Tiga PR Besar Menanti Badan Siber dan Sandi Negara

Jakarta - Setelah cukup lama dan sejumlah drama, termasuk perubahan tata urutan pertanggungjawaban dalam Peraturan Presiden di saat terakhir, akhirnya negeri ini memiliki Badan Siber dan Sandi Nasional (BSSN).

Lembaga baru setingkat kementerian ini yang merupakan gabungan dari Lembaga Sandi Negara (Lemsaneg) dan Direktorat Keamanan Informasi Kementerian Kominfo, diharapkan akan menjadi lembaga terdepan dalam mengelola pertahanan dan keamanan negara di ranah siber.

Terlepas dari kehebohan netizen terkait statement 'hoax membangun' yang sempat diucapkan oleh Kepala BSSN Djoko Setiadi, penulis percaya bahwa walaupun memang beberapa waktu terakhir ini, seiring dengan memanasnya polarisasi politik dalam negeri, industri hoax ini mencapai tahap yang mengkhawatirkan.

Tapi sebetulnya BSSN memiliki pekerjaan rumah luar biasa besar yang lebih mendasar daripada sekedar 'mengelola' hoax ini. Setidaknya ada tiga pekerjaan rumah yang harus segera dirampungkan oleh BSSN supaya lembaga ini tidak sekedar menjadi macan ompong.

1. Koordinasi Aktivitas Siber Antar Lembaga Negara.

Beberapa tahun terakhir, sejumlah institusi negara seperti berlomba-lomba membangun kekuatan di ranah siber ini. Dan tentu saja kegiatan pembangunan kekuatan siber ini melibatkan anggaran negara yang cukup besar. Baik itu diperuntukkan untuk penanganan kegiatan kriminal siber ataupun untuk antisipasi aktivitas siber yang dianggap mengancam pertahanan dan keamanan negara.

Bahkan dalam beberapa kesempatan, terlihat diantara lembaga negara ini seperti terjadi persaingan untuk menjadi yang paling hebat di ranah siber. Hadirnya BSSN tentu harus mampu menjadi koordinator semua kegiatan itu, atau bahkan jika diperlukan mengambil alih inisiatif yang dirasa tidak cocok dilakukan oleh satu lembaga.

Hal ini sangat penting untuk menghindari tumpang tindih kegiatan, yang ujungnya tentu saja akan menyebabkan pemborosan sumber daya milik negara. Tentu kehadiran BSSN ini diharapkan akan membuat seluruh aktivitas terkait keamanan siber menjadi lebih terpadu dengan tujuan yang jelas, tidak lagi sporadis seperti yang terjadi selama ini.

2. Standardisasi Tata Kelola Keamanan Informasi Digital

Suka atau tidak suka, sesudah sekian tahun negara ini memiliki UU Informasi dan Transaksi Elektronik (ITE), kita masih belum memiliki tata kelola keamanan informasi digital yang terstandarisasi. UU ITE sepertinya lebih banyak digunakan untuk 'membereskan' perselisihan atau pencemaran nama baik yang dilakukan melalui media digital.

Hadirnya panduan tata kelola keamanan informasi digital ini sangat penting, mengingat begitu banyak kegiatan pemerintahan yang sekarang sudah sepenuhnya dilakukan memanfaatkan infrastruktur teknologi informasi. Dan selama ini aktivitas tersebut berjalan tanpa ada panduan yang jelas tentang bagaimana aset/informasi digital itu harus diamankan. Sebagian besar berjalan berdasar 'best practice' dengan referensi dari luar negeri.

Apalagi dengan makin gencarnya inisiatif di area e-government dimana sekarang ini pemerintah kabupaten/kota, seperti berlomba-lomba menjadikan kotanya sebagai Smart City. Tanpa adanya panduan tata kelola keamanan informasi yang jelas, inisiatif berbasis teknologi informasi yang sedang ada dalam tahapan euforia ini bisa menjadi bom waktu. Yang untuk memperbaikinya nanti akan membutuhkan biaya tidak sedikit tentunya.

