Transformasi digital yang masif sejak pertengahan tahun 2000 telah membawa perubahan sosial yang mendasar. Di dorong oleh berbagai teknologi baru (emerging technology) dibidang teknologi informasi dan bidang telekomunikasi, yaitu: big data, internet of things (IoT), cloud computing, augmented reality, wireless (khususnya IEEE 802.1 dan 4G), mobile computing dan social media telah mendorong proses datafication ditengah kehidupan manusia. Terminologi “Datafication”[i], menurut MayerSchoenberger dan Cukier adalah transformasi aktivitas sosial menjadi data yang terkuantifikasi, sehingga memungkinkan pelacakan secara real-time (waktu nyata) dan analisis prediktif. Secara sederhana, datafication adalah proses konversi aktivitas social yang sebelumnya tidak terkuantifikasi serta tidak terlihat kemudian mengubahnya menjadi data sehingga dapat diolah, dipantau, dilacak, dianalisis, dan dioptimalkan.
Dalam konteks sosial yang lebih luas, fenomena datafication ini telah menempatkan data menjadi jantung kehidupan masyarakat. Dimana aktivitas dan interaksi sosial manusia tak dapat dilakukan tanpa adanya data. Masyarakat dengan ciri seperti dikenal dengan istilah data-driven society atau masyarakat berbasis data. Pada masyarakat dengan karakteristik seperti ini komoditas utama adalah data. Hal tersebut tercermin pada artikel pada majalah The Economist yang berjudul[ii], “The World’s most valuable resource is no longer oil, but data”. Pada artikel itu dijelaskan bahwa masa keemasan bisnis di era ini ada pada Google, Facebook, Amazon dan perusahaan penyedia platform berbasis internet lainnya. Dimana para perusahaan itu menjadikan data sebagai ”bahan bakar” bagi mesin bisnis mereka agar berjalan kencang.
Tak heran jika saat ini diantara prinsip bisnis yang menjadi rujukan utama adalah, ”Turn business into data, and turn data into business”. Secara sederhana prinsip ini bermakna untuk sukses secara material marilah kita memperdagangkan data. Konsekuensinya, aktivitas pengumpulan dan perburuan data menjadi bahan bakar bagi perusahaan-perusahaan kapitalis. Dalam prakteknya, sering terjadi pengumpulan data pribadi tanpa sepengetahuan dan persetujuan pengguna sistem elektronik yang dilakukan dengan berbagai cara dan trik. Padahal setiap manusia harus dilindungi privacynya, hal tersebut tercantum dalam Dekalarasi Universal Hak Asasi Manusia yang berbunyi:
“No one shall be subjected to arbitrary interference with his privacy, family, home or correspondence, nor to attacks upon his honour and reputation. Everyone has the right to the protection of the law against such interference or attacks” (Universal Decalaration of Human Right, article 12)
Jelas bahwa privacy merupakan hak fundamental seorang manusia untuk membangun jarak dan membatasi antara diri dengan lingkungannya dalam rangka melindungi harga diri dan kepentingan pribadinya. Disinilah permasalahan etika dan potensi pelanggaran hak asasi manusia berawal. Bruce Schneier, seorang cryptographer terkemuka dan profesor di Harvard Kennedy School, telah mengingatkan permasalahan ini dengan istilah “Surveillance Capitalism” pada personal blognya.
Disinilah akar permasalahan dari era dimana kita hidup. Kini manusia yang hidup dalam masyarakat berbasis data harus mempertahankan informasi pribadinya, begitu juga dengan perusahaan dan organisasi non profit. Data mereka adalah sumber kekayaan era ini yang jadi incaran pada kapitalis. Diantara pelopor dalam perdagangan dan komersialisasi data pribadi adalah Cambridge Analytica yang tega melakukan manipulasi demokrasi dengan mempengaruhi aspek cognitive dari pemilih pada pemilihan umum di Amerika serta jajak pendapat Brexit. Teknologi yang dikembangkan mereka termasuk dalam kelompok military grade weapon, yaitu teknologi militer yang hanya boleh beredar secara terbatas dikalangan militer. Dimana penggunaannya diatur secara ketat dalam hukum perang. Dalam dunia militer, teknologi yang dikembangkan Cambridge Analytica digunakan dalam Information Operation atau menurut terminologi saat ini disebut cognitive warfare. Teknologi seperti ini biasa diatur dalam kebijakan export control yang ketat.
