RUU KKS tidak bisa dilepaskan dari sejarah peleburan Lembaga Sandi Negara/Lemsaneg dengan Direktorat Keamanan Informasi (Ditkominfo) Kemkominfo menjadi Badan Siber dan Sandi Nasional/BSSN, yang telah disetujui pembentukannya oleh Presiden Jokowi. Pada tanggal 19 Mei 2017, Presiden Joko Widodo menandatangani Peraturan Presiden (Perpres) Nomor 53 Tahun 2017 dan Perubahan Peraturan Presiden Nomor 133 tahun 2017 tentang Badan Siber dan Sandi Negara.

Sejak dibentuk pertama kali dengan nama Dinas Kode sampai bernama Lemsaneg, organisasi ini awalnya hanya ditugaskan untuk menyelenggarakan satu jenis layanan saja dengan sifat kegiatan yang sepenuhnya tertutup. Layanan tersebut adalah layanan intelijen untuk pengamanan rahasia negara, dengan berbasiskan pada pemanfaatan konsep, ilmu, seni, metode, dan/atau teknik kriptografi.

Dengan adanya BSSN, layanan tertutup tersebut tetap dilanjutkan, tetapi organisasi itu diberikan tugas-tugas tambahan yang memerlukan partisipasi lebih besar di tingkat publik. Dengan visi baru tersebut, maka pada hakikatnya Lemsaneg yang sebelumnya ditugaskan sebagai penyelenggara layanan tunggal (single service), telah ditransformasi menjadi organisasi yang menjalankan layanan ganda (dual services), satu layanan tetap bersifat tertutup dan satu layanan yang bersifat terbuka untuk diakses publik.

Alasan yang mendorong Presiden mentransformasi Lemsaneg menjadi BSSN. Pertama, Presiden ingin kebijakan dan program pemerintah di bidang keamanan siber dapat meningkatkan pertumbuhan ekonomi nasional. Kedua, dapat mewujudkan keamanan nasional. Tugas BSSN hanya satu, yaitu melaksanakan keamanan siber secara efektif dan efisien dengan memanfaatkan, mengembangkan, dan mengonsolidasikan semua unsur yang terkait dengan keamanan siber. Tetapi lingkup dari pelaksanaan tugas tersebut sangat luas, meliputi bidang identifikasi, deteksi, proteksi, penanggulangan, pemulihan, pemantauan, evaluasi, pengendalian proteksi e-commerce, persandian, penapisan, diplomasi siber, pusat manajemen krisis siber, pusat kontak siber, sentra informasi, dukungan mitigasi, pemulihan penanggulangan kerentanan, insiden dan/atau serangan siber. Dikaitkannya tugas keamanan siber dengan pertumbuhan ekonomi nasional dan keamanan nasional, ini terkait dengan perencanaan pembangunan nasional.

Lalu dengan dileburnya Ditjen Keamanan Informasi dalam BSSN itu berarti Kemkominfo hendaknya tidak lagi mengurus hal-hal yang berkaitan dengan keamanan siber, karena di dalam Perpres BSSN perintah Presiden berbunyi: "Dengan dibentuknya BSSN, untuk selanjutnya…pelaksanaan seluruh tugas dan fungsi di bidang keamanan informasi, pengamanan pemanfaatan jaringan telekomunikasi berbasis protokol internet, dan keamanan jaringan dan infrastruktur telekomunikasi pada Kementerian Komunikasi dan Informatika…dilaksanakan oleh BSSN…peralatan, pembiayaan, arsip, dan dokumen pada Direktorat Keamanan Informasi, Kementerian Komunikasi dan Informatika, dan Indonesia Security Incident Response Team on Internet Infrastructure (ID SIRTII) dialihkan ke BSSN." (Pasal 56 dan 53 Perpres BSSN)

RUU KKS ini merupakan inisiatif Badan Legislatif (Baleg) DPR bulan Mei 2019. Rancangan RUU KKS akan dibahas di dalam Pansus, dengan melibatkan Kementerian Pertahanan dan Keamanan dari pihak pemerintah.

Penyusunan RUU KKS ini muncul tiba-tiba dan terkesan terburu-buru ingin disahkan. Bila RUU KKS ini disahkan, maka BSSN akan memiliki kedudukan hukum yang lebih kuat daripada sebelumnya yang hanya diatur lewat Peraturan Presiden (Perpres) Nomor 53 Tahun 2017 dan Perubahan Peraturan Presiden Nomor 133 tahun 2017 tentang Badan Siber dan Sandi Negara.

Apa yang Harus Diwaspadai Dalam RUU KKS ini?

Sejarah telah banyak menunjukkan bahwa pembangunan akan sulit berjalan dengan baik apabila tidak ada rasa aman untuk bekerja atau berusaha. Karena itu, semua pemerintah negara di dunia selalu berupaya untuk membuat kondisi domestik di negaranya terbebas dari pertempuran bersenjata, dan terbebas dari aneka ragam sabotase yang dapat merusak atau menghancurkan sumber daya yang strategis bagi negara tersebut. Dengan semakin bergantungnya manusia, pemerintah, dan pebisnis pada infrastruktur, sistem, dan perangkat siber, potensi bahaya keamanan siber semakin besar.

Klaus Schwab, pendiri dan ketua WEF, mengemukakan bahwa revolusi industri keempat ini akan bercirikan semakin masifnya pemanfaatan teknologi tinggi yang berbasis pada teknologi digital. Efeknya akan semakin banyak orang, miliaran orang, yang akan terhubung dengan jaringan siber. Oleh karena itu, apabila terjadi serangan atau sabotase terhadap sumber daya siber di Indonesia yang menguasai hajat hidup orang banyak, akan mengancam kelangsungan hidup dan aset dari negara dan warga negara Indonesia. Eskalasi dari bahaya tersebut kini tampak semakin meningkat dengan ditandai adanya upaya sebagian negara di Perserikatan Bangsa-Bangsa untuk mengkonstruksikan serangan siber sebagai suatu serangan bersenjata.

Dalam perkembangan, banyak negara mengambil posisi keamanan siber sebagai bagian dari keamanan nasional, sehingga menggunakan pendekatan keamanan dalam konteks keamanan siber. Dampaknya, keamanan siber menjadi kontra produktif dan cenderung melanggar kebutuhan keamanan individu, mengancam pengakuan atas hak asasi dan melukai demokrasi.

Dalam Resolusi 73/266 (2018), PBB menggarisbawahi pentingnya penghormatan HAM dan kebebasan dasar dalam pemanfaatan teknologi informasi dan komunikasi. Hal ini terkait dengan upaya untuk memajukan perilaku negara‐negara yang bertanggung jawab di ruang siber dalam konteks keamanan internasional. Intinya, keamanan siber harus juga memperhatikan keamanan individu, bukan malah mereduksi dan memberi ruang yang terbatas bagi individu dalam menjalankan aktivitasnya.

Maka sejumlah prinsip perlu diperhatikan dalam penyusunan dan pembahasan RUU KKS. Pertama, UU KSS hendaknya tidak digunakan untuk melanggar hak asasi, terutama kebebasan berekspresi, berserikat, berkumpul, dan privasi. Kedua, karena sifat siber yang melibatkan banyak sekali pihak sebagaimana definisi siber yang diacu yaitu "sejumlah besar individu dan organisasi yang terhubung oleh pertukaran, penyimpanan, atau pembentukan informasi melalui jaringan komputasi digital (large body of individuals and organizations connected by the exchange, retention, or shaping of information via digital computing networks)" (Mikolic-Torreira: 2016), maka perumusan dan penerapannya harus melibatkan banyak pemangku kepentingan keamanan dan ketahanan siber.


Atas prinsip-prinsip tersebut, RUU KKS ini perlu dikritisi karena sejumlah pasal di dalamnya memiliki persoalan.

Mengancam Privasi dan Kebebasan Berekspresi
Dalam rancangan RUU KKS, perihal jaminan kebebasan berekspresi dan perlindungan atas privasi di ranah siber tidak ditekankan sama sekali, tidak tertulis eksplisit. Malahan dalam rancangan tersebut, ditemukan sejumlah pasal yang berpotensi mengancam privasi dan kebebasan berekspresi.

Dalam Pasal 11 RUU KKS, ditulis mengenai tugas BSSN adalah memitigasi risiko dan merespon adanya Ancaman Siber, salah satunya dalam ayat 2 d mengenai konten yang mengandung muatan destruktif dan/atau negatif. Pasal ini akan berpotensi digunakan untuk memidanakan mereka yang berpendapat secara legal dan sah menggunakan perangkat digital, sebagaimana banyak konten yang dianggap termasuk konten negatif lewat Peraturan Menteri Kominfo Nomer 19 Tahun 2008 dan tidak melalui proses yang transparan, akuntabel, serta berdasarkan penetapan pengadilan.

