BSSN dan Peta Keamanan Siber Indonesia
Jakarta - Menarik sekali membaca buku Kebijakan Cybersecurity Dalam Perspektif Multi Stakeholder yang diterbitkan Kementerian Komunikasi dan Informatika beserta ICT Watch, yang menerangkan konstelasi dunia keamanan siber di dunia dan bagaimana tata kelola keamanan siber di Indonesia dalam perspektif HAM. Tulisan ini dimaksudkan untuk lebih memperkaya dan melengkapi buku tersebut dengan perspektif yang berbeda.
Peta keamanan siber, menurut Muhammad Nuh al-Azhar, Pusat Laboratorium Forensik Bareskrim Polri, berisi: ancaman siber, kerentanan sistem, infrastruktur kritis, dan komunitas. Komunitas keamanan siber merupakan salah satu hal yang paling penting karena keamanan siber hanya dapat dicapai melalui hubungan antar multistakeholder A, B, C, G (Academic, Business, Community, Government), dan BSSN diharapkan menjadi pusat koordinasinya.
Sektor Pendidikan dan Pelatihan
Keputusan ini disambut baik oleh kalangan akademisi karena selama ini program keamanan siber masih menumpang rumpun lain seperti di STEI ITB, UI, ITS, dan Binus. Beberapa universitas lainnya aktif menyelenggarakan event seperti Telkom University dengan ICS2C yang mengumpulkan 138 hacker berkompetisi dalam hackathon.
Demikian pula industri training dan sertifikasi keamanan siber. Sertifikasi merupakan bagian penting bagi pengembangan kompetensi keamanan siber yang beraneka spesialisasinya.
EC-Council sebagai salah satu penyedia sertifikasi keamanan siber membagi model sertifikasinya menjadi beberapa tingkatan dan bagian berdasarkan kerangka NICE (National Initiative CyberSecurity Education - US) dari NIST (National Institute of Standards and Technology - US) yang melakukan pemetaan berdasarkan peran kerja: asesmen dan audit melalui pentest, forensik siber, keamanan jaringan dan infrastruktur, keamanan software, dan tata kelola.
ISACA yang merupakan organisasi profesi global di bidang tata kelola TI dan keamanan siber juga menawarkan sertifikasi di berbagai bidang, yaitu: auditor TI, manajemen keamanan TI, manajemen risiko dan pengendalian TI, tata kelola TI serta keamanan siber. Saat ini anggotanya di Indonesia telah mencapai 800 orang.
Sektor Industri dan Komunitas
Industri keamanan siber juga semakin berkembang dengan masuknya startup maupun diferensiasi dari industri jaringan ataupun perangkat IT. Industri yang dahulu hanya didominasi vendor anti virus dan firewall kini berkembang dengan produknya seperti anti DDoS, anti spam, IDS/IPS, anti ransomware, security hardening, forensic, dan berbagai macam lainnya.
Baik akademisi, praktisi, regulator, dan industri berinteraksi secara cair di banyak organisasi komunitas. MASTEL merupakan salah satu organisasi tertua yang aktif di bidang telematika dan menjadi rujukan kebijakan pemerintah. APJII dan PANDI mengelola infrastruktur internet yaitu alamat IP dan nama domain. ICSF aktif menjalin komunikasi multi stakeholder berkaitan dengan keamanan siber sementara AFDI lebih dalam lagi berdiskusi mengenai kompetensi forensik digital.
ID-CERT merupakan pionir Computer Emergency Response Team yang pertama kali dibentuk di Indonesia sedangkan FTII berperan menjadi federasi dari semua asosiasi dari dunia TIK. Selain itu banyak sekali komunitas yang aktif di bidang masing-masing dan merupakan satu bagian penting pengembangan keamanan siber di Indonesia selain yang disebutkan dalam buku seri Literasi Digital di atas.
