BADAN SIBER DAN SANDI NEGARA DAN TANTANGAN MEMBANGUN KEDAULATAN SIBER
Oleh BAMBANG PRATAMA
Pendahuluan
Pada tanggal 3 Januari 2018, Presiden Jokowi resmi melantik Mayjen Dr. Djoko Setiadi sebagai Kepala Badan Siber dan Sandi Negara (BSSN). Terjawab sudah pertanyaan tentang keseriusan pemerintah dalam membentuk badan siber Indonesia yang keberadaannya sudah ramai dibicarakan sejak tahun 2016. Mungkin saja banyak yang mempertanyaan apa tugas dan fungsi dari BSSN itu sendiri, mengingat tidak lama setelah pelantikan kepala BSSN muncul pesan berantai yang berisi pemantauan medsos. Belum lagi pemberitaan media yang menyebutkan bahwa BSSN memerlukan dana sebesar 2 Triliun Rupiah untuk memerangi serangan siber. Hal ini memunculkan pertanyaan tentang apa fungsi yang dipegang oleh BSSN terhadap ruang siber?
Dasar hukum pembentukkan BSSN adalah Peraturan Presiden No. 53 Tahun 2017 tentang Badan Siber dan Sandi Negara yang diundangkan pada tanggal 23 Mei 2017. Tetapi, Peraturan Presiden tersebut mengalami perubahan 7 bulan kemudian dengan dikeluarkan Peraturan Presiden No. 133 Tahun 2017 tentang Perubahan atas Peraturan Presiden No. 53 Tahun 2017 tentang Badan Siber dan Sandi Negara, yang tepatnya diundangkan pada tanggal 16 Desember 2017. Dengan perubahan peraturan presiden yang cukup cepat (7 bulan), terlihat bahwa pemerintah seperti tergesa-gesa membentuk BSSN dalam merespon fenomena siber. Meski demikian, keberadaan BSSN tetap diperlukan untuk optimalisasi dan penjaga kedaulatan siber Republik Indonesia.
Secara nomenklatur, BSSN digerakkan oleh Lembaga Sandi Negara, sehingga tidak heran jika Mulyadi berpendapat bahwa ruh dari tubuh BSSN adalah sandi negara. Struktur BSSN juga diperkuat dengan bergabungnya Direktorat Jenderal Aplikasi dan Informatika (Ditjen Aptika) Kementerian Komunikasi dan Informasi (Kominfo) yang melebur menjadi satu dengan Lembaga Sandi Negara menjadi lembaga pemeritah non kementerian. Adapun tugas dari BSSN adalah melakukan identifikasi, deteksi, proteksi, penanggulangan, pemulihan, pemantauan, evaluasi, pengendalian proteksi e-commerce, persadian, penapisan, diplomasi siber, manajemen krisis, pusat kontak siber, sentra informasi, dukungan mitigasi, pemulihan penanggulangan kerentanan, insiden dan/atau serangan siber (lihat pasal 3 Kepres No. 53 Tahun 2017). Keseluruhan tugas tersebut di atas menjadi kewenangan BSSN sejak penyusunan kebijakan, pelaksanaan, pemantauan, kordinasi, dan pengawasan.
Berdasarkan tugas yang diemban oleh BSSN, terlihat jelas bahwa BSSN benar-benar berfungsi sebagai penjaga gawang dari ruang siber yang selama ini dianggap sebagai dunia baru yang sulit diatur. BSSN juga menjadi otoritas sertifikasi digital sebagaimana diamanatkan dalam PP No. 82 Tahun 2012 tentang Penyelenggara Sistem dan Transaksi Elektronik. Dengan adanya otoritas sertifikasi maka mandat standardisasi sistem elektronik yang selama ini dipegang oleh Badan Stardisasi Nasional harus diambil alih oleh BSSN khusus di bidang sistem elektronik. Secara yuridis normatif tugas BSSN terlihat begitu luas dalam mengatur ruang siber.
Dalam kaitannya kedaulatan siber, ruang lingkupnya juga menjadi luas mengikuti tugas dari BSSN itu sendiri, sebagaimana diamanatkan dalam Keppres. Untuk dapat mengartikan kedaulatan siber oleh BSSN dalam tulisan ini dimaknai bahwa BSSN berwenang dan mampu mengatasi isu-isu strategis yang ada di ruang siber. Agar dapat mengatur ruang siber secara optimal maka ada beberapa isu yang memiliki urgensi tinggi untuk segera diatasi oleh BSSN, antara lain masalah: hoax, e-commerce, data protection, cyber crime, dan cyber security. Masalah siber bukanlah hanya lima masalah di atas, tetapi setidaknya kelima masalah di atas memiliki tingkat urgensi tinggi yang harus segera dihadapi oleh BSSN dalam menjalankan tugas dan fungsinya.
