Sebagaimana kita ketahui bahwa DPR dan Pemerintah dalam hal ini Badan Siber dan Sandi Negara (BSSN) telah membahas dan menyelesaikan draft Rancangan Undang-Undang Tentang Keamanan dan Ketahanan Siber. Diskusi Publik dan Simposium Nasional juga telah digelar pada hari Senin tanggal 12 Agustus 2019 bertempat di Ballroom Hotel Borobudur Jakarta Jl. Lapangan Banteng Selatan No 1 Pasar Baru Kecamatan Sawah Besar Kota Jakarta Pusat, berlangsung Kegiatan Diskusi Publik dan Simposium Nasional Rancangan Undang-Undang Keamanan dan Ketahanan Siber yang dihadiri kurang lebih 300 peserta dari berbagai kalangan. Acara tersebut dihadiri para Pejabat dilingkungan BSSN diantaranya Kepala BSSN beserta Wakilnya dan Ketua DPR RI.
Ronald Tumpal selaku ketua Panitia mengatakan kegiatan ini dimaksudkan untuk mendapatkan masukan,tanggapan,pandangan dan saran terkait RUU tentang Keamanan dan Ketahanan Siber yang telah disusun oleh DPR RI. Tujuan kegiatan ini untuk sharing discussion terhadap RUU tentang Keamanan dan Ketahanan Siber sehingga dapat menjadi feedback dari Pemerintah untuk DPR RI.
Letjen (Purn) Hinsa Hasibuan selaku Kepala Badan Siber dan Sandi Negara mengatakan system siber telah menjadi kebutuhan penting bagi bangsa dan masyarakat Indonesia. Hal ini menjadikan Indonesia sebagai pasar yang sangat besar terhadap berbagai macam produk yg terkait dengan system siber. Namun disisi lain dampak negatifnya adalah system siber Indonesia menjadi rawan disalahgunakan oleh para criminal,teroris dan pihak lain yang memusuhi Indonesia. Untuk itu dibutuhkan payung hukum dan regulasi yang mengatur tata kelola system siber di Indonesia. Rancangan Undang-Undang Keamanan dan Ketahanan Siber ini telah selesai dibahas oleh DPR dan sudah diserahkan kepadan Pemerintah dan berharap dapat disahkan pada tahun 2019 ini.
Bambang Soesatyo, SE, MBA selaku Ketua DPR RI mengatakan dalam kontek pemeliharaan Keamanan dan Ketahanan Siber meliputi 4 (empat) hal yaitu :
- Bahwa segala kerentanan yang dapat meningkatkan ancaman atau bahaya dibidang siber harus dapat dideteksi dan diidentifikasi
- Segala asset yang penting untuk hajat hidup orang banyak harus dapat dilindungi atau dibentengi dari kemungkinan adanya sabotase,serangan atau aneka upaya lain untuk menghancurkan atau merusaknya
- Segala sabotase,serangan atau aneka upaya lain yang sedang berlangsung harus dapat ditanggulangi secepatnya dan kerusakan,kehilangan atau kehancuran yang telah terjadi harus dapat dipulihkan secepatnya
- Segala komponen dalam penyelenggaraan Keamanan dan Ketahanan Siber yaitu manusia,perangkat teknis dan perangkat non teknis harus dapat dipantau dan dikendalikan agar tidak menambah banyak atau menambah besar kerentanan
DR. Edmon Makarim, S.Kom, S.H., LL.M selaku Dekan Fakultas Hukum UI (FHUI) mengatakan :
- Cyberspace adalah halusinasi ruang yang sebenarnya merupakan system informasi dan komunikasi secara elektronik yang sesungguhnya tidak terkonotasi hanya satu protocol
- Kedaulatan di cyberspace /cyberdiplomacy untuk menjaga kepentingan nasional yang mencakup 3C (Coordination,Cooperation,Collaboration) untuk open,free,secure,inclusive,tolerant dan growth
Kedaulatan rakyat tidak hanya tanggung jawab pemerintah melainkan juga semua komponen bangsa (multistake-holders) dengan berpijak pada amanat pembukaan konstitusi
Mari kita masuk ke substansi pembahasan beberapa pasal dalam draft Rancangan Undang-Undang Tentang Keamanan dan Ketahanan Siber dari kacamata para penggiat Cyber Security di tanah air yang disinyalir membatasi dan mengkebiri bahkan mengancam aktivitas para professional dibidang IT Security.