Salah satu peranan multistakeholder A, B, C, G adalah dalam Desk Ketahanan dan Keamanan Informasi Cyber Nasional (DK2ICN) Kementerian Koordinator Bidang Politik, Hukum dan Keamanan. Desk yang beroperasi sampai 2016 inilah yang melahirkan konseptual Badan Cyber Nasional yang berujung pada Perpres pembentukan BSSN.
Sektor Pemerintahan
Sementara di sisi pemerintah, terdapat beberapa Kementerian dan Lembaga yang menjadi stakeholder di bidangnya masing-masing. Unsur-unsur K/L yang terkait dengan keamanan siber antara lain:
Siapakah yang mengkoordinasi seluruh unsur dari multistakeholder A, B, C, G di atas? BSSN dibentuk melalui Perpres 53/2017 sebagaimana telah diubah dengan Perpres 133/2017 tentang Perubahan atas Perpres 53/2017 tentang Badan Siber dan Sandi Negara, mempunyai tugas melaksanakan keamanan siber secara efektif dan efisien dengan memanfaatkan, mengembangkan, dan mengonsolidasikan semua unsur yang terkait dengan keamanan siber.
Dengan telah disetujuinya dokumen organisasi dan tata kerja Badan Siber dan Sandi Negara oleh Kementerian PAN RB di Februari 2018, maka BSSN sudah mulai dapat beroperasi secara fungsi dan organisasinya dengan melengkapi SDM serta menyiapkan anggaran. Hal yang sangat ditunggu setelah lama terkatung-katung dalam pembentukannya.
Organisasi BSSN
Organisasi BSSN terdiri dari Kepala, 1 Wakil, 1 Sestama, 1 Inspektorat, 4 Deputi eselon 1 setara bintang 2 dan 4 Unit dengan Kapus eselon 2 mandiri setara bintang 1. Kedeputiannya dibangun berdasarkan NIST Framework yaitu: I. Identifikasi Deteksi; II. Proteksi; III. Penanggulangan dan Pemulihan; serta IV. Pemantauan dan Pengendalian.
Selain itu terdapat pula Pusat Pengkajian dan Pengembangan Teknologi Keamanan Siber dan Sandi, Pusat Data dan Teknologi Informasi Komunikasi, Pusdiklat, serta Pusat Operasi Keamanan Siber Nasional (Pusopskamsinas). Yang terakhir adalah unit pelaksana teknis seperti Balai Sertifikasi Elektronik (BSrE) yang menjadi CA (Certificate Authority) pemerintah.
Secara umum, tiap bagian organisasi mempunyai tugas penyusunan dan pelaksanaan kebijakan teknis di bidang masing-masing dengan tiga sasaran utama: pemerintah, CIIP (Critical Infrastructure Information Protection), dan e-commerce.
Deputi I Identifikasi dan Deteksi bertanggung jawab di bidang identifikasi kerentanan, penilaian risiko, dan deteksi ancaman serangan siber, sosiokultural, serta potensi ancaman lainnya. Analisa malware, tipe serangan, teknik eksploitasi, perilaku budaya, media sosial, dan berbagai model ancaman lainnya menjadi ruang lingkup tanggung jawabnya.
Deputi II Proteksi mempunyai tanggung jawab di bidang tata kelola keamanan informasi dari peralatan, alat pendukung, manajemen kunci, frekuensi, jaringan intra, serta audit keamanan informasi dilakukan. Selain itu, terdapat pula fungsi diplomasi siber dan focal point kerjasama di sini.
Deputi III Penanggulangan dan Pemulihan berfokus pada investigasi, analisis dampak insiden, mitigasi pasca insiden, penanggulangan insiden, dan pemulihan pasca insiden keamanan siber dan/atau sandi. Manajemen krisis dalam kondisi serangan siber menjadi bagian strategis yang menjadi perhatian utama di sini.
Deputi IV Pemantauan dan Pengendalian mempunyai tupoksi meliputi standardisasi sumber daya, sertifikasi produk, akreditasi lembaga pendidikan dan pelatihan dan lembaga sertifikasi profesi sumber daya keamanan siber, serta penyidikan, digital forensik, dan penapisan konten.
