Otoritas Tunggal dalam RUU Keamanan Siber

Versi draf asli, dengan pranala atau link ke sumber-sumber yang dikutip:

Ketika pertama membaca Racangan Undang-undang Keamanan dan Ketahanan Siber (RUU KKS), saya langsung tertawa teringat pada kelucuan senator-senator di Amerika Serikat ketika sidang kasus Facebook dan Cambridge Analytica. Dari pertanyaan-pertanyaan yang mereka ajukan, tampak jelas bahwa orang-orang yang duduk di bangku mewah tersebut tidak memahami kasus, atau bahkan tidak memahami internet. Hal ini pula yang nampaknya terjadi pada orang-orang yang membuat RUU KKS ini.

Kalau dulu otoritas tunggal atas arus informasi di Indonesia pernah dipegang oleh Departemen Penerangan, kini otoritas atas internet Indonesia akan dipegang oleh Badan Siber dan Sandi Negara (BSSN) jika draft RUU KKS ini disahkan. Dalam RUU tersebut tampak jelas ada keinginan menjadikan BSSN sebagai superbody yang memiliki kewenangan eksekutif, legislatif, sekaligus yudikatif.

Muncul dalam pikiran, apakah BSSN ingin dibangun seperti Badan Keamanan Nasional Amerika atau National Security Agency (NSA) yang terkenal sebagai badan intelijen terbesar di dunia? Atau ingin membangun internet di Indonesia menjadi seperti Tiongkok yang penuh proteksi? 

Perancang RUU KKS mungkin berpikir Indonesia dapat secepatnya mengikuti jejak Tiongkok  yang internetnya sentral, memakai teknologi Deep Packet Inspection (DPI), dan membangun The Great Firewall of China. Tapi perlu diingat, infrastruktur internet di Tiongkok dibangun oleh pemerintah mereka selama bertahun-tahun, swasta dan individu hanya menyewa bandwith dari badan negara. Sementara di Indonesia, nyaris seluruh infrastruktur internet dibangun oleh swasta dan masyarakat. Baru beberapa tahun ini pemerintah Indonesia membangun Palapa Ring. Itu pun pengerjaannya masih dibantu oleh swasta.

Selama ini, fungsi keamanan dan ketahanan siber di Indonesia sudah dijalankan oleh TNI, BIN, Kepolisian, dan sektor swasta seperti ISP, datacenter, perusahaan antivirus, dan lainnya, ditambah kelompok-kelompok masyarakat sipil. Fungsi ini sudah dijalankan sejak bertahun-tahun lalu dengan hasil yang cukup baik.

Apabila draft UU KKS yang ada saat ini dipaksakan untuk disahkan, perkembangan teknologi keamanan siber akan sulit hadir di Indonesia karena penelitian, pengembangan produk maupun prototipe, izin, serta sertifikasi dan akreditasi dikontrol oleh satu lembaga tanpa adanya pengawas. Investor akan semakin malas berinvestasi di NKRI karena izin yang semakin banyak, padahal Presiden Jokowi menyebutkan ingin memangkas izin-izin yang ada guna mempermudah investor masuk Indonesia.

Startup-startup aplikasi dan konten akan semakin was-was karena ketidakjelasan tolok ukur penentuan muatan yang melanggar UU. Jika RUU KKS disahkan, selain diatur UU ITE, aplikasi dan konten juga diatur dalam peraturan yang hanya dibuat oleh satu badan pemerintah dan mengabaikan stakeholder internet lainnya .

Seandainya saja perancang RUU KKS mau berdiskusi dengan beragam stakeholder, mungkin kehaluan mereka tidak akan terpampang nyata seperti ini.

Pada 2018 lalu, International Telecommunication Union (ITU) bersama sembilan lembaga lainnya seperti Microsoft dan Deloitte telah membuat panduan dalam merumuskan strategi keamanan dan ketahanan siber nasional. Di dalamnya terdapat poin public-private partnership yang berarti adanya kerjasama dengan publik dan swasta. Bahkan di panduan tersebut pun ditulis hal-hal apa saja yang harus dilakukan dalam menjalankan kerjasama tersebut, salah satunya dengan membangun kepercayaan publik dan swasta terhadap pemerintah.