Dengan demikian efisiensi dan efektifitas hanyalah satu wajah saja dari transformasi digital. Ada resiko siber (cyber risk) yang menjadi satu kesatuan bersama dengan pemanfaatan teknologi informasi tersebut. Dimana seringkali hal tersebut luput dari perhatian pemerintah dan masyarakat karena terbuai oleh janji-janji keuntungan dibalik transformasi digital tersebut. Ketergantungan terhadap teknologi informasi diberbagai sektor kehidupan berbangsa dan bernegara telah menjadi kerentanan yang harus dilindungi dari berbagai resiko siber yang dapat berdampak sangat merugikan.
Selama kurun 2020 ini, korban-korban akibat insiden keamanan siber kerap menghiasi surat kabar, baik bersifat perorangan, lembaga bisnis hingga sektor penyelenggara negara. Mulai dari pencurian identitas (account take over) dan penyalahgunaan untuk melakukan transaksi tidak sah (fraudulent transaction) seperti yang terjadi pada wartawan senior, Ilham Bintang. Juga serangan siber oleh Orang Tak Dikenal untuk melakukan tindak represi terhadap kebebasan menyatakan pendapat bertubi-tubi menimpa aktivis dengan berbagai modus serangan. Misalnya pembajakan akun WhatsApp milik aktivis demokrasi Ravio Patra, yang selanjutnya akun tersebut digunakan untuk menyebarkan pesan provokasi untuk melakukan penjarahan. Beberapa jam setelah itu ia dinyatakan hilang oleh SAFENet. Ia sempat hilang selama sehari sebelum akhirnya Polda Metro Jaya mengakui menangkap Ravio. Meski kemudian Ravio dilepas oleh polisi, kejadian tersebut jelas sangat janggal. Hal serupa juga dialami aktivis mahasiswa asal Lampung, dimana akun Ojol-nya dibajak.
Selain itu, modus serangan siber juga terjadi pada media Tempo dan Tirto karena keduanya kerap menulis berita dan opini yang berseberangan dengan pemerintah. Web Server kedua media tersebut diserrang hingga tak dapat diakses oleh pengguna. Modus serangan lainnya adalah menjadikan pendapat atau status di media sosial sebagai delik ujaran kebencian yang selanjutnya dijerat dengan UU ITE, hal tersebut terjadi pada kasus Ustadzah Kingkin Annida. Ada juga berkembang serangan siber dalam bentuk doxing atau dropping document. Modus serangan ini penyerang membeberkan informasi personal milik korban untuk memberikan intimidasi secara psikologis dan fisik. Hal itu terjadi pada dua orang wartawan Tempo yang artikelnya memverifikasi kebenaran berita tentang COVID19 milik dokter hewan Moh.Hendro Cahyono. Semua serangan siber itu terjadi semata-mata karena perbedaan pendapat dengan pemerintah.
Evaluasi akhir tahun ini akan mengulas peran pemerintah dalam mewujudkan tujuan didirikannya NKRI yaitu melindungi segenap bangsa Indonesia dan seluruh tumpah darah Indonesia, khususnya di ranah siber (cyber space), dari berbagai serangan siber yang mengancam hak asasi warga dan mengancam harta dan jiwa masyarakat. Termasuk kewajiban pemerintah dalam melindungi Infrastruktur Informasi Kritikal Nasional (IIKN) yang meliputi : sektor penegakan hukum, sektor energi dan sumber daya mineral, sektor transportasi, sektor keuangan dan perbankan, sektor kesehatan, sektor teknologi informasi dan komunikasi, sektor pertanian, sektor pertahanan dan industri strategis, sektor layanan darurat, dan sektor sumber daya air. Sudah sepatutnya, pemerintah tidak hanya mendorong transfromasi digital, namun juga memberikan perlindungan yang memadai terhadap berbagai resiko siber (cyber risk) yang menyertai proses transformasi tersebut. Untuk melakukan evaluasi terhadap pembangunan sektor keamanan siber, dalam tulisan ini akan mengacu pada lima pilar strategis yang dicanangkan oleh ITU dalam Global Cybersecurity Index (GCI) yang meliputi: aspek Legal, aspek Technical, aspek Organizational, aspek Capacity Building dan aspek Cooperation. Sebelum masuk ke dalam evaluasi akan disinggung sedikit tentang esensi aset informasi dan system elektronik.
