Cyberthreat.id – Masifnya penggunaan internet sekarang masih belum dibarengi kesadaran pentingnya melindungi diri, bisnis, dan sebagainya dari segala risiko siber yang muncul.

Pertimbangan itulah yang membuat Profesor Teknik Komputer Kalamullah Ramli menginisiasi id-CARE (Indonesia Cyber Awareness and Resilience Centre) di Fakultas Teknik Universitas Indonesia.

id-CARE ibarat pusat studi dan riset di bidang keamanan siber. Ramli ingin agar lembaganya itu mempromosikan kesadaran siber dan perlindungan data.

"Perlunya bangsa ini memikirkan ketahanan data Indonesia dan kesadaran siber, meningkatkan kesadaran bangsa Indonesia terkait keamanan siber dan data pribadi maupun data negara. Itu motivasi dasarnya," ujar Ramil kepada Cyberthreat.id, Rabu (13 April 2021).

Menurut Ramli, kesadaran terhadap keamanan siber dan perlindungan data harus dipahami tidak hanya oleh masyarakat, tapi juga oleh pemerintah dan perusahaan/organisasi yang mengelola data pribadi.

Sayangnya, kata dia, di level pemerintah yang bertindak menerbitkan regulasi masih terdapat celah terutama berkaitan keamanan siber. Untuk lebih lengkapnya, berikut wawancara wartawan Cyberthreat.id, Tenri Gobel dengan Prof Ramli.

Fokus id-CARE pada isu kesadaran siber dan pelindungan data ya?

Iya. Kenapa semua itu penting? Kesadaran pentingnya data ini merata dari kalangan pemerintah, pengambil keputusan, para pimpinan perusahaan, masyarakat kita. Kesadaran harus terus kita kampanyekan, usahakan meningkat dari sisi masyarakat, karena masyarakat masih suka ceroboh, lalai menempatkan data pribadi mereka di medsos. Padahal dengan data pribadi itu orang jahat bisa melakukan apa saja.

[Setidaknya] menyadarkan mahasiswa saya, karena saya yakin mahasiswa S2, S1 saya pada satu titik mereka akan menjadi pemimpin negeri. Jadi, saya enggak pernah lelah sih kalau ngomong, paling enggak saya ngomong: kalian harus tanamkan ini (perlindungan data pribadi), kalian harus sadar.

Cara menyadarkannya bagaimana?

Investasi SDM, peningkatan kapasitas, pemberian teknologi, pengadaan teknologi untuk melindungi data di perusahaan atau layanan publik itu masih rendah.

Makanya untuk menyadarkan para pejabat negara dan pemimpin perusahaan, pengambil keputusan ini, kami merancang Cyber Security for Leaders. Ini penting karena pada akhirnya yang mengambil keputusan ini adalah para pemimpin.

Orang-orang teknis yang sudah pakar, certified, dan lain-lain, tetap saja mereka bukan pengambil keputusan, dan kalau mereka bicara ke pemimpin, mereka mungkin kalah secara pengaruh. Di sinilah peran perguruan tinggi bisa membantu menyampaikan pentingnya ini kepada pemimpin.

Targetnya kesadaran siber di level pemimpin ya…

Kami menetapkan itu salah satu target dari Cybersecurity for Leaders. Tentunya kontennya tidak terlalu teknis, harus ada tentang ekonomi, at the end, pasti pemimpin mikirnya ekonomi, dampak sosial, dan lain-lain bukan teknis.

Ngomong-ngomong, bagaimana Anda melihat permasalahan keamanan siber di Indonesia sekarang?

Paling besar menurut saya Rancangan Undang-Undang Pelindungan Data Pribadi (RUU PDP) belum ada. Sekarang data itu digunakan seenaknya, disalahgunakan. Masyarakat jadi lemah posisinya karena tidak ada UU yang melindungi mereka. UU secara sektoral ada, misalnya kesehatan, tetapi itu sektoral mengatur para nakes, data pasien. Lalu, data [perusahaan] telco, data perbankan; di luar itu semua tidak ada yang mengatur.

