Sunday, July 07, 2024

Langkah konkrit perbaikan Tata Kelola IT di PDN



Seperti yang kita ketahui bersama ada banyak keanehan dari kasus PDNS down yang terjadi di tanggal 20 Juni 20204;

  1. Tidak adanya standard dalam incident management, ini berakibat lebih dari 5,700 servers yang berhasil diretas.
  2. Tidak adanya Disaster Recovery Planning, hal ini menyebabkan gangguan terhadap pelayanan masyarakat di banyak lembaga dan kementerian.
  3. Tidak disampaikan secara lugasnya root cause sampai hari ini tanggal 8 Juli 2024.
  4. Hacker memberikan key dengan "cuma-cuma" di hari Rabu tanggal 3 Juli pekan lalu, sesuatu yang sangat tidak wajar apalagi kalau dilihat dari "pencapaian" team hacker yang bisa meretas lebih dari 5,700 server.
Seperti di ulasan saya di postingan terdahulu, harapan kita terkait kejadian ini adalah; 

  1. Mengakui Insiden: Mengakui bahwa telah terjadi insiden keamanan siber yang berpotensi menjadi Kegagalan PDP.
  2. Asesmen Dampak: Pengguna PDNS selaku Pengendali DP harus melakukan asesmen untuk mengetahui apakah ada data pribadi yang terdampak oleh insiden ini.
  3. Laporan Ke Lembaga: Pengendali DP harus melaporkan insiden ini ke lembaga yang berwenang (meskipun lembaga ini belum terbentuk).
  4. Pemberitahuan Kepada Subyek DP: Pengendali DP juga harus memberitahu Subyek DP yang terindikasi datanya terdampak.
  5. Penelusuran Kegagalan PDP: Lembaga yang berwenang harus menelusuri Kegagalan PDP untuk mengidentifikasi apakah ada indikasi Pelanggaran PDP.
  6. Analisis Pelanggaran PDP: Jika ada indikasi Pelanggaran PDP, langkah selanjutnya adalah menganalisis apakah termasuk ke dalam kategori Tindak Pidana DP.
  7. Proses Hukum: Jika ada indikasi Tindak Pidana DP, maka Aparat Penegak Hukum (APH) akan melanjutkan proses pidananya.
  8. Sanksi Administratif: Lembaga yang berwenang akan memberikan sanksi administratif jika diperlukan.
  9. Sanksi Pidana: Pengadilan akan memberikan sanksi pidana jika terbukti ada Tindak Pidana DP.
  10. Perbaikan Sistem: Baik Pengendali DP maupun Prosesor DP yang terlibat harus segera melakukan perbaikan atas pelaksanaan PDP dalam lingkup masing-masing.
Point 3 terkait dengan Lembaga yang belum terbentuk menjadi sangat penting, kalau tidak maka tidak jelas dampak hukum yang bisa dikenakan kepada pihak yang lalai dalam menjaga kedaulatan data warga negara Indonesia.

Pertanyaan kita sekarang apakah RUU Keamanan dan Ketahan Siber bisa menjadi harapan kita untuk bisa membantu memperkuat kedaulatan digital yang saat ini sangat lemah ini? Secara umum RUU ini bertujuan untuk menciptakan lingkungan digital yang aman dan tangguh, melindungi kepentingan nasional, serta mendorong kerjasama antara berbagai pihak untuk menghadapi ancaman siber yang semakin kompleks.

Rancangan Undang-Undang (RUU) Keamanan dan Ketahanan Siber merupakan inisiatif legislatif untuk mengatur aspek-aspek penting terkait keamanan dan ketahanan dunia siber. Berikut adalah beberapa materi penting yang biasanya terdapat dalam RUU semacam ini:

  1. Definisi dan Ruang Lingkup:

    • Menjelaskan istilah-istilah yang digunakan dalam RUU.
    • Menetapkan cakupan regulasi, termasuk entitas yang diatur dan jenis ancaman yang ditangani.
  2. Prinsip-prinsip Dasar Keamanan Siber:

    • Menyusun prinsip-prinsip dasar yang menjadi panduan dalam implementasi kebijakan keamanan siber.
  3. Tanggung Jawab dan Kewenangan:

    • Menetapkan tanggung jawab berbagai pihak, termasuk pemerintah, sektor swasta, dan individu.
    • Menetapkan kewenangan lembaga yang bertanggung jawab atas keamanan siber.
  4. Pengelolaan Risiko Siber:

    • Strategi dan kerangka kerja untuk identifikasi, analisis, dan mitigasi risiko siber.
    • Standar dan prosedur yang harus diikuti untuk mengurangi risiko.
  5. Perlindungan Infrastruktur Kritis:

    • Menetapkan langkah-langkah khusus untuk melindungi infrastruktur kritis dari serangan siber.
    • Mengidentifikasi sektor-sektor yang dianggap sebagai infrastruktur kritis (seperti energi, telekomunikasi, keuangan).
  6. Penyusunan dan Implementasi Kebijakan Keamanan Siber:

    • Menetapkan kebijakan keamanan siber nasional.
    • Prosedur untuk penyusunan, evaluasi, dan revisi kebijakan.
  7. Kerjasama dan Koordinasi:

    • Menetapkan mekanisme kerjasama antara berbagai lembaga pemerintah, sektor swasta, dan internasional.
    • Mengatur koordinasi respons terhadap insiden siber.
  8. Pemantauan dan Penegakan:

    • Membangun mekanisme untuk pemantauan kepatuhan terhadap regulasi.
    • Menetapkan sanksi dan tindakan penegakan bagi pelanggaran.
  9. Keamanan Data dan Privasi:

    • Mengatur perlindungan data pribadi dan privasi pengguna.
    • Menetapkan prosedur untuk penanganan data sensitif.
  10. Peningkatan Kapasitas dan Pendidikan:

    • Program untuk meningkatkan kapasitas dan kompetensi sumber daya manusia dalam bidang keamanan siber.
    • Kampanye edukasi dan kesadaran publik mengenai keamanan siber.
  11. Respon Insiden dan Pemulihan:

    • Prosedur untuk penanganan insiden siber dan pemulihan pasca-insiden.
    • Strategi pemulihan untuk meminimalisir dampak insiden terhadap operasional.
Saya melihat poin 8 sangat penting sekali untuk memberikan kejelasan sanksi hukum yang bisa diberikan. Seperti halnya dengan General Data Protection Regulation yang diberlakukan di European Union, dimana perusahaan yang terbukti lalai dalam menjaga data privacy warga mereka bisa dikenakan dengan 10% dari global turnover perusahaan itu, bukan net profit.

Harus dibuat sanksi sekeras-kerasnya agar negara kita tidak di bully secara memalukan seperti yang sekarang terjadi 



No comments: