September 26, 2019
Satu Lagi RUU Bermasalah: RUU Keamanan dan Ketahanan Siber

RUU Keamanan dan Ketahanan Siber (RUU KKS) berpotensi menghambat inovasi dan akses terhadap informasi, serta mengkriminalisasi warga.

by Elma Adisya, Reporter
Issues // Politics and Society
Cyber_Digital_CyberViolenceAgainstWomen_SarahArifin
Share:

Jika Lisbeth Salander tinggal di Indonesia, mungkin tidak akan ada cerita perempuan jagoan itu jadi peretas di The Girl With the Dragon Tattoo, karena keahlian teknologi informasi yang dia pelajari secara otodidak harus punya sertifikasi dari badan pemerintah.

Hal ini mungkin sekali terjadi jika Rancangan Undang-Undang (RUU) Keamanan dan Ketahanan Siber (KKS) disahkan oleh Dewan Perwakilan Rakyat (DPR).

RUU yang merupakan inisiatif Badan Legislasi (Baleg) DPR ini, gaungnya memang tidak terlalu terdengar sejak menjadi usulan DPR pada Juli lalu, padahal banyak sekali pasal bermasalah yang malah tidak memastikan keamanan masyarakat dunia maya atau siber. Lebih jauh lagi, RUU KKS ini malah berpotensi menghambat akses terhadap informasi, menghambat inovasi, dan mengkriminalisasi warga.

Direktur Riset Lembaga Studi dan Advokasi Masyarakat (ELSAM), Wahyudi Djafar mengatakan, RUU ini memiliki aturan-aturan yang tumpang tindih dengan regulasi yang sudah ada, yang akan memungkinkan timbulnya sengketa antar lembaga yang berpotensi pada keamanan siber tersebut. 

Dari draf per tanggal 15 Mei 2019, RUU ini terdiri dari 77 pasal dan pasal-pasal awal sudah memperlihatkan kejanggalan dari segi asas dan tujuan RUU tersebut, ujar Wahyudi.

 “RUU ini terlalu menitikberatkan pada bagaimana memastikan ketahanan siber di level negara. Kedua, di dalam tujuannya sama sekali tidak menyinggung tentang kedaulatan individu di ruang siber. Padahal merekalah yang pertama kali akan terkena imbasnya saat terjadi insiden keamanan siber,” ujarnya kepada Magdalene, Selasa (24/9).

Masalah-masalah lainnya  ditemukan pada Pasal 11 Ayat 2, mengenai bentuk-bentuk ancaman siber yang menurut Wahyudi terlalu luas definisinya.

Pasal tersebut berisi tujuh ancaman siber: Insiden siber yang terjadi dalam perimeter keamanan; serangan siber terhadap objek; pengamanan siber; perangkat lunak yang berbahaya; konten yang mengandung muatan destruktif dan atau negatif; produk atau prototipe produk, rancangan produk, atau invensi yang dapat digunakan sebagai senjata siber; serta upaya yang sengaja ditujukan untuk melemahkan atau merugikan, dan atau menghancurkan kepentingan siber Indonesia, dan lain sebagainya. 

Baca juga: Pencurian Data Makin Marak, UU Perlindungan Data Diri Kian Mendesak

“Identifikasi ancaman siber ini terlalu luas, misalnya saja soal konten destruktif dan negatif. Definisi konten destruktif dan negatif tidak dijelaskan lebih lanjut di RUU ini. Akhirnya definisinya menjadi sangat luas dan berpotensi membatasi akses atas informasi serta mengkriminalisasi,” kata Wahyudi.

RUU ini juga mengatur kewenangan Badan Siber dan Sandi Negara (BSSN) untuk memblokir konten-konten dan aplikasi yang masuk dalam kategori ancaman tersebut, tambahnya.

“Ada satu pasal yang menyatakan bahwa BSSN akan melakukan pemblokiran konten dan aplikasi yang berbahaya, tanpa ada kejelasan apa itu konten berbahaya dan bagaimana prosedur pembatasan konten ini,” tambah Wahyudi.

Damar Juniarto, Direktur Eksekutif Safenet, sebuah jaringan sukarelawan pembela hak digital di seluruh Asia Tenggara, menyoroti besarnya wewenang BSSN yang ia sebut “super body”. Ada 44 pasal dari 77 pasal yang menyebut-nyebut soal BSSN dalam RUU ini.

