Melindungi Infrastruktur Kritis Nasional dari Serangan Cyber: Perspektif Kebijakan Ketahanan Nasional

TANTANGAN CYBER SECURITY PADA ERA KONEKTIVITAS

Era konektivitas antar orang dengan orang, orang dengan mesin, dan mesin dengan mesin telah memasuki kehidupan manusia semenjak semakin berkembang pesatnya Teknologi Informasi dan Komunikasi (TIK). Di masa lalu, konektivitas dibangun agar manusia dapat berkomunikasi satu dengan lainnya secara langsung walau dipisahkan jarak yang sangat jauh. Bila di era awal konektivitas tersebut dilakukan dengan bantuan kabel-kabel komunikasi fisik (wired), maka dua dekade belakangan ini konektivitas telah dilakukan menggunakan sarana nir-kawat (wireless) dan konektivitas tidak lagi sebatas antar orang dengan orang, namun hingga konektivitas mesin dengan mesin.

Kemudahan dan kepraktisan dari komunikasi nir-kawat dan didorong oleh semangat pemaksimalan manfaat, kemampuan dan daya dukung dari TIK, dibangunlah teknologi Internet pada akhir tahun 1960-an. Konektivitas dibentuk melalui saluran komunikasi elektronika melalui kawat baik yang diinstalasi di bawah permukaan tanah maupun di bawah permukaan laut hingga nir-kawat dengan bantuan satelit-satelit komunikasi. Peningkatan kebutuhan manusia yang menginginkan segala hal dapat diotomasi atau diotomatiskan mendorong dibangunnya teknologi Internet of Things (IoT) yang ditujukan untuk menghubungkan manusia dengan mesin dan mesin dengan mesin guna meningkatkan efisiensi dan efektivitas pekerjaan.

Teknologi IoT dapat membawa implikasi kepada organisasi ketika konektivitas tersebut direlasikan dengan infrastruktur kritis nasional seperti jaringan listrik (electrical grid) atau jaringan transportasi kereta api. Bayangkan ketika jaringan transportasi kereta api yang dikendalikan oleh komputer mendapat cyberattack. Implikasinya pergerakan semua kereta api tidak dapat dipantau oleh pusat pengendali sehingga probabilitas terjadinya kecelakaan kereta api semakin besar. Demikian halnya ketika jaringan listrik memperoleh cyberattack. Otomatis semua aktivitas yang memerlukan energi listrik akan berhenti. Dengan 2 (dua) contoh tersebut telah memperlihatkan bahwa era konektivitas membuka peluang ancaman cyber dan cyberattack yang lebih berbahaya dan mematikan serta berdampak masif bagi satu negara.

PENTINGNYA MELINDUNGI INFRASTRUKTUR KRITIS NASIONAL DARI ANCAMAN CYBER

Terdapat beberapa jenis infrastruktur kritis nasional yakni infrastruktur pada sektor-sektor energi, transportasi, keuangan dan perbankan, telekomunikasi, pertahanan, penegakan hukum, keamanan dan intelijen, kesehatan, suplai air, tata kelola elektronik (e-Governance), industri kritis, organisasi-orgaisasi sensitif dan luar angkasa. Berdasarkan laporan resmi dari salah satu industri informatika dunia, pada tahun ini ancaman cyber salah satunya mengarah kepada infrastruktur kritis. Sistem transportasi dan jaringan listrik yang digunakan sebagai contoh di atas adalah sebagian dari infrastruktur kritis nasional yang berhubungan erat dengan cyberspace.

Maka dapat dinyatakan bahwa ancaman terhadap fasilitas-fasilitas, sistem-sistem atau fungsi-fungsi yang dapat menjadikan pemerintahan tidak berfungsi dan berdampak pada aspek-aspek kehidupan berbangsa dan bernegara, dari tahun ke tahun akan semakin meningkat baik dari segi kuantitas maupun kualitas baik metode dan maupun jenis serangannya.

