Ilustrasi. (Foto: Istockphoto/ipopba)Dewan Perwakilan Rakyat (DPR) pada awal Juli 2019 telah menyetujui Rancangan Undang-Undang Keamanan dan Ketahanan Siber (RUU Kamtansiber) menjadi usulan untuk dibahas sebagai peraturan inisiatif DPR. Badan Siber dan Sandi Negara (BSSN) akan menjadi lembaga yang memiliki kewenangan menjalankan peraturan ini.
Ketua DPR, Bambang Soesatyo bahkan mengatakan RUU sudah masuk prolegnas dan akan diselesaikan pada akhir September. Saat ini RUU Kamtansiber disebutnya telah dalam tahap pembahasan Badan Legislasi (Baleg).
"Seluruh fraksi sudah menyetujuinya, berbagai masukan, kerangka berpikir dari akademisi dan stakeholder sudah ada. Jadi tinggal pembahasan saja," katanya beberapa waktu lalu.
Akan tetapi, beleid terbaru ini dianggap memancing polemik. Bahkan UU Perlindungan Data Pribadi yang sudah antre sejak lama di prolegnas tak kunjung jelas kabarnya. Selain terkesan terburu-buru, aturan bahkan disebut melanggar beberapa standarisasi keamanan siber internasional.
Ketua Association Forensic Digital Indonesia (AFDI) Kombes Pol Muhamm
er yang sudah tertuang dalam International Organization for Standardization (ISO).
Muhammad mengatakan perbedaan pertama berada pada judul beleid tersebut yang menggunakan kata Keamanan dan Ketahanan Siber. Padahal ISO hanya membahas kata keamanan siber. Ia tidak mengetahui dari mana asal kata ketahanan tersebut.
"Kalau kita mengacu ke literatur internasional yang ada satu kata, keamanan siber. ISO 27032 tentang panduan untuk keamanan siber cyber security. Saya juga tidak tahu kenapa muncul istilah satu kata ketahanan itu," ujarnya kepada CNNIndonesia.com.
Muhammad mengatakan draft RUU Kamtansiber tidak membahas apakah keamanan siber dalam RUU Kamtansiber itu masuk ke pre incident, incident, atau post incident.
"Kita mau masuk ke sisi mana? Karena dalam keamanan siber itu sudah ada namanya ISO 27035 tentang security insiden management. Jadi kalau nanti ada suatu insiden bagaimana me-managenya. Kalau yang 27037 itu tentang kaitannya handling process terhadap bukti digital. Jadi ada standarnya. Kita mau masuk ke mana," katanya.
Pre Incident adalah langkah-langkah pencegahan atau mengamankan sistem dan jaringan dari serangan siber. Dalam pre incident, Muhammad menjelaskan ada edukasi dan audit. Edukasi ini berbentuk literasi kepada masyarakat tentang kesadaran dalam keamanan siber.
Di sisi lain, audit dibutuhkan untuk melakukan pengecekan ulang dari sisi keamanan dan ketahanan dari sisi sistem dan jaringan yang rentan diserang.
"Audit itu mulai dari perangkat keras, perangkat lunak, termasuk dari audit ke sisi manajemen. Yang sering terlupakan itu adalah audit sisi manajemen. karena sesungguhnya tak ada keamanan siber tanpa ada campur tangan langsung dari sisi manajemen," ujarnya.
Sisi manajemen resiko keamanan sering dilupakan karena orang-orang di bidang siber menganggap peranti lunak dan peranti keras keamanan siber sudah mumpuni untuk menangkal serangan.
"Seringkali orang di Indonesia atau pun dunia seakan-akan kalau sudah punya hardware dan software canggih itu sudah aman. Padahal tidak, kita butuh manajemen yang atur segala macam prosedur operasi standar," ujarnya.
Muhammad mengatakan di saat serangan terjadi, yang bisa dilakukan adalah monitoring. Hal ini dilakukan untuk mendeteksi adanya serangan siber. Selanjutnya dalam post incident, harus dilakukan investigasi dan mitigasi.
Mitigasi berkaitan dengan pemulihan sistem. Langkah apa yang harus dilakukan agar sistem bisa pulih dengan cepat.
"Investigasi itu yang dilakukan penegakkan hukum. Ini membutuhkan waktu lama, apalagi kalau berhadapan dengan peretas yang well organized, belum lagi yang disponsori oleh negara," imbuhnya.
Terkait langkah-langkah konkret mitigasi, Muhammad menilai RUU Kamtansiber belum memiliki hal tersebut. Langkah-langkah pemulihan belum dijelaskan dalam bagian kedua aturan yang berjudul "Mitigasi Risiko Ancaman Siber."
"Kemudian pasal 12 tentang mitigasi risiko. Kalau terjadi serangan dan ada sistem down, bagaimana sistem dibangkitkan kembali (recover) itu termasuk bagian dari mitigasi. Dan itu tidak disebut di dalam pasalnya," ujarnya.
Pasal 13 menyebutkan "Mitigasi risiko Ancaman Siber sebagaimana dimaksud dalam Pasal 12 dilaksanakan sesuai dengan standar khusus yang ditetapkan oleh BSSN."
Muhammad merasa keberatan dengan kata "standar khusus" BSSN ini karena artinya aturan ini tidak sesuai ISO. Selain itu ia mengatakan tidak menemukan "standar khusus" yang diminta oleh BSSN dalam aturan tersebut.
"Di pasal 13 disebutkan ada standar khusus dan penilaian, itu saya tidak temukan. ISO sudah punya standar sendiri. Apakah kita merasa lebih pintar dibanding ISO mau membuat standar lagi. Apakah kita pemain lama, lebih lama dibanding teman-teman di luar sana," ujarnya.
Sumber: https://www.cnnindonesia.com/teknologi/20190820172259-192-423120/mengulik-uu-kamtansiber-penjaga-baru-dunia-siber