Dalam merespon ancaman siber, pasal 14 ayat 2 f mencantumkan kewajiban melakukan pemutusan hubungan koneksi data dari sistem elektronik ke sistem elektronik lain yang diduga menjadi sumber Ancaman Siber. Hal ini dapat berpotensi melakukan tindakan yang semena-mena karena membiarkan penyelenggara mengambil tindakan tanpa penilaian yang menyeluruh atas ancaman siber tersebut. Setiap tindakan pemutusan hubungan koneksi data setidak-tidaknya harus terlebih dulu terbukti melanggar hukum sebagaimana yang tercantum dalam hukum pidana. Adanya unsur penegakan hukum untuk memberi efek detterent dalam rancangan RUU KKS ini juga melampaui kewenangan, karena fungsi tersebut sudah ada pada sejumlah kelembagaan lain, seperti kepolisian, intelejen dan kelembagaan lain.

Lalu dalam Pasal 31 RUU KKS mencantumkan adanya kewajiban pusat operasi untuk terkoneksi pada pusat operasi BSSN. Ini perlu memperhatikan aspek pelindungan hak privasi karena menyangkut kumpulan besar data pribadi (big data) yang bila tidak dibatasi akses, justru malah menimbulkan persoalan pelanggaran privasi. Pasal 31 RUU KKS ini harus merinci apa saja data, kebutuhan yang diperlukan, dan mekanisme untuk terkoneksi dalam pusat operasi BSSN tersebut.

Membatasi Perkembangan Teknologi yang Melindungi Hak Asasi
Rancangan RUU KKS memuat cukup banyak pasal yang mengatur mengenai kewenangan sertifikasi, akreditasi, perizinan dari BSSN seperti tertulis pada pasal-pasal 17-27 RUU KKS. Pasal-pasal ini dapat membatasi perkembangan teknologi yang melindungi hak asasi. Terutamanya teknologi open source dan inisiatif yang prinsipnya melindungi dari praktek monopoli perusahaan teknologi keamanan siber dan pendulangan data oleh perusahaan teknologi informasi.

Anonimitas identitas, server virtual, enkripsi digital adalah teknologi siber yang banyak disediakan oleh teknologis yang mengendus adanya monopoli keamanan siber dan teknologi informasi. Teknologi ini diciptakan justru untuk melindungi hak asasi warga yang di banyak negara direpresi dengan kebijakan siber yang ketat lewat penyadapan massal. Upaya membatasi teknologi yang demikian lewat perizinan dan sertifikasi dari BSSN tentu akan lebih banyak mengesampingkan aspek keamanan individu yang seharusnya menjadi fokus dari perlindungan negara.

Menghalangi Kapasitas Individu Dalam Meningkatkan Keamanan Siber
Pasal-pasal tersebut juga mengatur mengenai kewajiban akreditasi dari BSSN terhadap upaya pelatihan keamanan siber. Ini tentunya akan menghalangi banyak warga untuk mendapat pelatihan keamanan siber yang selama ini dilakukan dan dilaksanakan secara swadaya oleh masyarakat. Pelaksanaan pelatihan keamanan siber tentu tidak bisa hanya terpusat pada BSSN karena jumlah warga yang seharusnya mendapat pelatihan berbanding lurus dengan jumlah warga yang dapat mengakses internet.

Minim Pelibatan Multistakeholder
Sesuai pasal 10 RUU KKS, BSSN merupakan satu-satunya pihak yang menyusun Daftar Infrastruktur Kritikal. Hal ini perlu dikritik karena penetapan seperti ini tidak mencerminkan pelibatan mulitistakeholder yang menjadi ciri dari pengambilan kebijakan di ranah siber.

Idealnya dalam penyusunan penetapan Daftar Infrastruktur Kritikal ini BSSN tidak sendiri, tetapi melibatkan forum tata kelola internet yang selama ini mengampu banyak kepentingan dalam ranah siber.

BSSN Menjadi Lembaga Superbody?
Bila maksud awal BSSN yang tujuan utamanya yaitu dapat meningkatkan pertumbuhan ekonomi nasional dan dapat mewujudkan keamanan nasional, maka berdasarkan pasal 42, 43, 44 mengenai tugas, fungsi, wewenang BSSN hingga pasal 46-53 RUU KKS, kewenangan BSSN melebihi maksud awal tersebut. Perlukah badan ini memiiliki kewenangan demikian luas, hingga mengeluarkan regulasi kamsiber sendiri dan melaksanakan diplomasi siber, yang sebenarnya mampu dilakukan oleh kementerian lembaga yang telah ada sebelumnya?

Apabila hal tersebut dapat diatur lewat kementerian lembaga yang sudah ada, kemudian juga menjadikan BSSN setingkat kementerian seperti dalam pasal 55-60 RUU KKS dapat dipertimbangkan masak-masak sebelum disahkan menjadi Undang-Undang.

Ikuti tulisan menarik Damar Juniarto lainnya di sini.