MELINDUNGI ASET INFORMASI DAN SISTEM ELEKTRONIK
Esensi dari keamanan informasi adalah perlindungan terhadap aset informasi, baik dalam bentuk fisik, bentuk analog dan bentuk digital. Yang dimaksud dengan aset informasi adalah semua informasi yang dibutuhkan dan dihasilkan melalui aktivitas antara manusia dengan manusia atau antara manusia dengan teknologi untuk mencapai tujuan tertentu. Dalam konteks keamanan siber maka aset informasi yang dimaksud dibatasi dalam format digital. Sedangkan alat atau teknologi yang digunakan oleh manusia untuk mengumpulkan, mengolah dan mendistribusikan informasi juga dibatasi pada teknologi digital, atau dalam terminologi perundang-undangan kita disebut sebagai sistem elektronik. Dengan demikian mesin ketik atau buku tulis tidak masuk ke dalam teknologi yang dimaksud dalam ranah siber, meskipun kedua teknologi itu digunakan untuk menghasilkan informasi juga.
Tidak semua informasi memiliki nilai (value), sensitivitas (sensitivity) dan kritikalitas (criticality) yang sama. Informasi terkait pribadi seseorang termasuk yang sangat bernilai, sensitif dan kritikal. Misalnya pada dokumen Akta Kelahiran, Kartu Keluarga, Kartu Tanda Penduduk, Rekam Medis, pola makan, pola perjalanan dan transaksi komersial merupakan contoh-contoh informasi yang bersifat personal. Hal-hal ini merupakan aset informasi yang menjadi bagian dari hak asasi manusia yang harus dilindungi negara dari berbagai jenis serangan siber.
Asset informasi yang terasosiasi dan melekat secara personal kerap menjadi sasaran kejahatan siber dan berlanjut pada tindak kriminalitas lainnya. Yang paling umum terjadi adalah pengambilan informasi tanpa izin dan penyalahgunaannya untuk berbagai tujuan. Mulai dari tujuan politik hingga kriminal, bahkan tak jarang yang berakhir dengan pembunuhan dan tindak kekerasan lainnya.
Selain serangan siber terhadap privacy warga, informasi sensitif dan kritis pada sektor-sektor yang termasuk ke dalam kelompok Infrastruktur Informasi Kritikal Nasional (IIKN) juga harus dilindungi oleh pemerintah. Hal ini disebabkan serangan siber tak hanya berbentuk pencurian informasi, namun ada juga yang berbentuk sabotase terhadap obyek vital suatu negara. Sebagai contoh Rusia kerap melakukan serangan siber selama beberapa tahun berturut-turut antara tahun 2015 hingga tahun 2017.