Pasal 17
- Perangkat Siber yang digunakan untuk penyelenggaraan Keamanan dan Ketahanan Siber pada infrastruktur Siber nasional wajib memiliki sertifikat produk
- Sertifikat produk sebagaimana dimaksud pada ayat (1) dikeluarkan oleh BSSN
- Ketentuan mengenai sertifikat produk sebagaimana dimaksud pada ayat (1) diatur dalam peraturan BSSN
Sebagai mana kita ketahui jumlah merk dan jumlah perangkat dengan berbagai tipe yang khusus di implementasikan di ranah siber sangatlah banyak sekali. Sangatlah tidak realistis jika ada aturan untuk memberikan sertifikat bahwa setiap produk layak atau tidaknya digunakan di ranah siber Indonesia. Bagaimana dengan perangkat yang sudah diimplementasikan dan sudah production lama jika aturan ini berlaku. Hal ini akan menuai banyak kontra dari para produsen perangkat siber diseluruh dunia karena bisnisnya akan terhambat dikarenakan kompleknya birokrasi.
Pasal 18
- Penyedia jasa di bidang Keamanan dan Ketahanan Siber sebagaimana dimaksud dalam pasal 8 ayat (2) huruf b wajib memiliki izin
- Izin sebagaimana dimaksud pada ayat (1) diberikan untuk
kegiatan usaha sebagai berikut :
- Pengelola system Keamanan dan Ketahanan Siber
- Pengujian penetrasi keamanan akses elektronik; dan
- Pembuat algoritma kriptografi
- Izin sebagaimana dimaksud pada ayat (1) dikeluarkan oleh BSSN
- Ketentuan mengenai perizinan sebagaimana dimaksud pada ayat (1) diatur dalam peraturan BSSN
- Pengujian penetrasi keamanan akses elektronik; dan
- Pengelola system Keamanan dan Ketahanan Siber
Dengan adanya pasal ini dipastikan jasa Freelancer Penterster akan punah karena para penyedia jasa Pentest wajib memiliki izin terlebih dahulu dari BSSN. Sudah bukan rahasia umum lagi bahwa birokrasi dinegara kita masih cukup ruwet dan jelimet.
Pasal 68
Setiap orang dilarang dengan sengaja dan tanpa hak atau melawan hokum melakukan tindakan apapun yang mengakibatkan infrastruktur Siber Nasional terganggu dan/atau tidak bekerja sebagaimana mestinya.
Pasal 69
Setiap orang dilarang dengan sengaja dan tanpa hak atau melawan hukum memproduksi,mendistribusikan atau menyediakan perangkat yang dirancang atau dikembangkan secara khusus untuk memfasilitasi tindakan sebagaimana dimaksud dalam pasal 68.
Pasal 70
Setiap orang yang memenuhi unsur sebagaimana dimaksud dalam pasal 68,dipidana dengan pidana penjara paling lama 10 (sepuluh) tahun dan/atau denda paling banyak Rp.10.000.000.000,00 (sepuluh milyar rupiah) berdasarkan tingkat kerusakan yang ditimbulkan
Pasal 71
Setiap orang yang memenuhi unsur sebagaimana dimaksud dalam pasal 69,dipidana dengan pidana penjara paling lama 10 (sepuluh) tahun dan/atau denda paling banyak Rp.10.000.000.000,00 (sepuluh milyar rupiah) berdasarkan tingkat kerusakan yang ditimbulkan
Pasal 68,69,70,71 seolah-olah membatasi kreatifitas dan pengembangan sumber daya manusia karena tidak akan ada lagi generasi-generasi di bidang Cyber Security dalam mengembangkan potensi dan bakat dalam dirinya. Sebagai contoh disaat kita memberikan workshop atau pelatihan pentest dan kemudian kita mengajarkan dan memberikan tools apa saja yang digunakan dalam kegiatan pentest maka diancam pidana penjara 10 tahun. Hal ini menghambat seseorang dalam mengembangkan kemampuannya. Bukan hal mustahil ke depan tidak akan ada generasi penerus yang bergerak di bidang cyber security.
Dengan adanya RUU keamanan & Ketahanan Siber. Kedepannya segala aktifitas Pentest dan Bounty Hunting dianggap melanggar hukum. Namun menurut kita adalah hal yang biasa saja. Akan memberatkan kita ketika kita melaporkan Bug dan perusahaan tersebut tidak terima, ataupun ada perusahaan “Nakal” yang sudah memakai jasa kita sebagai pentester namun tiba-tiba menuntut balik kita agar tidak harus membayar jasa kita. Kedepannya dengan adanya RUU ini bakalan sulit untuk melakukan eksplorasi di bidang keamanan siber, dan juga para penerus dibidang keamanan siber akan punah jika dikekang RUU ini.