Selain pemblokiran konten dan aplikasi yang dianggap “berbahaya”, wewenang BSSN itu termasuk:

  • Melakukan deteksi atas lalu lintas internet, “yang sama saja dengan penyadapan massal”
  • Mengatur konten, yang artinya bisa memblokir atau menyensor semau hati
  • Bertindak mencabut akses internet
  • Membatasi perkembangan teknologi. Pembuatan teknologi VPN, pengembangan anti-virus, teknologi enkripsi, dan penelitian akademis, semua harus atas seizin BSSN. Bila tidak, hukum pidana bertindak.
  • Penyelenggara kursus keamanan digital, pelatih keamanan digital, pengajar kelas soal virus komputer, semua harus dapat sertifikasi dari BSSN.

Tidak partisipatif, ancam privasi

Wahyudi dari ELSAM mengatakan, DPR sejak awal hanya melibatkan BSSN dalam pembahasan RUU ini.

“Pemangku kebijakan seperti, swasta, masyarakat sipil, bahkan badan pemerintah yang lain seperti Kementerian Komunikasi dan Informatika (Kemenkominfo), sama sekali belum terlibat dalam proses penyusunan awalnya,” ujarnya.

Damar menambahkan, “Kalangan bisnis seperti KADIN (Kamar Dagang dan Industri), Masyarakat Telematika Indonesia (Mastel), industri teknologi keamanan siber, akademisi di kampus, dan banyak pihak lain belum diajak diskusi soal RUU KKS ini.”

Baca juga: Media dan Pemerintah Lawan Hoaks Lewat Jurnalisme Data

Dalam konteks keamanan dunia maya, Wahyudi menekankan pentingnya menggunakan pendekatan multi stakeholders, terutama pihak swasta, untuk bekerja sama melindungi masyarakat di ranah siber.

“Pihak swasta berperan penting dalam keamanan dan ketahanan siber. Dalam konteks keamanan siber, sektor swasta ini adalah kunci karena mereka yang memegang data konsumen,” ujarnya.

Ia menambahkan bahwa dari pantauan ELSAM, RUU ini juga berpotensi merampas privasi masyarakat. Salah satu isunya terkait wewenang BSSN untuk memantau lalu lintas data dan internet masyarakat untuk memeriksa potensi ancaman siber.

“Kewenangan tersebut membuka ruang dan peluang surveillance (memata-matai), dan ini yang berpotensi mengganggu privasi. Hal ini menjadi persoalan saat RUU ini tidak mengatur mekanisme pengawasan baik yang sifatnya melekat maupun ad hoc, agar ada yang  mengawasi dan menjamin tidak ada praktik surveillance tersebut,” kata Wahyudi. 

Ke depannya, Indonesia memang sangat membutuhkan Undang-Undang Keamanan dan Ketahanan Siber, namun akan lebih baik jika Indonesia terlebih dahulu membahas RUU Perlindungan Data Pribadi (PDB), ujarnya.

RUU PDB ini mencakup prinsip, mekanisme, dan sanksi terkait keamanan data pribadi. Rancangan ini rencananya akan mengadopsi sebagian aturan keamanan data pribadi yang dicanangkan di Eropa, General Data Protection Regulation (GDPR), seperti prinsip persetujuan pemilik data pribadi, hak menghapus dan mengakses data tersebut, dan lain sebagainya.

Walaupun sudah masuk dalam daftar program legislasi nasional (prolegnas) DPR sejak 2015, RUU PDB yang diajukan Kemkominfo ini belum juga terlihat akan disahkan. Dibandingkan dengan negara lain di Asia Tenggara, Indonesia terbilang lambat dalam melahirkan Undang-undang Perlindungan Data Pribadi (PDB).

“Jika tidak bisa didahulukan, ya dibahas secara paralel saja dua RUU ini, jadi tidak menegasikan satu sama lain. Kekhawatiran saya jika RUU Keamanan dan Ketahanan Siber lebih dahulu dibahas, RUU ini akan mengunci banyak hal yang seharusnya bisa diatur di RUU Perlindungan Data Pribadi, dan malah akan melemahkan RUU Perlindungan Data Pribadi,” ujar Wahyudi.

Elma Adisya adalah reporter Magdalene, lebih sering dipanggil Elam dan Kentang. Hobi baca tulis fanfiction dan mendengarkan musik  genre surf rock. Jangan sungkan menghubunginya di Twitter @spoopyydoo