Pusopskamsinas merupakan pusat yang paling menarik. Inilah National Security Operation Center (NSOC) yang memegang kendali operasi keamanan siber nasional meliputi pemonitoran keamanan siber nasional, pusat kontak siber, serta tata kelola keamanan informasi dan infrastruktur.
Dimanakah posisi ID SIRTII/CC? Fungsionalitas Indonesia Security Incident Response Team on Internet Infrastructure / Coordination Center menjadi pertanyaan karena fungsi monitoring, pemulihan, dan pelatihan telah ada di kedeputian dan pusat.
Harapan kami, ID SIRTII akan tetap dipertahankan untuk bertanggung jawab pada deteksi serangan dari luar melalui IDS Mata Garuda yang telah terpasang di seluruh NAP sebagai gerbang internet Indonesia. Fungsinya sebagai Country Coordinator selama ini berperan strategis dalam menjembatani komunikasi internasional antar CERT/CSIRT.
Jadi proses koordinasi yang terjadi ketika terjadi serangan siber ke Indonesia adalah sebagai berikut. Serangan yang dideteksi oleh Mata Garuda, diteruskan informasinya ke Pusopkamnas yang kemudian akan memberikan alarm kepada SOC di seluruh sektor. Secara internal, serangan ini dianalisa oleh tiga deputi I, II, dan III terkait bidangnya masing-masing. Serangan akan dimonitor tingkat risikonya dan strategi penanggulangannya disiapkan sesuai level risiko tersebut.
OTK BSSN di atas memenuhi unsur-unsur kesuksesan suatu agensi keamanan siber nasional menurut Microsoft. Namun demikian, masih dibutuhkan 'cantolan' hukum yang lebih kuat dari Perpres, serta yang paling penting adalah pengadaan SDM yang menjadi kunci keberhasilan suatu organisasi.
GCI 2017
Indonesia diakui masih banyak mempunyai PR di sisi keamanan siber. Dalam dokumen Global Cybersecurity Index 2017 yang diterbitkan oleh ITU-D, Indonesia mendapatkan nilai 0.424 dan berada di posisi nomor 69 dari 164 negara dengan status Maturing (sedang menuju kesiapan). Coba bandingkan dengan Singapura yang memimpin di nomor 1 dengan nilai 0.925 dan Malaysia di tempat 3 dengan nilai 0.893.
Komponen-komponen yang masih mendapatkan penilaian merah adalah: CERT sektor, standar organisasi, strategi keamanan siber, matriks keamanan siber, good practice, program edukasi, industri dalam negeri, perjanjian bilateral, perjanjian multilateral, serta kerjasama antara pemerintah dan swasta.
Dengan adanya kejelasan mengenai tupoksi BSSN di atas, diharapkan tidak terjadi tumpang tindih lingkup kerja antar semua stakeholder, terutama dalam hubungannya dengan Kominfo. It Takes Two to Tango.
Dibutuhkan kerja sama multi stakeholder untuk meningkatkan standar keamanan siber di Indonesia yang dapat diukur melalui GCI di atas. Peranan BSSN sebagai koordinator seluruh unsur keamanan siber dengan Deputi II sebagai collaboration focal point menjadi krusial di sini. Semoga!
Penulis, Satriyo Wibowo (@sBowo) adalah aktivis Blockchain, IPv6, dan Yurisdiksi Internet di Indonesia Cyber Security Forum (ICSF). (rou/rou)
Peta keamanan siber, menurut Muhammad Nuh al-Azhar, Pusat Laboratorium Forensik Bareskrim Polri, berisi: ancaman siber, kerentanan sistem, infrastruktur kritis, dan komunitas. Komunitas keamanan siber merupakan salah satu hal yang paling penting karena keamanan siber hanya dapat dicapai melalui hubungan antar multistakeholder A, B, C, G (Academic, Business, Community, Government), dan BSSN diharapkan menjadi pusat koordinasinya.