Perancang RUU KKS pun jelas tak mengetahui internet dapat berkembang karena memiliki 3 DNA utama yang diakui mayoritas masyarakat global, yakni participatory bottom-up process, prioritising stability and integrity of systems, dan maintaining the open nature of the underlying technologies.

Penggabungan seluruh fungsi keamanan dan ketahanan siber pada satu lembaga pemerintah bukan hanya merusak integritas sistem internet itu sendiri, namun juga tidak sesuai dengan prinsip interoperability internet governance yang menyatakan bahwa internet dijalankan oleh berbagai lembaga atau organisasi. 

Pendekatan multistakeholder dalam membuat peraturan atau kebijakan harus digunakan ketika keputusan yang akan dibuat berdampak pada orang dan minat yang luas dan terdistribusi. Pendekatan multistakeholder  juga diperlukan saat ada hak dan tanggung jawab yang tumpang tindih antar lintas sektor, membutuhkan berbagai bentuk keahlian – seperti teknis, hukum, sosial budaya — legitimasi, dan saat keputusan yang dibuat berdampak langsung terhadap implementasi.

Hal ini juga dibahas oleh Organization for Economic Co-operation and Development (OECD), organisasi lintas pemerintah di 36 negara sepanjang 2013-2015 merumuskan kesepakatan bahwa keamanan digital adalah masalah ekonomi dan sosial, bukan sekedar masalah teknis. OECD menegaskan, seluruh pemangku kepentingan bertanggung jawab mengelola risiko keamanan digital sesuai dengan peran dan konteksnya. Pemangku kepentingan juga harus mengelola risiko keamanan siber secara transparan dan konsisten dengan HAM dan nilai-nilai fundamental seperti freedom of expression, free flow of information, the confidentiality of information and communication, the protection of privacy and personal data, openness and fair process. 

Nampaknya program literasi digital utamanya harus ditaati oleh legislatif, khususnya mereka yang merancang undang-undang terkait internet.

Versi artikel yang diunggah di kolom.tempo.co https://kolom.tempo.co/read/1252909/otoritas-tunggal-dalam-ruu-keamanan-siber pada 27 September 2019

Svaradiva Anurdea Devi
Ketua Internet Development Institute

Ketika pertama kali membaca Rancangan Undang-Undang Keamanan dan Ketahanan Siber (RUU KKS), saya langsung tertawa, teringat pada kelucuan senator-senator di Amerika Serikat dalam sidang kasus Facebook dan Cambridge Analytica. Dari pertanyaan-pertanyaan yang diajukan oleh senator, tampak jelas bahwa orang-orang yang duduk di bangku mewah tersebut tidak memahami kasus, atau bahkan tidak memahami Internet. Hal ini pula yang tampaknya terjadi pada orang-orang yang membuat RUU KKS ini.

Dulu otoritas tunggal atas arus informasi di Indonesia pernah dipegang oleh Departemen Penerangan.Kini otoritas atas Internet Indonesia akan dipegang oleh Badan Siber dan Sandi Negara (BSSN) jika draf RUU KKS ini disahkan. Dalam rancangan tersebut, tampak jelas bahwa ada keinginan untuk menjadikan BSSN sebagai superbody yang memiliki kewenangan eksekutif, legislatif, dan yudikatif sekaligus.

Apakah BSSN ingin dibangun seperti Badan Keamanan Nasional Amerika yang terkenal sebagai badan intelijen terbesar di dunia? Atau ingin membangun Internet di Indonesia menjadi seperti Cina yang penuh proteksi?

Penyusun RUU KKS mungkin berpikir Indonesia dapat secepatnya mengikuti jejak Cina, yang Internetnya tersentralisasi, memakai teknologi deep packet inspection, dan membangun The Great Firewall of China. Tapi, perlu diingat, infrastruktur Internet di sana dibangun oleh pemerintah selama bertahun-tahun. Swasta dan individu hanya menyewa bandwidth dari badan negara. Sementara di sini, nyaris seluruh infrastruktur Internet dibangun oleh swasta dan masyarakat. Baru beberapa tahun ini pemerintah membangun Palapa Ring. Itu pun pengerjaannya masih dibantu oleh swasta.