Hoax
Permasalahan tentang hoax mulai marak di Indonesia sejak tahun 2014, yang ditandai dengan pemilihan presiden antara Jokowi dengan Probowo. Berbagai isu tentang suku, agama, ras dan politik mulai dimainkan untuk memperkuat kubu masing-masing. Rentang waktu antara tahun 2014 – 2017 sepertinya pemerintah kesulitan mengatasi masalah hoax di Internet. Tetapi dengan ditangkapnya sindikat penyebar hoax Saracen pada tahun 2017, pemerintah dianggap berhasil mengatasi masalah hoax.
Kompleksitas hoax juga diikuti dengan adanya benturan hak antara hak kebebasan berpendapat dengan hak individu atas kehormatan. Alhasil, UU-ITE dijadikan kambing hitam untuk melakukan kriminalisasi orang yang berpendapat di Internet (media sosial, blog, dan sebagainya). Hoax bukanlah masalah yang dapat dengan mudah diselesaikan dengan cara menutup akses atau mengkriminalkan pelakunya, tetapi permasalahan hoax adalah masalah kebiasaan manusia. Artinya mengurusi hoax tidak bisa dilakukan dengan cara pendekatan sistem saja tetapi juga harus dilakukan dengan cara pendekatan humanis, seperti: sosialisasi, membangun etika dan karakter berinformasi, serta peningkatan kemampuan literasi pengguna Internet. Di sisi lain, dengan rendahnya budaya membaca masyarakat meberikan kesulitan tersendiri untuk menyaring informasi yang akurat.
Masalah kebebasan berpendapat juga seringkali dijadikan tameng bagi sebagian kalangan untuk menjustifikasi penyebaran informasi yang bernada negatif terhadap seseorang. Akibatnya, UU-ITE khususnya pasal 27 ayat (3) menjadi pasal pamungkas untuk menangkap orang yang menyebarkan informasi. Dalam praktik, tidak semua informasi yang ditransmisikan di Internet adalah informasi yang dilakukan secara sengaja untuk mencemarkan nama baik seseorang. Ada juga informasi yang dikirimkan ditujukan untuk melakukan kritik yang mana seharusnya bukan sebagai tindak pidana. Pada kondisi demikian, pengaturan tentang batasan berpendapat menjadi penting untuk diatur secara tegas, sehingga perbuatan berupa kritik yang dilakukan di Internet tidak dengan mudah dikriminalisasi dengan UU-ITE.
Selain penyebaran hoax dilakukan dengan bentuk tulisan, dengan maraknya peredaran MEME juga membuat kesulitan tersendiri untuk mengatur dunis siber. Kompleksitas yuridis yang dimunculkan tidak hanya pada ruang lingkup KUH Pidana dan UU-ITE, tetapi juga menyangkut undang-undang hak cipta dan hak privasi seseorang yang mana gambarnya direkayasa sedemikian rupa.
Berdasarkan penjelasan di atas maka untuk mengatasi masalah hoax bukanlah hal yang mudah untuk dilakukan. Selain itu, untuk mengatasi hoax juga tidak bisa hanya dilakukan dengan pendekatan yuridis dan pendekatan sistem komputer (blokir). Tetapi perlu diikuti dengan cara sosialisas dan mendidik literasi penggunaan Internet, sehingga pengguna Internet bisa lebih bijak dalam menerima, mencerna, dan menyebarkan informasi yang didapatnya. Secara yuridis, instrumen hukum yang perlu diperbaiki adalah dengan membebankan kewajiban kepada admin media sosial untuk dapat mengawasi jalannya diskusi pada grup yang dikelolanya sehingga tingkat penyebaran berita hoax bisa terkendali. Cara demikian dilakukan di India dan Malaysia yang membebankan kewajiban kepada admin grup Whatsapp untuk menjaga grupnya dari berita hoax. Apabila admin grup tidak melakukan pengawasan, maka admin grup bisa dipidana. Dari sisi sistem komputer, langkah pemblokiran juga perlu dilakukan dengan membatasi kata kunci-kata kunci tertentu atau melakukan verifikasi informasi seperti yang dilakukan oleh Facebook. Dengan demikian maka sebaran hoax bisa ditahan dengan tingkat pengamanan di level yuridis, sistem komputer, dan manusianya.