Sektor Pendidikan dan Pelatihan
Keputusan ini disambut baik oleh kalangan akademisi karena selama ini program keamanan siber masih menumpang rumpun lain seperti di STEI ITB, UI, ITS, dan Binus. Beberapa universitas lainnya aktif menyelenggarakan event seperti Telkom University dengan ICS2C yang mengumpulkan 138 hacker berkompetisi dalam hackathon.
Demikian pula industri training dan sertifikasi keamanan siber. Sertifikasi merupakan bagian penting bagi pengembangan kompetensi keamanan siber yang beraneka spesialisasinya.
EC-Council sebagai salah satu penyedia sertifikasi keamanan siber membagi model sertifikasinya menjadi beberapa tingkatan dan bagian berdasarkan kerangka NICE (National Initiative CyberSecurity Education - US) dari NIST (National Institute of Standards and Technology - US) yang melakukan pemetaan berdasarkan peran kerja: asesmen dan audit melalui pentest, forensik siber, keamanan jaringan dan infrastruktur, keamanan software, dan tata kelola.
ISACA yang merupakan organisasi profesi global di bidang tata kelola TI dan keamanan siber juga menawarkan sertifikasi di berbagai bidang, yaitu: auditor TI, manajemen keamanan TI, manajemen risiko dan pengendalian TI, tata kelola TI serta keamanan siber. Saat ini anggotanya di Indonesia telah mencapai 800 orang.
Sektor Industri dan Komunitas
Industri keamanan siber juga semakin berkembang dengan masuknya startup maupun diferensiasi dari industri jaringan ataupun perangkat IT. Industri yang dahulu hanya didominasi vendor anti virus dan firewall kini berkembang dengan produknya seperti anti DDoS, anti spam, IDS/IPS, anti ransomware, security hardening, forensic, dan berbagai macam lainnya.
Baik akademisi, praktisi, regulator, dan industri berinteraksi secara cair di banyak organisasi komunitas. MASTEL merupakan salah satu organisasi tertua yang aktif di bidang telematika dan menjadi rujukan kebijakan pemerintah. APJII dan PANDI mengelola infrastruktur internet yaitu alamat IP dan nama domain. ICSF aktif menjalin komunikasi multi stakeholder berkaitan dengan keamanan siber sementara AFDI lebih dalam lagi berdiskusi mengenai kompetensi forensik digital.
ID-CERT merupakan pionir Computer Emergency Response Team yang pertama kali dibentuk di Indonesia sedangkan FTII berperan menjadi federasi dari semua asosiasi dari dunia TIK. Selain itu banyak sekali komunitas yang aktif di bidang masing-masing dan merupakan satu bagian penting pengembangan keamanan siber di Indonesia selain yang disebutkan dalam buku seri Literasi Digital di atas.
Salah satu peranan multistakeholder A, B, C, G adalah dalam Desk Ketahanan dan Keamanan Informasi Cyber Nasional (DK2ICN) Kementerian Koordinator Bidang Politik, Hukum dan Keamanan. Desk yang beroperasi sampai 2016 inilah yang melahirkan konseptual Badan Cyber Nasional yang berujung pada Perpres pembentukan BSSN.
