Tulisan ini sebagai kelanjutan penjelasan dari jawaban singkat pada artikel "Kegaduhan" Pembentukan Badan Siber Nasional (Basibnas bukan Basinas)
Kedaulatan bukan (hanya) soal pendudukan oleh militer asing. Kedaulatan adalah soal kemampuan menegakan hukum negara kita. Sebagai contoh: Negara A menyatakan patuh kepada hukum dan aturan yang dibuat oleh Negara B, maka Negara A tidak berdaulat walaupun tidak ada seorangpun tentara negara B yang ada di wilayah fisik negara A.
Menurut pendapat saya, akar berbagai masalah dibidang siber adalah banyak pihak terkait dibidang siber aktif untuk mendapatkan kewenangan (dan anggaran), namun aktif pula untuk melepaskan tanggung-jawab (dan konsekuensi) ketika terjadi sesuatu di wilayah kewenangan tersebut. Mungkin, kita tidak membutuhkan Basibnas seandainya kementerian atau lembaga yang saat ini telah ada dan memiliki wewenang dibidangnya mau bertanggung-jawab.
Wilayah siber bisa menimbulkan bencana di wilayah fisik, sekaligus bisa mencegah, mengurangi dampak, dan membantu penanganan bencana di wilayah fisik. Bencana yang saya maksud adalah bencana dalam arti luas, termasuk bencana kerusakan mental, hingga perpecahan NKRI. Negara kita mempunyai terlalu banyak daftar masalah terkait keamanan siber dan informasi, berdampak nyata, namun sangat sedikit dipahami secara komprehensif oleh pihak terkait.
Berikut sebagian contoh nyata dari permukaan gunung es permasalahan siber di Indonesia:
Manfaat nyata e-KTP masih tanda tanya besar sampai sekarang. Pemerintahan Jokowi diwarisi sistem e-KTP yang kondisinya bagai terjebak dalam lumpur hisap, sekaligus menjadi bumerang bagi keamanan nasional. Kementerian dan/atau lembaga terkait yang mendukung Kemendagri saat proyek berlangsung tiba-tiba lepas tangan dan saling menyalahkan. Di sisi industri, baik keuangan, telekomunikasi, dan berbagai sektor lainnya bergantung pada e-KTP sebagai salah satu komponen utama dalam strategi keamanan. Strategi yang harusnya efektif menjadi mandul karena masih maraknya e-KTP palsu.
Aturan registrasi pengguna nomer ponsel hanya dilakukan asal-asalan, sekedar formalitas (terlalu banyak informasi sampah). Kominfo tidak bergigi menghadapi 1002 alasan operator telekomunikasi. Layanan ponsel Indonesia yang (pada prakteknya) bersifat anonim dijadikan fasilitas melakukan kejahatan siber yang sulit dilacak.
Industri telekomunikasi yang layanannya diasumsikan menjamin integritas dan kerahasiaan oleh perbankan, juga bergantung pada eKTP. Padahal yang dijamin oleh industri telekomunikasi (dalam Service Level Agreement / SLA) adalah hanya ketersediaan. Saat terjadi perampokan dana nasabah secara elektronik, semua pihak (termasuk regulator) ramai-ramai lepas tanggung-jawab, menyalahkan nasabah.
Perkembangan dan kompetisi ketat dalam industri perbankan akan terhambat jika harus melakukan proses KYC secara efektif saat calon nasabah membuka rekening. Disisi lain regulator terus mendorong program laku pandai (branchless banking). Penjahat semakin mudah membuat rekening penampung. e-KTP kembali menjadi kambing hitam jika timbul kejahatan yang memanfaatkan eBanking.
Tidak ada pihak yang benar-benar peduli dengan mengambil peran dan tanggung-jawab dalam kemudahan melakukan perampokan di eBanking, walaupun banyak yang sadar bahwa kejahatan tersebut merupakan (potensi) sumberpendanaan terorisme yang berisiko rendah dan berpenghasilan besar. Gelombang pembobolan Internet Banking dengan cara "sinkronisasi token" tahun 2015 menggunakan tehnik hacking "basi" yang sudah saya demonstrasikan secara riil kepada regulator, industri perbankan dan pihak terkait sejak awal tahun 2010. Hingga sekarang tidak ada perbaikan sama sekali.
Siapa yang bertanggung-jawab terhadap edukasi pengguna Internet dan keamanan eBanking yang efektif? Regulator mengeluarkan kebijakan mengenai edukasi nasabah pengguna eBanking. Edukasi yang dilakukan jauh dari efektif, dan lebih bertujuan untuk memberi rasa aman kepada pengguna eBanking, yang akhirnya mengguntungkan penjahat.