Serangan Rusia pada tahun 2015 adalah milestone penting dalam sejarah perang siber. Serangan tersebut berhasil mematikan sistem distribusi listrik, sebanyak 30 gardu distribusi yang melayani wilayah Ivano-Frankivsk Oblast padam. Sebanyak 230.000 warga kehilangan akses listrik dimusim dingin selama 6 jam. Dua tahun kemudian, pada tahun 2017, Russia kembali menyerang Ukraina dengan skala yang lebih besar menggunakan malware bernama Petya. Dampak pada sektor Infrastruktur Informasi Kritikal Nasional (IIKN) di Ukraina meliputi perbankan, media massa, perbankan dan pembangkit listrik. Russia sendiri tidak pernah mengakui kedua serangan siber tersebut, sumber berita dari peristiwa tersebut berasal dari otoritas Ukraina dan keterangan dari CIA, Amerika Serikat. Perlindungan terhadap asset informasi dan sistem elektronik pada sektor Infrastruktur Informasi Kritikal Nasional (IIKN) merupakan kewajiban negara. Hal ini disebabkan sektor-sektor tersebut senantiasa menjadi sasaran untuk menekan dan bahkan menaklukkan negara lain. Oleh sebab itu banyak negara menjadikan permasalahan ini menjadi bagian dari isu Keamanan Nasional. Sebagai contoh, di Amerika Serikat departemen yang bertanggung jawab atas perlindungan sektor Infrastruktur Informasi Kritikal Nasional (IIKN) adalah Department of Homeland Security (DHS) dengan berkoordinasi dengan National Security Agency (NSA). Di Indonesia Lembaga yang bertanggung jawab adalah Badan Siber dan Sandi Negara (BSSN) yang dibentuk melalui Perpres No. 53 Tahun 2017.
MEMBANGUN EKOSISTEM RANAH SIBER YANG DEMOKRATIS
Untuk melakukan evaluasi terhadap pembangunan di sektor keamanan siber kita akan mengevaluasi lima pilar strategis berdasarkan Global Cybersecurity Index dari ITU (International Telecommunication Union). Sebuah framework yang dikembangkan oleh ITU untuk menilai tingkat cyber resiliency dari sebuah negara. Evaluasi ini bersifat umum dan populer, hanya membantu agar evaluasi dilakukan lebih sistematis saja.
Pertama, evaluasi pada aspek Legal. Pada aspek ini, Indonesia telah memiliki perundangan dan peraturan terkait perlindungan terhadap aset informasi yang melekat pada warga (selanjutnya disebut data pribadi). Namun regulasi yang ada belum mempersenjatai warga negara untuk dapat mempertahankan data pribadi dan hak asasinya di era masyarakat berbasis data (data driven society). Dibutuhkan regulasi baru yang “mempersenjatai” warga negara dengan berbagai prinsip perlindungan data pribadi terhadap Penyelenggara Sistem Elektronik. Saat ini salah satu golden standard dibidang regulasi perlindungan data pribadi adalah GDPR (General Data Protection Regulation) dari Uni Eropa yang diundangkan pada tahun 2017 yang lalu. Berikut ini adalah beberapa hak yang diberikan kepada warga negara:
- Hak mengetahui tujuan data pribadi akan diproses (right to know how data will be processed) ;
- Hak untuk mengakses data pribadi (right of access);
- Hak untuk mengkoreksi data pribadi (right of rectification);
- Hak untuk menghapus data pribadi (right to erasure);
- Hak untuk membatasi pemrosesan data pribadi (right to restrict processing);
- Hak untuk memindahkan data pribadi (right to data portability);
- Hak untuk menolak pemrosesan data pribadi (object to processing); dan
- Hak untuk menolak untuk menolak profiling otomatis (object to automated decision making and profiling)
Selain itu kebijakan perlindungan data pribadi masih bersifat sektoral yaitu terkait dengan transaksi elektronik (UU ITE), terkait dengan keamanan data nasabah pada sektor keuangan dan perbankan dan terkait sektor kesehatan terkait rekam medis (Tabel 1). Belum ada UU yang bersifat mengikat seluruh sektor terkait perlindungan data pribadi, padahal industri internet berkembagn cepat sehingga Penyelenggara Sistem Elektronik akan muncul beraneka ragam di berbagai sektor kehidupan.
Adanya inisiasi RUU Perlindungan Data Pribadi merupakan inisiatif yang tepat. Ia harus dibuat terlebih dahulu ketimbang RUU Keamanan dan Ketahanan Siber. Karena perlindungan data pribadi milik warga harus didahulukan sebelum memberikan kewenangan yang besar untuk melakukan domestic surveillance pada ranah siber kepada pemerintah (Badan Siber dan Sandi Negara).