E-Commerce
Ekonomi digital secara global mulai tumbuh sejak tahun 1997-an yang kemudian mulai menyapa dan meramaikan ekonomi Indonesia sejak tahun 2010-an. Sebelum tahun 2010, perusahaan dan bidang usaha yang memanfaatkan Internet tergolong masih sedikit. Lama kelamaan para pelaku usaha mulai menyadari pentingnya teknologi informasi sehingga tingkat utilisasinya mulai meningkat hingga saat ini. Berbagai varian dan jenis e-commerce kemudian bermunculan dari bentuk bisnis model business to business, business to customer, hingga bentuk marketplace. Ada beberapa faktor yang memperngaruhi pesatnya perkembangan e-commerce di Indonesia, diantaranya: kesiapan infrastruktur Internet, kesiapan logistik, kesiapan sistem pembayaran, dan kebiasaan manusia. Meski demikian, faktor penentu utamanya adalah tingkat kepercayaan konsumen dan penjual.
Menilik pemain lama dan pemain besar e-commerce dunia seperti Amazon dan e-bay, mereka bukanlah raja e-commerce di Indonesia. Alasannya tingkat kepercayaan antara penjual dan pembeli yang memang masih rendah. Jika tingkat kepercayaan penjual tinggi, maka Amazon dan e-bay akan menjadi raja e-commerce di Indonesia. Oleh sebab itu, iklim dan demografi e-commerce di Indonesia menjadi unik dibandingkan dengan negara lain. Selain itu, dukungan perbankan untuk memfasilitasi sistem pembayaran e-commerce juga tergolong lebih lambat dibandingkan dengan di negara lain, sehingga pasar mencari jalan lain dengan membuat model law seperti rekening bersama dan cash on delivery.
Dalam kaitannya e-commerce di Indonesia, ada dua hal penting yang perlu di antisipasi, pertama: standardisasi penyelenggara sistem elektronik yang mampu menjaga komitmen, kejelasan produk, kejelasan penjual, dan keandalan transaksi, dan kedua jaminan akan keamanan konsumen dalam melakukan transaksi serta penyelesaian sengketa konsumen yang terpercaya. Secara yuridis, instrumen hukum terkait perlindungan konsumen dan UU-ITE tentang standardisasi penyelenggara sistem elektronik harus kuat kedudukannya. Selain itu, saluran (channel) penyelesaian sengketa konsumen juga perlu diperbaiki dengan sistem online dispute resolution (ODR) seperti yang dikembangkan oleh e-bay, sehingga mampu meningkatkan kepercayaan publik dalam melakukan transaksi secara online. Seringkali penyelenggara toko online memiliki kebijakan tersendiri yang kadangkala kebijakannya merugikan konsumen dengan berbagai alasan. Padahal di sisi lain, toko online sangat memerlukan konsumen untuk menjaga sustainability usahanya.
Saat ini dengan model perlindungan konsumen yang relatif belum seragam, toko online banyak bermunculan dan dapat menikmati ceruk pasar yang tersedia. Apabila bentuk perlindungan konsumennya memang dirancang untuk melindungi konsumen secara penuh, maka niscaya e-commerce di Indonesia akan berkembang dengan sangat cepat, mengingat tingginya potensi pasar yang tersedia. Selain itu, dengan dibuatnya peta jalan e-commerce Indonesia melalui Peraturan Presiden No. 74 Tahun 2017 tentang Peta Jalan Sistem Perdagangan Nasional Berbasis Elektronik (Road Map E-Commerce) Tahun 2017-2019, penguatan sistem pembayaran mulai bisa dirasakan. Hal ini ditunjukkan dengan banyaknya model dan sistem pembayaran elektronik yang tersedia dengan dukungan banyak bank. Oleh sebab itu, kepercayaan konsumen adalah faktor penentu keberhasilan dari e-commerce dan bisnis model lain sebagai pendukungnya.
Data Protection
Salah satu kelemahan pengaturan ruang siber di Indonesia yang belum selesai dijawab adalah tentang pengaturan data termasuk data pribadi. Pada tahun 2008-2009-an pemerintah berupaya memaksa perusahaan Research in Motion (RIM) Blackberry untuk membangun data center-nya di Indonesia. Pada waktu itu RIM menolak dengan alasan Indonesia belum memiliki undang-undang perlindungan data pribadi. Ketiadaan undang-undang khusus yang mengatur tentang data pribadi masih dialami Indonesia hingga saat ini. Meski demikian, rancangan undang-undang perlindungan data pribadi (RUU-PDP) masih terus dibahas dan didiskusikan oleh Kominfo untuk didorong ke dalam Prolegnas.
