terhadap suatu informasi atau data menjadi salah satu hal utama yang melatarbelakangi bentuk dan sub-bentuk tindak pidana tersebut.

Modern Problems Require Modern Solution : Ethical Hacking

Demi membangun dan menjaga reputasi baik serta kredibilitas yang dimiliki penyedia jasa, cyber security atau keamanan siber menjadi salah satu syarat utama yang sebaiknya dilengkapi seluruh pihak yang menggunakan teknologi informasi digital sebagai basis sistemnya. Dapat dibayangkan ketika suatu penyedia jasa menjalankan seluruh proses bisnisnya berbasis pada teknologi sistem informasi digital namun dapat dengan mudah atau relatif mudah diakses oleh pihak-pihak yang tidak seharusnya mengakses hal tersebut, apalagi terkandung didalamnya informasi yang dianggap sensitif atau rahasia. Maka hampir pasti bahwa kepercayaan pengguna jasa terhadap seluruh sistem yang dibangun tersebut tentunya akan berkurang atau bahkan hilang sepenuhnya. Apalagi tersedianya pilihan penyedia jasa lain yang dapat menjadi perbandingan dan kompetitor antara keamanan digital dari satu penyedia jasa ke penyedia jasa yang lain.

Berdasarkan pada konteks tersebut, Ethical hacker lahir sebagai salah satu profesi atau keterampilan khusus yang ditawarkan kepada penyedia jasa dimana hal ini bertujuan untuk mengidentifikasi bermacam-macam kelemahan sistem informasi digital yang dikembangkan oleh penyedia jasa / developer / pengembang melalui aktivitas yang seringkali disebut sebagai white hacking / ethical hacking / peretasan secara etis. Berbanding terbalik dengan aktivitas peretasan ilegal yang dilakukan oleh pihak-pihak tidak bertanggung jawab tanpa izin dari pemilik / pengelola sistem, ethical hacker menawarkan jasanya untuk membobol suatu sistem komputer atas dasar persetujuan atau perintah resmi dari pemilik / pengelola sistem yang memiliki hak atas sistem tersebut demi kepentingan pemilik sistem. 

Identifikasi kelemahan-kelemahan sistem yang umumnya berupa laporan ini kemudian dapat digunakan pemilik sistem sebagai dasar atau ukuran yang objektif untuk melakukan strategi mitigasi risiko terhadap area-area yang terbukti belum memenuhi tingkat keamanan tertentu. Sehingga consent/izin dari pemilik sistem yang sah merupakan satu poin utama yang dapat membedakan antara illegal hacking dan ethical hacking. Walaupun tidak ada hal yang dapat dirancang atau diproduksi manusia secara sempurna dalam segala maksud, namun upaya mitigasi risiko melalui dasar yang jelas dan terukur dapat menjadi poin tambahan dari sisi komitmen penyedia jasa untuk melindungi apa yang seharusnya dilindungi dalam jasa yang ditawarkan olehnya.

Manajemen Keamanan Sistem Informasi Di Indonesia 

Sertifikasi terhadap keamanan sistem informasi penyedia jasa baik publik maupun privat, menjadi pendekatan dan upaya yang dipilih oleh Indonesia terhadap mitigasi risiko keamanan digital nasional. Sebagaimana ditetapkan pada Peraturan Badan Siber dan Sandi Negara Nomor 8 Tahun 2020 tentang Sistem Pengamanan Dalam Penyelenggaraan Sistem Elektronik, dimana suatu penyedia / penyelenggara sistem informasi wajib untuk memiliki Sertifikat Sistem Manajemen Pengamanan Informasi (SMPI) yang diterbitkan oleh Lembaga Sertifikasi Sistem Manajemen Pengamanan Informasi sebagai lembaga audit Keamanan Informasi. Dan berfungsi sebagai bukti tertulis yang diberikan oleh Lembaga Sertifikasi kepada Penyelenggara Sistem Elektronik yang telah memenuhi persyaratan. 

Turut diatur dalam peraturan tersebut bahwa Sistem Elektronik sendiri dibagi menjadi 3 (tiga) berdasarkan asas risikonya, yaitu Sistem Elektronik Strategis, Tinggi, dan Rendah. Dimana Sistem Elektronik Strategis adalah Sistem yang memiliki risiko tertinggi diantara ketiganya. Hal tersebut diidentifikasi dan dibedakan berdasarkan  dari dampak yang dapat ditimbulkan oleh sistem elektronik tersebut terhadap banyaknya pihak yang dapat terkena imbasnya ketika sistem tersebut, terutama ketika sistem tersebut diretas secara ilegal. Sebagai contoh adalah yang berhubungan dengan kepentingan umum, pelayanan publik, kelancaran penyelenggaraan negara, atau pertahanan dan keamanan negara. Berdasarkan penggolongan tersebut, seluruh sistem elektronik yang digunakan pemerintah dapat digolongkan kepada sistem elektronik strategis karena sifatnya yang memang dirancang untuk menjadi perantara antara masyarakat dan pemerintah.