Singkatnya, di era siber ini, negara ini membutuhkan adanya peran Chief Information Security Officer, yang itu idealnya termasuk dalam peran dari Kepala Badan Siber dan Sandi Nasional.

3. Implementasi Certificate Authority Nasional

Pekerjaan rumah ketiga ini sepertinya merupakan pekerjaan rumah yang paling penting dan punya implikasi secara finansial dalam skala nasional yang sangat besar.

Diskusi tentang Certificate Authority yang dikelola langsung oleh lembaga domestik ini sepertinya sudah berlangsung cukup lama. Kelewat lama malah. Penulis sendiri sepertinya sudah mendengar dan beberapa kali terlibat dalam diskusi soal ini mungkin sejak tahun terakhir di abad 20. Dan terakhir terlibat diskusi lagi di awal tahun 2017.

Dari sekian tahun pembahasan tentang Certificate Authority (CA) itu, yang sudah melalui pemerintahan sekian presiden, masih berkutat utamanya pada siapa lembaga negara yang akan menjadi penanggungjawabnya.

Padahal kehadiran CA yang sepenuhnya dikelola di dalam negeri akan menjadi kunci bagi legalitas banyak transaksi digital. Baik itu transaksi keuangan maupun transaksi non keuangan.

Memang banyak hal teknis yang harus diselesaikan untuk implementasi CA yang aseli dalam negeri ini. Namun itu sepertinya pilihan yang tidak terhindarkan dan harus diambil dengan segala konsekuensinya demi mewujudkan kedaulatan digital yang sebenar-benarnya.

Tanpa adanya CA nasional, kita akan selalu bergantung pada sertifikat yang dirilis oleh pihak ketiga yang umumnya dari Amerika sana. Dan tentu saja hal itu akan menjadi celah keamanan yang menganga, karena kita sama-sama tahu bahwa negara seperti Amerika hanya akan merilis sertifikat digital ke pasar yang beberapa generasi lebih lawas dibanding yang digunakan oleh pemerintah mereka.

Belum lagi dengan meningkatnya transaksi e-commerce yang sangat memerlukan otentikasi dan otorisasi dari pihak-pihak yang terlibat dalam transaksi itu. Selama ini penyedia platform dengan alasan kemudahan, memanfaatkan fasilitas otentikasi dari platform populer macam Google atau Facebook.

Tapi itu sama saja artinya kita 'memberi makan' platform itu dengan data transaksi yang bisa mereka gunakan untuk mempertajam mesin pencari dan mesin iklan mereka. Jadi cukup terbayang kan berapa besar implikasi finansial dari kehadiran sebuah sistem Certificate Authority yang idealnya dikelola sepenuhnya oleh lembaga di dalam negeri ini.

Itu kira-kira tiga pekerjaan rumah besar yang harusnya menjadi prioritas utama dari kehadiran lembaga BSSN ini. Mengingat kerumitan tiga PR fundamental itu penulis sendiri tidak berharap lembaga baru ini bisa menyelesaikannya dalam kurun waktu singkat.

Namun semoga kerumitan itu tidak lalu membuat BSSN jadi terjebak berfokus pada isu-isu yang populer seperti pemberantasan hoax atau konten negatif yang itu harusnya bisa menjadi pekerjaan lembaga lain yang memang ditugasi mengurus konten digital.

Harapannya, BSSN nanti bisa mewujud mejadi lembaga yang sakti mandraguna macam 'Big Brother' National Security Agency (NSA) di Amerika Serikat sana.

Penulis, Mochamad James Falahuddin, merupakan praktisi keamanan informasi, Certified Chief Information Security Office (CCISO). Bisa beredar di Twitter dengan akun @mjamesf. (rou/rou)

Berita Terbaru Hari Ini

Comments