Sayangnya inisiatif RUU PDP ini belum berhasil disahkan oleh parlemen tahun ini. Padahal RUU PDP ini sangat ditunggu-tunggu oleh masyarakat (selaku konsumen) karena peraturan dan perundang-undangan yang ada belum memadai untuk memberikan jaminan dan kepastian hukum terhadap perlindungan data pribadi. Sebagai contoh, kasus bocornya 13 juta data akun Bukalapak (6 Mei 2020), kemudian bocornya 91 juta data akun Tokopedia (5 Juli 2020) serta 230 data pasien COVID19 (20 Juni 2020) pada tahun ini tidak membuat para penyelenggara sistem elektronik itu jera atas kecerobohan mereka. Tidak ada sanksi yang memiliki efek jera. Padahal kepercayaan atas perlindungan data pribadi di ranah siber merupakan sesuatu yang sangat esensial.
RUU PDP banyak mengacu pada filosofi dari GDPR (General Data Protection Regulation) yang disahkan di Uni Eropa pada tahun 2017 dan mengikat seluruh anggotanya. Saat ini ia menjadi semacam de facto standard bagi regulasi terkait perlindungan data pribadi. RUU ini patut diperjuangkan pada tahun 2021 sebagai pelindung bagi warga terhadap adanya unlawful interception yang kini kerap terjadi baik dilakukan oleh sektor swasta maupun oleh pemerintah.
Yang perlu dipastikan pada RUU PDP adalah jika terjadi kebocoran data pribadi pada Sistem Elektronik yang diselenggarakan pemerintah, maka sangsi juga berlaku bagi pemerintah. Hal ini perlu ditegaskan secara eksplisit dalam rumusan pasal dan ayat agar tak ada kekebalan hukum terhadap pemerintah jika terjadi kecerobohan terhadap data pribadi milik warganya.
Selain itu, ada hal yang tidak diantisipasi dari RUU PDP adalah ketidaksiapan ekosistem untuk melaksanakan dan mengimplementasikan jika kelak diundangkan oleh parlemen. Mulai dari belum diadopsinya standard ISO/IEC 27701:2019 oleh BSN (Badan Standardisasi Nasional) dan Kemkominfo) sebagai acuan teknis ditingkat korporasi maupun organisasi non-profit, kemudian kesiapan SDM yang akan berperan sebagai DPO (Data Privacy Officer) serta kesiapan standard dari segi teknologi yang ramah privacy sejak awal dibuat (secure by design).
Dan yang lebih penting lagi harus ada organisasi independent yang berperan sebagai tempat penyelesaian konflik privacy, terutama jika ada klaim kebocoran data. Di Inggris, lembaga independent itu bernama Information Commissioners’s Office (ICO). Belajar dari implementasi GDPR, akan banyak sengketa tentang kebocoran data yang memiliki konsekuensi komersial yang tidak sedikit, yaitu 4% per annum dari total pendapatan sebelum pajak. Tentunya, jika hal ini tak diantisipasi dengan baik dapat membuka terjadinya ketidakpastian hukum baru di ranah siber di Indonesia.
Kemudian terkait regulasi untuk memperkuat kewenangan BSSN (Badan Siber dan Sandi Negara) yang pada tahun 2019 yang lalu hendak diperkuat melalu RUU KKS (Keamanan dan Ketahanan Siber) sebaiknya ditunda dulu hingga RUU PDP diundangkan. Hal ini untuk mencegah adanya potensi penyalahgunaan wewenang negara terhadap privacy dari warga negara. Untuk sementara Perpres Nomor 53 Tahun 2017 tentang Badan Siber dan Sandi Negara sudah mencukupi.
Untuk memastikan perlindungan HAM di ranah siber, selain mempercepat pengesahan RUU PDP, penting juga untuk mempertimbangkan melakukan perbaikan terhadap UU ITE. Khususnya pasal 27 ayat 3 jo pasal 45 ayat (3) UU ITE tahun 2017 serta beberapa pasal lain yang memiliki resiko yang sama terhadap penyalahgunaan. Pasal tersebut kini menjadi sebab terjadi konflik horizontal dan konflik vertikal yang mengancam kebebasan berpendapat di ranah siber. Pasal ini yang sedianya untuk melindungi nama baik namun kini kerap digunakan untuk menjerat warga negara dalam menggunakan hak kebebasan berpendapat yang sesungguhnya dijamin oleh konstitusi.