Sektor Pemerintahan
Sementara di sisi pemerintah, terdapat beberapa Kementerian dan Lembaga yang menjadi stakeholder di bidangnya masing-masing. Unsur-unsur K/L yang terkait dengan keamanan siber antara lain:
- Kementrian Kominfo sebagai regulator perangkat, jaringan, infrastruktur, teknologi, konten, dan budaya keamanan informasi
- Kementerian Pertahanan bertanggung jawab akan pertahanan siber
- Kementerian Luar Negeri bertanggung jawab akan diplomasi siber
- Kementerian Perindustrian, Kementerian Perdagangan, dan Bekraf bertanggung jawab akan perdagangan elektronik
- Kemendikbud dan Kemenristek Dikti bertanggung jawab akan penyediaan SDM keamanan siber
- Kemenristek Dikti dan BPPT di sisi penelitian dan pengembangan
- BIN di sisi intelijen siber sipil
- TNI di sisi intelijen siber militer dan fungsi Hankam
- Mabes POLRI di sisi penanganan keamanan terhadap kejahatan siber
- BNPT menanggulangi teroris siber
- BSN menyiapkan standarisasi dan framework berbasiskan ISO
- IPPS untuk pengamanan informasi pada infrastruktur kritis
- Wantiknas dan Wantannas merupakan think tank dalam kaitannya dengan teknologi dan ketahanan siber
Siapakah yang mengkoordinasi seluruh unsur dari multistakeholder A, B, C, G di atas? BSSN dibentuk melalui Perpres 53/2017 sebagaimana telah diubah dengan Perpres 133/2017 tentang Perubahan atas Perpres 53/2017 tentang Badan Siber dan Sandi Negara, mempunyai tugas melaksanakan keamanan siber secara efektif dan efisien dengan memanfaatkan, mengembangkan, dan mengonsolidasikan semua unsur yang terkait dengan keamanan siber.
Dengan telah disetujuinya dokumen organisasi dan tata kerja Badan Siber dan Sandi Negara oleh Kementerian PAN RB di Februari 2018, maka BSSN sudah mulai dapat beroperasi secara fungsi dan organisasinya dengan melengkapi SDM serta menyiapkan anggaran. Hal yang sangat ditunggu setelah lama terkatung-katung dalam pembentukannya.
Organisasi BSSN
Organisasi BSSN terdiri dari Kepala, 1 Wakil, 1 Sestama, 1 Inspektorat, 4 Deputi eselon 1 setara bintang 2 dan 4 Unit dengan Kapus eselon 2 mandiri setara bintang 1. Kedeputiannya dibangun berdasarkan NIST Framework yaitu: I. Identifikasi Deteksi; II. Proteksi; III. Penanggulangan dan Pemulihan; serta IV. Pemantauan dan Pengendalian.
Selain itu terdapat pula Pusat Pengkajian dan Pengembangan Teknologi Keamanan Siber dan Sandi, Pusat Data dan Teknologi Informasi Komunikasi, Pusdiklat, serta Pusat Operasi Keamanan Siber Nasional (Pusopskamsinas). Yang terakhir adalah unit pelaksana teknis seperti Balai Sertifikasi Elektronik (BSrE) yang menjadi CA (Certificate Authority) pemerintah.
Secara umum, tiap bagian organisasi mempunyai tugas penyusunan dan pelaksanaan kebijakan teknis di bidang masing-masing dengan tiga sasaran utama: pemerintah, CIIP (Critical Infrastructure Information Protection), dan e-commerce.
Deputi I Identifikasi dan Deteksi bertanggung jawab di bidang identifikasi kerentanan, penilaian risiko, dan deteksi ancaman serangan siber, sosiokultural, serta potensi ancaman lainnya. Analisa malware, tipe serangan, teknik eksploitasi, perilaku budaya, media sosial, dan berbagai model ancaman lainnya menjadi ruang lingkup tanggung jawabnya.
Deputi II Proteksi mempunyai tanggung jawab di bidang tata kelola keamanan informasi dari peralatan, alat pendukung, manajemen kunci, frekuensi, jaringan intra, serta audit keamanan informasi dilakukan. Selain itu, terdapat pula fungsi diplomasi siber dan focal point kerjasama di sini.
Deputi III Penanggulangan dan Pemulihan berfokus pada investigasi, analisis dampak insiden, mitigasi pasca insiden, penanggulangan insiden, dan pemulihan pasca insiden keamanan siber dan/atau sandi. Manajemen krisis dalam kondisi serangan siber menjadi bagian strategis yang menjadi perhatian utama di sini.
Deputi IV Pemantauan dan Pengendalian mempunyai tupoksi meliputi standardisasi sumber daya, sertifikasi produk, akreditasi lembaga pendidikan dan pelatihan dan lembaga sertifikasi profesi sumber daya keamanan siber, serta penyidikan, digital forensik, dan penapisan konten.
