Cyberthreat – Indonesia butuh regulasi keamanan siber agar bisa memaksa organisasi menyiapkan sistem jaringan lebih aman sesuai dengan aspek standardisasi keamanan.

Adi Saputra, analis perangkat lunak jahat (malware), mengatakan, secara umum serangan siber yang terjadi di Indonesia tak jauh berbeda dengan negara-negara lain di dunia.

Dalam konteks malware, seperti halnya ransomware yang menyerang Bank Indonesia baru-baru ini, peretas (hacker) sebetulnya tidak perlu menargetkan organisasi atau korporat tertentu.

“Tetapi, [malware itu menyasar, red] seluruh perangkat yang terkoneksi ke internet dan memiliki celah keamanan pada perangkat baik software maupun hardware,” ujarnya kepada Cyberthreat.id, Minggu (23 Januari 2022).

Pendiri Komunitas Cyber Defense Indonesia itu menuturkan, yang membedakan antara Indonesia dan negara lain ialah dalam hal penanganan insiden.

“Biasanya organisasi di Indonesia yang terkena [serangan siber], penyelesaiannya secara internal,” ujar Adi.

Ia tak menutup mata bahwa masih ada kendala keterbukaan informasi organisasi kepada publik terkait dengan insiden siber. “Karena belum ada regulasi yang mengatur tentang keamanan siber, terutama perlindungan hukum bagi korban (organisasi) yang terdampak,” katanya.

Yang dibutuhkan oleh sebuah organisasi saat menjadi korban serangan siber, kata dia, sebuah “klarifikasi” agar menjadi “kesadaran bagi organisasi lain lebih waspada.”

“Setiap organisasi harusnya perlu berkoordinasi dengan pihak-pihak terkait, seperti BSSN dan Cyber Polri agar bisa melakukan investigasi dan pelacakan penjahat siber,” ujar Adi.

Apakah RUU Pelindungan Data Pribadi cukup bisa memaksa organisasi seperti yang diharapkan tersebut? Adi memiliki keyakinan bahwa RUU tersebut bersama RUU Keamanan Siber, “bisa menjadi acuran bagi organisasi. Yang diperlukan sebenarnya kewajiban atau pemaksaan organisasi untuk memenuhi aspek keamanannya,” katanya.

“Karena celah (vulnerability) bisa terjadi karena lalai atau pengabaian dari standardisasi itu. Terlebih karena akses internet atau jaringan kantor secara online [bisa dilakukan] di mana saja—work anywhere,” kata Adi.

Sejauh ini, Badan Siber dan Sandi Negara sebatas memberikan nasihat agar penyelenggara sistem elektronik, terutama publik baik pusat maupun daerah menerapkan Peraturan BSSN Nomor 4 Tahun 2021.

Peraturan badan tersebut berisi tentang manajemen keamanan sistem pemerintah berbasis elektronik (SPBE) dan prosedur keamanan yang menjadi acuan bagi setiap penyelenggara sistem elektronik (PSE).

“Peraturan ini menjadi penting karena setiap PSE harus menyelenggarakan sistem elektronik secara andal dan aman serta bertanggung jawab terhadap beroperasinya sistem elektronik,” kata Deputi Bidang Keamanan Siber dan Sandi Pemerintahan dan Pembangunan Manusia BSSN Akhmad Toha, November lalu. (Baca: 5 Aspek Keamanan Informasi yang Harus Dipenuhi Kantor-kantor Pemerintah)[]