Sebagai contoh, pemerintahan telah mengamanahkan pelaksanaan e-Govenance dengan membangun konektivitas di semua strata pemerintahan yang tujuannya untuk meningkatkan pelayanan kepada masyarakat. Pelayanan elektronik ini sejatinya telah lebih dulu dilakukan oleh kalangan swasta khususnya di bidang keuangan dan perbankan serta perdagangan. e-Govenance, e-banking dan e-commerce memiliki infrastruktur kritis yang sama yakni data center, sebuah fasilitas yang memiliki sarana penyimpanan data para pelanggannya (customer). Data pelanggan ini tidak hanya data para pelanggan dari masyarakat biasa, namun juga para pejabat negara yang payroll-nya dilakukan melalui bank-bank nasional tertentu. Bila data dalam data center tersebut dicuri dengan memanfaatkan cyberspace, maka dengan mudah aktor-aktor tak bertanggung jawab akan mampu membuat profil para pejabat tersebut dan menggunakannya untuk hal-hal yang tidak bertanggung jawab. Contoh sangat sederhana, payroll pegawai pemerintahan disimpan di 3 (tiga) bank besar milik pemerintah yakni Bank BNI, Bank BRI dan Bank Mandiri. Jebolnya cybersecurity ketiga bank tersebut akan membongkar data-data pribadi para pegawai pemerintahan yang disimpan dalam data center-nya.

Belum lagi dari sektor pertahanan dan keamanan. Seandainya dalam kondisi perang, terdapat kekhawatiran bahwa alat utama sistem senjata modern TNI yang berbasiskan sistem komputer tiba-tiba tidak dapat dioperasikan karena cyberattack. Radar-radar pertahanan udara Indonesia tiba-tiba tidak dapat beroperasi karena infrastruktur konektivitas pertahanan nir-kabel antar radar dimatikan secara jarak jauh. Kapal-kapal perang TNI AL tidak dapat beroperasi dikarenakan infrastruktur konektivitas pertahanan nir-kabelnya bekerja tidak benar yang disebabkan oleh malware yang dioperasikan dari jarak jauh. Ketika dirgantara dan laut Indonesia terbuka tanpa penjagaan, maka kedaulatan negara di dirgantara dan laut dapat dengan mudah dikuasai dan dikendalikan oleh aktor-aktor yang tidak bertanggung jawab. Contoh-contoh di atas menunjukkan bahwa perlindungan pada infrastruktur kritis nasional adalah sangat diperlukan dan urgen untuk segera dilakukan.

PERLINDUNGAN PADA INFRASTRUKTUR KRITIS NASIONAL

Memperhatikan perkembangan perangkat-perangkat TIK yang sangat pesat baik dari sisi hardware maupun software, cyberattack kepada instansi pemerintah, industri-industri yang melayani kebutuhan masyarakat dan organisasi-organisasi yang mengelola infrastruktur kritis nasional, di era konektivitas ini akan semakin meningkat frekuensinya dan semakin beragam tekniknya. Diprediksi akan banyak ditemukan metode-metode baru untuk cyberattack khususnya yang memanfaatkan kelengahan diri sendiri dan kelemahan dari sistem informasi yang diinstalasi di institusi sendiri. Teknologi untuk cyberattack, cyber resilience, cyber crime dan cyber defense akan saling berkejaran. Siapa yang memiliki teknologi terdepan, maka dialah pemenangnya.

Pada skala nasional, perlindungan pada infrastruktur kritis nasional yang tersebar di berbagai lokasi dan dikelola oleh beragam Kementerian/Lembaga dan juga oleh pihak swasta menjadi sebuah tantangan dan juga kesempatan yang sangat baik bagi kita. Setiap institusi tersebut, saya yakin telah memiliki standar masing-masing dalam perlindungan infrastruktur kritis yang dikelolanya dari cyberattack. Pertanyaannya adalah siapakah yang memiliki kewenangan untuk melakukan uji cyberattack terhadap standar-standar yang digunakan oleh setiap institusi dimaksud? Siapakah yang memiliki kewenangan untuk menetapkan bahwa institusi dimaksud telah lulus uji standar? Hal ini dianalogikan dengan Badan Akreditasi Nasional yang memiliki kewenangan untuk menguji kelayakan pengelolaan perguruan tinggi didasarkan pada standar-standar yang berlaku. Maka, untuk meyakinkan bahwa infrastruktur kritis nasional telah terlindungi secara memadai dari cyberattack diperlukan uji standar atau akreditasi.