Benchmark : United Kingdom (UK)

The Minimum Cyber Security Standard (MCSS), merupakan salah satu dari sekian banyak standardisasi teknis keamanan siber oleh Pemerintah UK dalam kolaborasinya dengan National Cyber Security Centre (NCSC) yang secara resmi dirilis pada Juni 2018. Dikutip dari situs resmi Pemerintah UK www.itgovernance.co.uk, MCSS merupakan satu nilai minimal keamanan siber khusus yang diwajibkan untuk dipenuhi oleh seluruh bagian pemerintahan (termasuk didalamnya organisasi, agensi, dan kontraktor yang berafiliasi dengan pemerintah) untuk memenuhi kriteria minimum yang telah ditetapkan dalam kebijakan Security Policy Framework (SPF). Mengingat semakin terintegrasinya sistem digital di satu instansi dengan instansi yang lain, maka sistem keamanan digital yang secara paralel dibangun berdampingan dengan sistem utamanya tersebut harus secara holistik mencapai nilai keamanan tertentu dari satu pengukuran skala tertentu pula, agar dapat meminimalisir ‘kebocoran’ keamanan dari ‘lubang’ yang terkecil. 

What is next ?

Sebagaimana kutipan dari Heraclitus “The Only Thing That Is Constant Is Change ” atau “Satu hal yang abadi adalah perubahan itu sendiri” sehingga kemampuan beradaptasi atau kedinamisan suatu entitas merupakan kunci untuk menang. Langkah yang dipilih oleh UK merupakan seri dari satu grand design arsitektur sistem informasi nasional yang intinya adalah bertujuan untuk menjaga, mempertahankan dan membangun kredibilitas institusi dan negaranya dengan memberi konsep / gambaran keamanan untuk para penggunanya melalui standar minimum keamanan siber. Apapun pendekatan yang dipilih oleh suatu negara dalam merancang sistem keamanan digital nasional, tidak akan secara signifikan dapat efektif mengatasi seluruh ancaman yang ada apabila tidak disertai dengan awareness dari para pihak di dalamnya. Konsep keamanan digital nasional sendiri sebenarnya tidak serta merta menjadikan potensi ancaman yang ada menjadi sepenuhnya ‘nasional’ mengingat ancaman digital seperti hacking tidak mengenal adanya border atau batasan suatu negara, karena kegiatan ilegal tersebut dapat dilakukan dari sudut manapun didunia ini secara remote, selama tersedianya internet tentunya. 

Walaupun Indonesia telah berhasil secara signifikan untuk naik peringkat Global Cybersecurity Index (GCI) dari peringkat 70 pada tahun 2017 ke peringkat 41 pada tahun 2018 dari 194 negara, namun semangat Indonesia untuk terus membangun infrastruktur Big Data  yang mengintegrasikan berbagai macam data dari seluruh sektor pemerintahan dan juga sektor privat akan secara selaras meningkatkan risiko yang timbul. Sebagai contoh dan dikutip dari the Jakarta Post, Jumat 6 Maret 2020 tentang laporan BSSN yang menyatakan besaran jumlah daftar serangan Malware di Indonesia dimana terdapat peningkatan sangat signifikan dalam jumlah serangan  pada tahun 2017 sebanyak 8 (delapan) juta; 12 (dua belas) juta pada 2018; dan 98 (sembilan puluh delapan) juta pada tahun 2019, sehingga total mencapai sebanyak 22.750 serangan malware hingga tahun 2020. Hal ini menunjukkan keselarasan peningkatan ancaman digital terhadap perkembangan pembangunan infrastruktur digital dalam negara itu sendiri.

Integrasi data dalam cloud untuk kemudian diolah menjadi data yang usable (Data Science) meningkatkan potensi dampak dan imbas kepada publik ke level yang lebih tinggi lagi. Apakah akan menjadi positif dalam skala besar, atau negatif dalam skala yang juga besar, atau bahkan stagnan, tentunya hal tersebut menjadi pilihan pengambil keputusan untuk memitigasi ‘cost’ dan mengeksploitasi ‘benefitnya’. 

Tentunya upaya untuk mendukung Badan Siber dan Sandi Negara (BSSN) dalam memitigasi risiko-risiko dan menetapkan standar keamanan, seperti sertifikasi tersebut perlu dukungan dari semua pihak untuk membangun sebuah perencanaan jangka panjang yang terpadu dalam satu arsitektur / grand-design infrastruktur digital sebagai bentuk mitigasi dari pembangunan Stranas KA (Strategi Nasional Kecerdasan Artifisial) oleh Kementerian Riset & Teknologi (Kemenristek). Kontribusi publik melalui pengalaman, kritik dan masukan juga sangat diperlukan demi merealisasikan implementasi industry 4.0 di Indonesia seperti Telecommuting, Big Data, dan Artificial Intelligence demi terciptanya sistem pelayanan publik yang cepat, akurat dan akuntabel secara maksimal serta memiliki ukuran atau standar keamanan yang secara objektif ‘jelas’,  dimana hal tersebut mungkin untuk terjadi apabila dimulai melalui awareness seluruh pihak terlebih dahulu.