Kasus yang ramai sekarang ini: pinjol (pinjaman online). Ini masalah besar, banyak orang pakai data orang lain, tiba-tiba orang tidak pinjam, tetapi jadi korban. Ini luar biasa penyalahgunaan data menurut saya itu. Kalau tidak ada UU-nya mereka (pelaku) tidak bisa diseret secara pidana, karena menurut saya ini pidana, karena sudah menyusahkan orang lain, mengancam hidup orang lain.

Data kita sekarang itu ada di mana saja. Apalagi di pemerintah daerah atau di mana-mana senang banget minta fotokopi KTP. Mending kalau itu mereka peduli [perlindungannya] dengan KTP dan KK di kelurahan. Jangan-jangan setelah itu jadi bungkus gorengan. Selalu minta data pribadi, tetapi tidak ngerti cara treatment.  Sebaiknya kalau tidak bisa melindungi data pribadi mending jangan minta.

Usulan Anda?

Tinggal print saja dari mereka, benar tidak data bapak ini masih valid. Atau, KTP diperlihatkan, disesuaikan. Sudah, tidak perlu minta fotokopi.  Tanda tangan berdua.

Bukti fisik masih jadi andalan…

Iya. Intinya, kulturnya masih kultur senang ngumpulin data orang. Sudah itu mereka tidak bisa treatment data orang lagi, akhirnya di taruh di boks. Dibuang begitu ada pembersihan karena kantornya penuh. Data dibuang begitu saja ke tempat sampah, kan gila itu data pribadinya.

Mending ada budaya ngancurin data, ini enggak ada. Dibakar saja enggak. Kalau dia sadar kan dibakar saja setelah didigitalkan.

Posisi masyarakat jadi kurang terlindungi ya…

Dari negara juga ada kelemahannya. (Ia pun mencontohkan posisi pengguna media sosial. Perusahaan media sosial global belum tunduk dengan hukum di Indonesia.)

Kita tidak bisa pernah memaksa para media sosial global ini untuk taat pada peraturan di Indonesia karena mereka tidak punya badan hukum di Indonesia. Sehingga, secara peraturan harus dipaksa mereka punya badan hukum di Indonesia agar mereka terikat dengan peraturan di Indonesia.

Ketika terjadi kebocoran data seperti Facebook dalam kasus Cambridge Analytica, mereka bisa diseret, bisa diminta pertanggungjawaban, bisa dihukum.

Sekarang mereka di awan-awan, Facebook dan Google di atas udara Indonesia , mengambil data Indonesia, tetapi mereka tidak kena pajak. Ini masalah besar bagi Indonesia. Kalau mereka tidak dipaksa taat pada peraturan di Indonesia, negara akan rugi berkali-kali, datanya diambil, pajaknya dihindari, dan seterusnya.

Bisakah UU PDP mengatasi permasalahan itu?

Oh iya, mereka [para platform medsos] sangat takut sekarang di Eropa karena ada GDPR. Dendanya besar sekali. Mereka takut, enggak main-main.

Denda di RUU PDP juga besar…

Lumayan besar. Nah, nanti perlu diedukasi masyarakat supaya jangan main-main dengan data pribadi orang lain. Banyak yang naif, euforia, senang sudah punya Facebook, punya Instagram, lalu menghina-hina orang, kena UU ITE nangis-nangis. Maka, penyadaran-penyadaran itu penting bagi masyarakat Indonesia, agar tidak terlalu naif—mengerti risiko paling tidak.

Oh ya, apakah id-CARE juga meneliti malware?

Anak-anak S3 saya banyak riset, ini memang berat di Indonesia. Saya pernah jadi Dirjen (Pos dan Penyelenggara Informatika/PPI) dan Kepala ID-SIRTII, saya pernah dapat laporan dari para operator, dari para pelaku keamanan bahwa 60 persen trafiknya di telco dan ISP (internet service provider) itu malware isinya, artinya data-data sampah.