Kedua, evaluasi pada aspek Technical. Untuk melindungi segenap warga negara dan sektor-sektor Infrastruktur Informasi Kritikal Nasional (IIKN) yang sangat vital bagi tegaknya sebuah negara maka dibutuhkan adanya sebuah institusi yang bertugas melakukan identifikasi, deteksi, proteksi dan perlindungan terhadap serangan siber. Lembaga ini biasa disebut CERT (Computer Emergency Response team). BSSN yang dibentuk pada tahun 2017 telah membentuk Pusopskamsinas (Pusat Operasi Keamanan Siber Nasional) yang bertugas melakukan koordinasi dengan berbagai pemangku kepentingan di sektor-sektor Infrastruktur Informasi Kritikal Nasional (IIKN). Kalau di Amerika, perlindungan terhadap sektor-sektor ini dilakukan oleh NSA yang serupa dengan BSSN dan Department of Homeland Security (DHS). Di Indonesia tidak mengenal konsep DHS. Berikut ini beberapa catatan selama tahun 2020, yaitu:
- Permasalahan teknologi untuk menghadapi ancaman siber merupakan masalah utama. Ketergantungan terhadap teknologi asing merupakan akar permasalahannya, yang berdampak pada adanya ketergantungan suku cadang, pemeliharaan dan dukungan teknis. Akibatnya Indonesia sangat rentan terhadap tekanan asing yang kerap menggunakan ketergantungan teknologi ini sebagai softpower untuk mencapai tujuan dan kepentingan nasional mereka. Situasi makin rumit ketika dikaitkan dengan perang dagang antara Amerika dan RRC. Hancurnya industry elektronika dan industri strategis nasional adalah penyebab ketergantungan terhadap kekuatan asing. Seharusnya hal-hal mendasar dan strategis dapat dibuat oleh anak bangsa dan digunakan untuk mencukupi kebutuhan nasional.
- Pusopkamsinas membutuhkan adanya ISAC (Information Sharing and Analysis Center) untuk setiap sektor IIKN. BSSN sendiri sudah menetapkan ada 10 sektor IIKN, yaitu: sektor penegakan hukum, sektor energi dan sumber daya mineral, sektor transportasi, sektor keuangan dan perbankan, sektor kesehatan, sektor teknologi informasi dan komunikasi, sektor pertanian, sektor pertahanan dan industri strategis, sektor layanan darurat, dan sektor sumber daya air. ISAC sendiri akan berfungsi sebagai clearing house pada sektor-sektor tersebut terkait dengan ancaman keamanan siber di industri mereka. Hal ini disebabkan sulitnya melakukan deteksi serangan siber dan adanya kebutuhan untuk berbagi informasi dalam sektor industry yang sama terkait indikasi terjadinya serangan atau Indicator of Compromise (IOC).
Selanjutnya ISAC akan melakukan koordinasi dengan Pusopkamsinas terhadap indikasi serangan siber tingkat lanjut yang harus segera ditangani. Belajar dari pengalaman negara-negara Uni Eropa dan Amerika, ISAC sangat dibutuhkan namun untuk membentuknya tidak mudah karena membutuhkan adanya trust diantara perusahaan dalam sektor industry tersebut. Disinilah peran BSSN melalui Pusopkamsinas seharusnya berperan. HIngga kini belum ada ISAC pada sektor-sektor IIKN yang berjalan efektif.
Ketiga, evaluasi pada aspek Organizational. BSSN sudah merumuskan dan mempublikasikan Strategi Keamanan Siber Nasional (SKSN) pada tahun 2020. Namun ada permasalahan mendasar dalam kerangka berfikir strategi tersebut. Dalam dokumen tersebut, BSSN membagi serangan siber menjadi dua jenis yaitu, serangan siber yang bersifat teknis dan serangan siber yang bersifat sosial (sosial media). Hal ini mencerminkan persepsi ancaman (threat perception) yang tidak mencerminkan ancaman siber yang sesungguhnya sedang dihadapi oleh Bangsa Indonesia.