AKTOR-AKTOR PELAKU CYBERATTACK

Aktor-aktor pelaku cyberattack sebenarnya tidak sulit untuk dilacak. Bila sedikit mendalami konsep perang yakni Center of Gravity (CoG) baik dari Sun Tzu, Clausewitz dan John Warden III, maka dapat ditelusuri aktor di balik cyberattack, apakah non-state actor, state-sponsored actor atau state actor. Dalam hampir semua kasus cyberattack, tidak ada satu negarapun yang akan mengakui bahwa inisiatif serangan berasal dari negara. Dalam kasus Estonia tahun 2007 dan Georgia 2008 serta Ukraine beberapa tahun lalu, cyberattack dilakukan oleh state-sponsored actor walaupun negara dimaksud tidak pernah mengakui memerintahkan atau membiayai cyberattack dimaksud. Sebagai contoh negara Inggris dalam National Cybersecurity Strategy-nya telah menyatakan bahwa ancaman utama dari cyberspace adalah cyber crime dari para aktor kriminal transnasional dan state actor, negara-negara yang menyeponsori cyberattack. Namun sangat tidak mudah untuk menetapkan siapa sebenarnya yang menjadi dalam cyberattack khususnya state actor. Era konektivitas memberi peluang bagi pelaku cyberattack untuk bersembunyi di mana saja di cyberspace yang tidak berujung.

Di negara Indonesia, hingga saat ini belum pernah terjadi cyberattack yang berimplikasi kepada aspek-aspek kehidupan berbangsa dan bernegara sebagaimana yang pernah dialami oleh Estonia, Georgia dan Ukraina. Sejatinya di cyberspace yang sangat luas ini sedang terjadi perang tak kasat mata antara cyber defender dengan cyberattacker. Dampak fisik dari perang tersebut dapat berupa deface situs-situs pemerintah atau pencurian data transaksi keuangan secara elektronik atau percobaan intrusi ke dalam sistem informasi kita. Untuk itu pemerintah harus segera menetapkan obyek-obyek vital nasional yang dikategorikan sebagai infrastruktur kritis nasional. Jangan terjadi tumpang tindih antara obyek vital nasional dengan infrastruktur kritis nasional. Apakah negara ini perlu mendapat cyberattack masif, sistemik dan terstruktur yang menyebabkan pemerintahan lumpuh agar Indonesia sadar betapa pentingnya cybersecurity?

CATATAN PENUTUP

Sebagai penutup, Ketahanan Nasional dan aspek berbangsa dan bernegara harus menjadi tujuan utama dari perlindungan pada infrastruktur kritis nasional. Untuk itu negara Indonesia memerlukan sebuah lembaga koordinator cyber nasional yang bertugas mengkoordinasikan kemampuan-kemampuan cyber nasional, menetapkan standar cybersecurity bagi infrastruktur kritis nasional, melakukan akreditasi cybersecurity dan membangun teknologi-teknologi terdepan cybersecurity. Setjen Wantannas telah berkontribusi aktif di bidang cyber nasional yang ditunjukkan dengan rekomendasi kepada Presiden RI pada tahun 2013 untuk membentuk Desk Keamanan Siber Nasional (DKSN).

Rekomendasi tersebut kemudian ditindaklanjuti oleh Kemenko Polhukam dengan membentuk Desk Ketahanan dan Keamanan Informasi Cyber Nasional (DK2ICN) pada tahun 2014 dan kemudian berevolusi menjadi Desk Cyberspace Nasional (DCN) pada tahun 2016 yang beranggotakan multi-stakeholder baik dari kalangan pemerintah maupun swasta. DCN inilah yang nantinya diharapkan menjadi embrio dari Badan Cyber Nasional (BCN), sebagai lembaga koodinator kemampuan-kemampuan cyber nasional. Kita harus bergerak bersama dengan sangat cepat secara sinergi dan kolaborasi karena teknologi cyber juga bergerak dengan sangat cepat. Second is matter!