Pusopskamsinas merupakan pusat yang paling menarik. Inilah National Security Operation Center (NSOC) yang memegang kendali operasi keamanan siber nasional meliputi pemonitoran keamanan siber nasional, pusat kontak siber, serta tata kelola keamanan informasi dan infrastruktur.
Dimanakah posisi ID SIRTII/CC? Fungsionalitas Indonesia Security Incident Response Team on Internet Infrastructure / Coordination Center menjadi pertanyaan karena fungsi monitoring, pemulihan, dan pelatihan telah ada di kedeputian dan pusat.
Harapan kami, ID SIRTII akan tetap dipertahankan untuk bertanggung jawab pada deteksi serangan dari luar melalui IDS Mata Garuda yang telah terpasang di seluruh NAP sebagai gerbang internet Indonesia. Fungsinya sebagai Country Coordinator selama ini berperan strategis dalam menjembatani komunikasi internasional antar CERT/CSIRT.
Jadi proses koordinasi yang terjadi ketika terjadi serangan siber ke Indonesia adalah sebagai berikut. Serangan yang dideteksi oleh Mata Garuda, diteruskan informasinya ke Pusopkamnas yang kemudian akan memberikan alarm kepada SOC di seluruh sektor. Secara internal, serangan ini dianalisa oleh tiga deputi I, II, dan III terkait bidangnya masing-masing. Serangan akan dimonitor tingkat risikonya dan strategi penanggulangannya disiapkan sesuai level risiko tersebut.
OTK BSSN di atas memenuhi unsur-unsur kesuksesan suatu agensi keamanan siber nasional menurut Microsoft. Namun demikian, masih dibutuhkan 'cantolan' hukum yang lebih kuat dari Perpres, serta yang paling penting adalah pengadaan SDM yang menjadi kunci keberhasilan suatu organisasi.
GCI 2017
Indonesia diakui masih banyak mempunyai PR di sisi keamanan siber. Dalam dokumen Global Cybersecurity Index 2017 yang diterbitkan oleh ITU-D, Indonesia mendapatkan nilai 0.424 dan berada di posisi nomor 69 dari 164 negara dengan status Maturing (sedang menuju kesiapan). Coba bandingkan dengan Singapura yang memimpin di nomor 1 dengan nilai 0.925 dan Malaysia di tempat 3 dengan nilai 0.893.
Komponen-komponen yang masih mendapatkan penilaian merah adalah: CERT sektor, standar organisasi, strategi keamanan siber, matriks keamanan siber, good practice, program edukasi, industri dalam negeri, perjanjian bilateral, perjanjian multilateral, serta kerjasama antara pemerintah dan swasta.
Dengan adanya kejelasan mengenai tupoksi BSSN di atas, diharapkan tidak terjadi tumpang tindih lingkup kerja antar semua stakeholder, terutama dalam hubungannya dengan Kominfo. It Takes Two to Tango.
Dibutuhkan kerja sama multi stakeholder untuk meningkatkan standar keamanan siber di Indonesia yang dapat diukur melalui GCI di atas. Peranan BSSN sebagai koordinator seluruh unsur keamanan siber dengan Deputi II sebagai collaboration focal point menjadi krusial di sini. Semoga!
Penulis, Satriyo Wibowo (@sBowo) adalah aktivis Blockchain, IPv6, dan Yurisdiksi Internet di Indonesia Cyber Security Forum (ICSF). (rou/rou)
Fanky Christian
IT Infrastructure Specialist
Ketua DPD DKI APTIKNAS (Asosiasi TIK Nasional) 2017-2021
Waketum APOI (Asosiasi Pebisnis Online Indonesia) 2016-2020
Waketum ASISINDO (Asosiasi System Integrator & Sekuriti Indonesia) 2017-2021
Sekretaris Jenderal ACCI (Asosiasi Cloud Computing Indonesia) 2017-2021
Sekretaris Jenderal ACCI (Asosiasi Cloud Computing Indonesia) 2017-2021