Konsekuensi dari pendekatan itu telah menyebabkan ancaman siber terhadap aspek fisik dan geopolitik dari sistem elektronik tidak menjadi hal yang penting untuk diantisipasi. Misalnya terkait dengan Cloud Service Provider (CSP) yang menyediakan layanan komputasi awan di Indonesia sedangkan lokasi fisik data center-nya tidak berada di Indonesia. Sedangkan negara tersebut sangat buruk perlindungan privacy-nya terhadap warga negara mereka sendiri, apalagi terhadap warga negara Indonesia. Pada kasus ini, jika terjadi insiden kebocoran data warga negara Indonesia, tentu saja proses penegakan hukum akan menjadi rumit. Untuk itu seharusnya kerja sama komersial hanya dilakukan dengan negara-negara yang memiliki regulasi perlindungan privacy yang sama atau lebih baik ketimbang Indonesia.
Keempat, evaluasi pada aspek Capacity Building. Permasalahan pada aspek ini adalah tidak tersedianya Sumber Daya Manusia (SDM) yang kompeten dalam jumlah yang memadai. Isu ini sudah diantisipasi oleh BSSN dengan bekerjasama dengan Kemenaker untuk menyusun Peta Okupasi Nasional Keamanan Siber yang telah diresmikan pada 19 Desember 2019. Peta okupasi tersebut menjadi acuan bagi industry dan dunia pendidikan untuk pendidikan dan pengelolaan SDM Keamanan Siber. Permasalahannya adalah berapa banyak kampus yang berminat membua jurusan keamanan siber? Dan siapa tenaga pengajarnya? Permasalahan kelangkaan SDM Keamanan Siber merupakan isu global saat ini, Amerika sendiri membutuhkan waktu paling tidak lima tahun untuk memenuhi kebutuhan di organisasi pemerintahan mereka saja.
Kelima, evaluasi pada aspek Cooperation. Pada aspek ini ITU menekankan bahwa untuk menghadapi serangan siber maka pemerintah tidak dapat menghadapi sendirian. Dibutuhkan pendekatan partisipatif yang melibatkan semua pemangku kepentingan sejak fase perumusan kebijakan, implementasi hingga evaluasi. Diatas kertas BSSN sendiri sudah menggunakan pendekatan multi stakeholder namun dalam prakteknya kadangkala tidak konsisten. Pada tahun 2019, BSSN pernah melakukan inisiasi RUU Keamanan dan Ketahanan Siber yang tidak transparan dengan tidak melibatkan pemangku kepentingan utama dalam industri siber seperti APJII (Asosiasi Penyedia Jasa Internet Indonesia), ICSF (Indonesia Cyber Security Forum), AFDI (Asosiasi Forensik Digital Indonesia), PANDI (Pengelola Nama Domain Indonesia), dan beberapa pemangku kepentingan lainnya. Selain itu, draft RUU KKS yang diinisiasi itu tidak secara eksplisit menempatkan perlindungan Hak Asasi Manusia diranah siber. Pada sisi yang lain, tendensi untuk menjadikan BSSN sebagai lembaga superbody sangat gamblang terbaca pada draft RUU KKS yang diajukan. Namun saat itu RUU KKS tidak jadi disahkan, dan pada tahun 2020 ini tidak ada inisiatif serupa. Tapi bukan berarti hal tersebut tidak akan diinisiasi pada tahun 2021 yang akan datang.
[i] The Concept of Datafication: Definition and Examples, Amelia Matteson, February 6, 2018 https://www.datasciencecentral.com/profiles/blogs/the-concept-of-datafication-definition-amp-examples
[ii] The World’s most valuable resources is no longer oil, but data, May 26 2017 https://www.economist.com/leaders/2017/05/06/the-worlds-most-valuable-resource-is-no-longer-oil-but-data
Py-Sec[dot]org 