Malware kan bisa mengirim data secara random, trafik kita penuh dengan malware sebenarnya. Karena banyak ponsel, internet nodes, komputer yang tidak di-patch atau terproteksi dari malware; sehingga malware ini bisa berasal dari mana-mana. Akhirnya menyerap data nasional kita karena sebagian trafiknya adalah trafik malware.

Malware juga ada yang mencuri data ya...

Banyak, ada dari phishing juga.

Ia bercerita tentang rekayasa sosial (social engineering). Teknik ini yang sering dipakai untuk mengumpulkan data karena masyarakat Indonesia sangat permisif. “Ada orang baru kenal kita langsung cerita data, nomor ponsel dikasih, alamat rumah dikasih....enggak semua orang tanya baik tujuannya. Itu belum disadari juga ya sama masyarakat untuk melindungi datanya,” ujar Ramli.

Ada istilah baru namanya “OSINT” (open source intelligence). Jadi, orang-orang yang mencari data orang Indonesia lewat sumber-sumber open source, dari Twitter, Instagram—itu melakukan proses intelijen melalui open source. Sumber-sumber yang disediakan cuma-cuma. [Ini yang membuat] kadang-kadang ada orang yang diretas WhatsApp-nya karena tidak mengaktifkan 2FA.

Ini soal peretas ransomware yang membocorkan data perusahaan di Indonesia, tetapi transparansinya masih kurang dibandingkan di luar negeri. Pendapatnya?

Harus ada aturannya. Paling penting sebenarnya regulasi dan penegakan aturan. Regulasinya harus diadakan dan aturannya harus ditegakkan. Apa regulasi yang ada sekarang? Ada beberapa aturan di Kominfo, tetapi sejauh mana sudah diterapkan, itu perlu dilihat juga.

Yang paling penting adalah PDP. Kalau PDP itu sudah berkekuatan hukum sudah menjadi UU, setiap perusahaan yang mengalami kebocoran data harus transparan membukanya kepada publik. Ini termasuk incident response, bagaimana merespons insiden mereka, mereka harus cepat beritahu publik supaya publik sadar melindungi datanya, mengubah password dll, sehingga kebocoran datanya tidak berimbas ke mana-mana. Itu harus dipaksa itu. 

Sekarang ada tidak regulasi yang bisa memaksa seperti itu?

Sebenarnya turunan UU ITE, PP PSTE sudah mengatur itu, tinggal bagaimana ditegakkan saja. Dalam hal ini pemerintah tidak boleh permisif. Seperti kebocoran Bukalapak dan Tokopedia, dalam hal ini pemerintah menurunkan penyidik negeri sipilnya untuk mencari tahu kenapa. Tidak boleh dibiarkan menguap begitu saja. Pemerintah harus juga melakukan penyidikan dan mengumumkan apa penyebabnya supaya mereka juga memperbaiki diri.

Seolah-olah pemerintah takut ini berimbas pada ekonomi. Sehingga lebih hati-hati mengambil tindakan. Menurut saya justru untuk memulihkan kepercayaan pemerintah harus tegas. Bagi saya itu yang paling penting adalah kepentingan masyarakat. Bagaimana memproteksi kepentingan masyarakat. Bagi saya itu fungsi pemerintahan yang besar adalah dia hadir melindungi kepentingan masyarakat dari kejahatan, tidak hanya bisnis yang dilindungi pemerintah.

Tantangan keamanan siber di era sekarang apa, sih?

Ini disampaikan banyak lembaga di dunia yang meranking cybersecurity, Indonesia itu masih lemah dari sisi regulasi. Undang-undang baru ada UU ITE.

Berbeda dengan Singapura, negara ini ranking cybersecurity nomor tiga di dunia di bawah Inggris dan Amerika. Saya pernah diskusi dengan pakar cybersecurity dari Singapura, dia mengatakan Singapura punya tiga UU untuk melindungi dunia sibernya. Pertama, UU keamanan siber, UU kejahatan siber, dan  UU PDP.