Penyebaran informasi nomer rekening secara masif melalui SMS agar orang terjebak salah transfer, “mama minta pulsa”, dan modus usaha penipuan sejenis lainnya masuk kedalam wilayah tak bertuan. Polisi belum bisa menindak karena masih tahap indikasi usaha penipuan, operator telekomunikasi hanya menjalankan tugasnya sebagai pembawa pesan, industri perbankan tidak bisa memblokir rekening yang dicurigai sebagai rekening penampung karena butuh permintaan tertulis dari aparat penegak hukum. Linkaran setan tak berujung yang dimanfaatkan penjahat dengan masyarakat menjadi korbannya.
Penyebaran kebencian, hoax, separatisme, dan konten negatiflainnya tumbuh subur melalui layanan-layanan konten di internet yang pada saat bersamaan memberi manfaat positif bagi masyarakat. Pemerintah hanya berani gertak sambal terhadap penyedia layanan raksasa dengan berbagai macam alasan. Jika berani bertindak, maka masyarakat yang mendapatkan manfaat layanan-layanan tersebut akan beramai-ramai mengutuk pemerintah. Tidak ada pihak yang melakukan pendidikan perjuangan bangsa agar berdaulat di wilayah siber. Tidak ada kementerian atau lembaga yang melakukan perang informasi dengan membanjiri Internet dengan konten-konten positif. Masih untung, masyarakat anti hoax berinisiatif sebagai “pemadam kebakaran”.
Tidak ada pihak yang melakukan langkah strategis dan konkret untuk “melayani” perang informasi di wilayah siber. “Keusilan” wartawan negara tetangga yang mempublikasikan foto jam tangan mewah seorang pejabat Indonesia sudah cukup membuat gaduh. Apa jadinya jika “keusilan” dilakukan secara terstruktur, sistemik, dan masif?
Saat tahun 2013 terungkap penyadapan percakapan telepon Presiden RI oleh Australia yang kemudian berbuntut panjang, tidak ada kementerian atau lembaga yang telah dibiayai oleh APBN yang berani bertanggung-jawab atas insiden penyadapan, atau mengambil langkah taktis untuk mengendalikan situasi “panas” di wilayah siber. Beruntung saat itu teman-teman Komunitas Keamanan informasi (KKI) rela hadir rapat mendadak dini hari di area istirahat Tol Jagorawi untuk memetakan situasi sesungguhnya, berkoordinasi dengan pihak-pihak didalam negri dan teman-teman di Australia.
Parahnya banyak pihak lebih fokus mengembangkan kemampuan menyadap dan meretas bangsa sendiri daripada memperkuat wilayah siber Indonesia. Meruntuhkan layanan elektronik industri perbankan Indonesia secara terstruktur,sistemik dan masif yang mencakup 70% pelanggan selama 3-5 hari tidakla sesulit yang dibayangkan. Bank Indonesia hanya bisa pasrah karena diluar wewenangnya. Kominfo serius mendiskusikan. Pihak-pihak terkait lainnya hanya bilang “wah, gawat donk.”
Kebijakan PP PSTE untuk “mengarahkan” pengembangan pusat data dalam negeri yang berkwalitas, berkapasitas besar, serta dikelola dengan dengan benar dan baik, hanya dijadikan dasar untuk pemborosan uang negara dan devisa secara besar-besaran. Banyak kementerian dan lembaga mengajukan anggaran pembuatan pusat data dibawah standar namun berbiaya diatas kewajaran.
Ketergantungan bangsa Indonesia pada produk TI, termasuk pengamanan siber sudah pada taraf memprihatinkan. Produk-produk yang walaupun sudah terungkap memiliki backdoor tetap dibeli dan dipasang di proyek-proyek sensitif.
Ada banyak isu sensitif lainnya yang mempertontonkan bahwa NKRI di wilayah siber bagaikan manusia bugil yang tidur terlentang dengan kaki terbuka. Maaf kalau saya terlalu vulgar karena sudah saatnya bangsa kita sadar, bangun, dan bangkit.
Kita harus bersama-sama membangun Badan Siber Nasional yang efektif dan efisien dengan meletakan fondasi yang benar dan baik bagi masa depan bangsa Indonesia. Jangan jadikan badan yang baru akan lahir ini untuk kepentingan sesaat.
Gildas Arvin Deograt Lumy, CISA, CISSP, CLSIP, ISO 27001 LI/LA
- Koordinator Komunitas Keamanan Informasi (KKI)
- Penulis buku Hacker's Secrets for CEOs
- Praktisi TI sejak 1992, 20 tahun lebih fokus di bidang keamanan siber dan informasi
Baca juga:
"Kegaduhan" Pembentukan Badan Siber Nasional (Basibnas bukan Basinas)
Apa itu (Calon) Badan Siber Nasional (Basibnas)
