Keamanan siber nasional menuntut perhatian serius terhadap Infrastruktur Informasi Kritikal (IIK) dan Produk dengan Elemen Digital (PDED). Pendekatan regulasi dan kebijakan yang konservatif dinilai tidak lagi memadai untuk melindungi kedua elemen vital ini.
IIK menjadi tulang punggung berbagai layanan publik dan sektor strategis. Sektor-sektor ini sangat bergantung pada sistem digital dan perangkat yang saling terhubung. Berdasarkan penelitian Center of Cyberlaw & Digital Transformation Fakultas Hukum UNPAD, terdapat 18 sektor IIK yang mencakup Administrasi Pemerintahan, Energi, Transportasi, Keuangan dan Perbankan, Kesehatan, Pendidikan, Industri Digital Strategis, Infrastruktur Nasional, Teknologi Informasi dan Komunikasi (TIK), Produksi dan Distribusi Pangan, Pertahanan dan Keamanan, Air, Nuklir, Bendungan, Manufaktur, Layanan Darurat, Kimia, Layanan Perdagangan, serta Pembuangan Air Kotor dan Limbah.
Keamanan IIK secara inheren terikat pada keamanan PDED. Setiap perangkat keras dan lunak, mulai dari sensor, aplikasi, hingga sistem kontrol yang membentuk IIK, merupakan bagian dari ekosistem PDED. Kerentanan sekecil apa pun pada PDED secara otomatis menjadi kerentanan pada IIK. Dalam ekosistem digital yang saling terhubung, IIK tidak lagi berdiri sendiri, melainkan terintegrasi dengan jaringan luas seperti perangkat IoT, aplikasi cloud, dan platform digital.
Integrasi IIK dan PDED dalam Regulasi Keamanan Siber
Pentingnya regulasi Keamanan dan Ketahanan Siber (KKS) adalah memosisikan IIK dan PDED sebagai satu kesatuan teknis-operasional. Integrasi ini krusial agar regulasi tidak hanya mencakup aspek makro, tetapi juga menyentuh titik-titik mikro yang rentan terhadap serangan siber.
Tanpa pengaturan yang komprehensif terhadap IIK dan standar keamanan PDED, regulasi KKS ibarat membangun tembok yang kokoh namun mudah ditembus melalui komponen di dalamnya. Ketergantungan Indonesia pada perangkat impor dan software komersial global untuk IIK meningkatkan risiko supply chain attack.
Oleh karena itu, peraturan turunan KKS perlu mengatur IIK dan PDED berbasis risiko, mencakup sertifikasi, mekanisme audit, kewajiban pembaruan keamanan, dan pelabelan keamanan produk. Ketentuan payung terkait IIK dan PDED dalam UU KKS dan peraturan pelaksanaannya menjadi sangat mendesak.
Perbandingan dengan Uni Eropa
Uni Eropa dipilih sebagai perbandingan karena regulasinya yang mutakhir dan transformatif. UU Ketahanan Siber Eropa (CRA) mencakup berbagai produk perangkat keras dan lunak yang dapat terhubung, dari perangkat IoT hingga sistem industri.
CRA mewajibkan produsen mengintegrasikan unsur keamanan sejak tahap desain, termasuk enkripsi dan konfigurasi aman bawaan. Prinsip security by design ini memastikan produk tidak memiliki celah sejak awal, mengubah paradigma reaktif menjadi proaktif.
Produsen juga diwajibkan melakukan penilaian risiko berulang dan memeriksa keamanan komponen pihak ketiga untuk mencegah celah eksploitasi rantai pasok. Audit rantai pasok menjadi krusial, terutama untuk perangkat yang mengendalikan infrastruktur kritikal.
Selain itu, CRA mengharuskan dokumentasi yang jelas, panduan penggunaan yang aman, dan mekanisme pelaporan kerentanan yang mudah. Insiden keamanan wajib dilaporkan kepada otoritas terkait. Produsen juga harus menyediakan pembaruan keamanan sepanjang periode dukungan produk.
Implementasi di Indonesia
Indonesia perlu mengadopsi pendekatan serupa dengan menetapkan aturan turunan tentang PDED berbasis risiko. Produk berisiko tinggi penunjang IIK harus memiliki standar keamanan paling ketat.
Penerapan prinsip security by design dan security by default dalam UU KKS sangat penting. Ini memastikan keamanan ditanamkan sejak awal dan produk berada dalam konfigurasi paling aman saat digunakan. Dengan kewajiban ini, produsen tidak dapat melempar beban tanggung jawab kepada pengguna.
Indonesia perlu membangun sistem penilaian kesesuaian nasional, dilengkapi skema sertifikasi dan pelabelan keamanan. Keamanan siber nasional akan tercapai jika IIK diatur dalam tiga lapis pendekatan hukum: upstream, midstream, dan downstream, memastikan setiap perangkat PDED memenuhi standar keamanan minimum.