Bedanya apa?

UU keamanan siber dan UU kejahatan siber itu berbeda. UU keamanan siber berbicara tentang bagaimana mengamankan infrastruktur strategis negara, data negara, data rakyat, bagaimana kerja sama antar-stakeholder. UU ini tidak berbicara tentang aktor jahat, [sedangkan] UU kejahatan siber tentang kejahatan, khusus kejahatan ada di situ semua.

Di Indonesia kan baru ada UU ITE, itu posisinya hemat saya masih bingung nih—UU keamanan siber sekaligus UU kejahatan siber. Jadinya tidak fokus.

Menurut saya, RUU Keamanan dan Ketahanan Siber (KKS) mungkin bisa menjadi UU keamanan siber. UU ITE jadi UU kejahatan siber. Jadi nanti berbagi tugas dua undang-undang itu. Disamping sudah ada RUU PDP yang sudah ada konsepnya.

Kemarin ramai kritik RUU KKS karena lebih ke BSSN sentris—ini UU cybersecurity apa UU BSSN?

Makanya RUU KKS tidak dibahas lagi ya?

Enggak masuk prolegnas. Ini penting bagi kita untuk membangun kesadaran di kalangan legislator. Soal cyber awareness mereka juga harus tahu sehingga tidak terus menerus ditolak usulannya. Jangan [alasan RUU] ini enggak perlu masuk prolegnas. Kalau dibilang prioritas, semuanya prioritas, tapi kan kita harus merasakan kegentingannya: genting atau tidak. Menurut saya sudah genting karena Indonesia sudah tidak bisa dibebaskan, tidak bisa lepas lagi dari dunia siber. Semua transaksi kita di siber sekarang.

Selain regulasi, apa yang masih kurang di Indonesia?

Di negara maju itu ada forum namanya ISACs (Information Sharing and Analysis Center). Itu harusnya dibangun per sektor, ini sudah saya sampaikan ke BSSN. BSSN harus membudayakan setiap sektor harus punya ISACs.

Jadi setiap ada kejadian [siber] di suatu sektor dirapatkan bersama oleh semua pelaku bisnis di sektor itu. ISACs ini tempat berkumpulnya cyber incident responsenya satu core bisnis.

Sekarang BSSN fokus bangun CSIRT...

Saya juga sudah bicara dengan biro perencanaan BSSN: Anda tahu enggak bagaimana keamanan siber di Amerika itu dibangun? Amerika itu membangun keamanan sibernya dengan melibatkan sektor privat secara intensif, karena siber itu hanya 20-30 persen yang dijalankan oleh pemerintah, 70 persennya sektor privat.

Kalau sektor privat tidak dilibatkan, tidak tumbuhkan kesadaran yang sama, percuma! Pemerintah memang punya peran harus mengamankan datanya sendiri, makanya pemerintah harus punya GOV-CSIRT supaya pemerintah itu sendiri aman, setelah itu melakukan fasilitasi supaya privat-privat ini juga sama-sama mengamankan dirinya. Supaya keamanan secara nasional itu adalah kolaborasi antara upaya pemerintah dan sektor privat mengamankan dirinya, karena saling terkait.

Saran Anda untuk BSSN?

BSSN inikan lembaga muda ya, lembaga baru, saya menganggap BSSN sekarang pada masa transisi, tadinya kan dia lembaga yang sangat tertutup, semi intelijen, kan. Ketika dia menjadi pengampu atau menjadi penanggung jawab masalah keamanan internet negeri, dia harus belajar terbuka, harus belajar bersosialisasi, merangkul orang-orang sipil, atau komunitas. Mereka perlu pembiasaan itu. Tidak mudah loh mengubah kultur tertutup menjadi terbuka.[]

Redaktur: Andi Nugroho