Pengaturan tentang data pribadi memiliki tingkat urgensi tinggi untuk diatur, karena saat ini di era Big Data dan Internet of Thing, data menjadi komoditas karena memiliki tingkat ekonomi yang tinggi. Oleh sebagian pakar hukum siber data disebut sebagai the next currency atau mata uang di ruang siber, sehingga derajat urgensi pengaturannya menjadi tinggi. Ada banyak kasus tentang data pribadi seperti intrusi, penyadapan, pengawasan (surveillance), pembobolan, penyalahgunaan dan sebagainya.
Dalam kaitannya pengaturan dan perlindungan data, perlu diinformasikan meski saat ini Indonesia belum memiliki aturan hukum tentang perlindungan data, bukan berarti tidak ada undang-undang yang mengatur tentang data pribadi. Berdasarkan penelitian Elsam tahun 2017, ada sekitar 30 lebih undang-undang terkait perlindungan data pribadi. Hal ini menunjukkan bahwa bukan berarti tidak ada aturan hukum sama sekali yang mengatur tentang data pribadi. Kondisinya, ada aturan hanya saja pengaturannya parsial dan tersebar ke berbagai undang-undang. Oleh sebab itu, jika pemerintah membentuk undang-undang tentang perlindungan data pribadi, maka keberadaan undang-undang tesebut harus menjadi undang-undang payung (umbrella law) tentang data pribadi. Sementara itu, dengan dibentuknya BSSN fungsi pengawasan perlu dilakukan terhadap lalu lintas data pribadi baik yang dilakukan di dalam wilayah jurisdiksi hukum Indonesia, maupun lalu lintas yang keluar dan ke dalam jurisdiksi hukum Indonesia.
Di sisi lain, sebagai salah satu upaya untuk mengatur penggunaan data pribadi dalam amandemen UU-ITE pada tahun 2016 dibuat ketentuan tentang safe harbor. Meski demikian, jika di lihat dari sisi individu sebagia pemilik data pribadi, ketentuan tentang safe harbor lebih cenderung menguntungkan penyelenggara sistem elektronik. Alasannya karena dalam ketentuan safe harbor diatur tentang pembatasan penggunaan penyelenggara sistem elektronik dalam mengambil, menyimpan, mengolah, dan menggunakan data pribadi dan pembatasan tanggungjawab penyelenggara sistem elektronik. Selain itu, ketentuan safe harbor juga membebankan kewajiban bagi penyelenggara sistem elektronik untuk memiliki sistem dan mekanisme komplain terhadap data pribadi. Tetapi dalam praktik, yang perlu diperhatikan adalah pengawasan terhadap penyelenggara sistem elektronik, karena tanpa adanya pengawasan yang jelas dari pemerintah penggunaan data pribadi oleh penyelenggara sistem elektronik tidak terlihat akuntabilitasnya.
Cyber Crime
Kejahatan siber (cyber crime) adalah salah satu bentuk masalah hukum yang paling sering terjadi di ruang siber. Ada banyak jenis cyber crime, tetapi salah satu bentuk cyber crime yang perlu diantisipasi secara serius adalah tentang penipuan dalam arti luas (baik di bidang finansial, transaksi online, investasi bodong online), dan pencurian data. Meski kejahatan lainnya tidak kalah bahaya dan kalah penting untuk ditangani seperti kekerasan seksual anak secara online, judi online, pornografi online, ransomware, dan sebagainya tetap perlu ditangani secara serius. Berdasarkan laporan Indonesia Security Incident Response Team on Internet Infrastructure (ID-SIRTI) setidaknya terjadi 28.430.843 kejahatan siber pada tahun 2015, yang kemudian jumlahnya meningkat menjadi 135.672.984 pada tahun 2016. Dari sekian banyak kasus di atas, 47% merupakan serangan malware dan 44% merupakan penipuan, sedangkan sisanya, 9% adalah serangan terhadap website dan manipulasi data.
Berdasarkan laporan ID-SIRTI terlihat secara jelas bahwa kasus siber yang paling banyak terjadi di Indonesia adalah kasus malware dan penipuan. Meski demikian trennya tiap tahun pasti bergeser mengikuti tingkat edukasi pengguna Internet itu sendiri. Misalnya pada tahun 2016-2017 kasus siber yang marak terjadi adalah hoax dan hate speech yang diikuti dengan ransomeware dengan munculnya kasus Wannacry dan variannya, hingga cyber terorism. Hal ini menunjukkan bahwa trend dari kasus siber bisa berubah-ubah bergantung kondisi pengguna Internet bahkan kondisi global. Akan tetapi jenis kasus yang konsisten terjadi adalah kasus penipuan.