Selama ini, fungsi keamanan dan ketahanan cyber di Indonesia sudah dijalankan oleh Tentara Nasional Indonesia, Badan Intelijen Negara, kepolisian, dan sektor swasta, seperti penyedia jasa Internet (ISP), data center, dan perusahaan antivirus, ditambah kelompok-kelompok masyarakat sipil. Fungsi ini dijalankan sejak bertahun-tahun lalu dengan hasil yang cukup baik.

Apabila draf RUU KKS dipaksakan untuk disahkan menjadi undang-undang, perkembangan teknologi keamanan cyber akan sulit hadir di Indonesia karena penelitian, pengembangan produk, juga prototipe, izin, serta sertifikasi dan akreditasi dikontrol oleh satu lembaga tanpa adanya pengawas. Investor akan semakin malas berinvestasi karena izin semakin banyak, padahal Presiden Joko Widodo menyatakan ingin memangkas izin-izin guna mempermudah investor masuk.

Berbagai start-up aplikasi dan konten akan semakin waswas karena ketidakjelasan tolok ukur penentuan muatan yang melanggar undang-undang. Jika RUU KKS disahkan, selain diatur Undang-Undang Informasi dan Transaksi Elektronik, aplikasi dan konten diatur dalam peraturan yang hanya dibuat oleh satu badan pemerintah dan mengabaikan pemangku kepentingan lain. Seandainya saja perancang RUU KKS mau berdiskusi dengan beragam pemangku kepentingan, mungkin masalah ini tak perlu muncul.

Pada 2018, International Telecommunication Union bersama sembilan lembaga lainnya, seperti Microsoft dan Deloitte, telah membuat panduan dalam merumuskan strategi keamanan dan ketahanan cyber nasional. Di dalamnya terdapat poin public-private partnership, yang berarti adanya kerja sama antara publik dan swasta. Bahkan di panduan itu ditulis hal-hal apa saja yang harus dilakukan dalam menjalankan kerja sama tersebut. Salah satunya membangun kepercayaan publik dan swasta terhadap pemerintah.

Perancang RUU KKS jelas tak mengetahui bahwa Internet dapat berkembang karena memiliki tiga “DNA” utama yang diakui mayoritas masyarakat global, yakni proses bawah-atas partisipatif, memprioritaskan stabilitas dan integritas sistem, serta menjaga sifat terbuka dari teknologi yang mendasarinya.

Penggabungan semua fungsi keamanan dan ketahanan cyber pada satu lembaga pemerintah tidak hanya merusak integritas sistem Internet itu sendiri, tapi juga tidak sesuai dengan prinsip interoperability Internet governance, yang menyatakan bahwa Internet dijalankan oleh berbagai lembaga atau organisasi.

Pendekatan banyak pemangku kepentingan dalam membuat peraturan atau kebijakan harus digunakan ketika keputusan yang akan dibuat berdampak pada orang dan minat yang luas dan terdistribusi. Pendekatan ini juga diperlukan saat ada hak dan tanggung jawab yang tumpang-tindih di lintas sektor, membutuhkan berbagai bentuk keahlian (seperti teknis, hukum, sosial budaya) dan legitimasi, serta saat keputusan yang dibuat berdampak langsung terhadap implementasi.

Hal ini juga dibahas oleh Organisasi Kerja Sama dan Pembangunan Ekonomi (OECD), organisasi lintas pemerintah di 36 negara, sepanjang 2013-2015. Organisasi itu merumuskan kesepakatan bahwa keamanan digital adalah masalah ekonomi dan sosial, bukan sekadar masalah teknis. OECD menegaskan bahwa semua pemangku kepentingan bertanggung jawab mengelola risiko keamanan digital sesuai dengan peran dan konteksnya. Pemangku kepentingan juga harus mengelola risiko keamanan cyber secara transparan dan konsisten dengan hak asasi manusia dan nilai-nilai fundamental, seperti kebebasan berekspresi, arus bebas informasi, kerahasiaan informasi dan komunikasi, perlindungan privasi dan data pribadi, serta keterbukaan dan proses yang adil.