Kondisi di atas menunjukkan bahwa literasi digital menjadi penting untuk diperhatikan. Peningkatan literasi digital ini perlu dilakukan secara sistemik dengan membuat edukasi kepada masyarakat tentang penggunaan Internet. Hal ini cukup beralasan mengingat pertumbuhan pengguna Internet di Indonesia terus meningkat dengan tingkat penetrasi 34% berdasarkan penelitian yang dilakukan oleh Asosiasi Jasa Penyelenggara Jasa Internet Indonesia pada tahun 2016. Hal ini juga berarti bahwa dari pertumbuhan pengguna Internet, banyak pengguna Internet baru (newbie) yang belum mengerti Internet secara baik. Oleh sebab itu pembangunan literasi digital merupakan pekerjaan rumah otoritas siber atau BSSN yang harus diselesaikan.
Cyber Security
Masalah keamanan siber merupakan masalah klasik yang muncul dan perlu antisipasi secara serius ketika berbagai peralatan elektronik mulai berkonvergen satu sama lainnya. Kondisi ini juga dikenal dengan istilah Internet of Things (IoT), yang mana setiap alat saling terhubung satu sama lainnya dengan jaringan Internet. Dengan era IoT, ada banyak alat yang bisa diotomatisasi dan berjalan secara otomatis yang tentunya memiliki bahaya laten bahwa alat tersebut bisa membahayakan manusia atau penggunanya. Misalnya pada mobil otonom yang mampu berjalan secara otomatis.
Masalah tentang keamanan siber juga seringkali dikaitkan dengan kekuatan keamanan melindungi ruang siber dan perlatan lainnya dari serangan teroris atau serang peretas (hacker). Keamanan siber dari serangan peretas terhadap objek vital juga menjadi penting untuk diperhatikan. Selain itu, manual operation terhadap perang siber yang menyerang objek vital dan langkah negara dalam melindungi diri dari serangan pada perang siber juga perlu diatur seperti yang tertulis pada Tallin Manual 2.0. Langkah antisipatif untuk melindungi diri dan pemulihan dari serangan siber perlu diperhatikan dalam rangka membangun kemanan siber. Tanpa adanya manual, SOP dan lembaga yang berwenang mengurus kondisi darurat siber maka pengaturan tentang keamanan siber belumlah sempurna. Alasannya karena kondisi serangan siber tidak bisa diprediksi kapan terjadi dan dimana terjadinya. Selain itu, serang menyerang di ruang siber adalah kondisi yang terjadi, tidak hanya dilakukan oleh kelompok tertentu atau teroris, bahkan disinyalir dilakukan oleh negara.
Penutup
Berdasarkan penjelasan di atas, bisa dijelaskan bahwa ada lima bidang yang memiliki derajat urgensi tinggi untuk diantisipasi oleh Badan Siber dan Sandi Negara (BSSN), yaitu: hoax, e-commerce, data protection, cyber crime, dan cyber security. Tugas yang diemban oleh BSSN untuk menjaga kedaulatan siber bukanlah pekerjaan mudah, karena ruang siber adalah ruang yang sangat luas dan tanpa batas. Oleh sebab itu, untuk dapat melakukan tugas secara efektif dan baik diperlukan kolaborasi terpadu antara BSSN dengan pihak-pihak terkait yang tidak hanya akademisi dan pebisnis. Selain itu, hal yang yang perlu disadari oleh BSSN adalah isu yang dihadapi di ruang siber tidak mengenal kesiapan suatu negara apakah negara tersebut maju atau negaranya sedang berkembang. Selama suatu negara terhubung dengan jaringan Internet, maka isu-isu siber yang dihadapi pada prinsipnya sama saja. Kondisi demikian menunjukkan bahwa untuk menangani permasalahan di ruang siber tidak bisa didikotomikan isunya antara isu negara berkembang dengan isu negara maju, sehingga mau tidak mau, dan siap tidak siap, BSSN harus bisa mengambil langkah strategis dalam menjaga kedaulatan siber. Terlepas dari beban beran yang diemban oleh BSSN, semoga dengan keberadaan BSSN, kedaulatan siber Indonesia bisa dijaga dengan baik. (***)