Insiden Siber, SPBE, dan G20
Tak perlu gugus tugas khusus untuk menangani insiden siber Bjorka. Ini sudah menjadi tugas Tim Koordinasi SPBE Nasional. Perlu kerja sama anggota G20 untuk membangun semacam protokol keamanan siber bersama.
Mengejar dan menangkap Bjorka itu sekunder atau bahkan tersier. Setelah Bjokra berlalu, mungkin akan muncul lagi insiden siber lain yang dilakukan oleh pihak dengan identitas, motif, skala, dan kerusakan yang berbeda.
Sekarang yang primer dan mendesak itu adalah, pertama, bagaimana mendorong Tim Koordinasi Sistem Pemerintahan Berbasis Elektronik (SPBE) Nasional supaya lebih gesit, responsif, dan antisipatif. Kedua, bagaimana menyelesaikan kerangka regulasi tentang kebijakan umum, standar, dan tata cara audit infrastruktur dan aplikasi SPBE. Kalau infrastruktur dan aplikasi SPBE mau aman dan pasar/industri audit keamanan SPBE mau tumbuh, kerangka regulasinya harus segera diadakan. Kedua agenda itu tali-temali.
Baca juga: Indeks Sistem Pemerintahan Berbasis Elektronik
SPBE negara-negara anggota G20
Kemendesakan untuk melakukan kedua hal itu bukan melulu karena Bjorka, melainkan juga dalam konteks kompetisi dan kerja sama ekonomi negara-negara G20, khususnya dalam pengembangan kerja sama ekonomi digital. Dalam dua tahun terakhir (2020-2022), skor indeks SPBE/EGDI (Electronic Government Development Index) Indonesia naik dari 0,6593 menjadi 0,7160, peringkatnya naik dari 88 ke 77 dari 193 negara yang disurvei. Namun, dalam konteks G20, skor dan indeks SPBE Indonesia dan India paling kecil.
Baca juga: Benarkah Aksi ”Bjorka” Didukung Warganet?
Selengkapnya skor dan peringkat indeks SPBE negara-negara G20 pada 2022 berikut ini: Korea Selatan (3:0,9529), Australia (7:0,9405), Amerika (10:0,9151), Inggris (11:0,9138), Jepang (14:0,9002), Perancis (19:0,8832), Jerman (22:0,8770), Arab Saudi (31:0,859), Kanada (32:0,8511), Rusia (42:0,8162), China (43:0,8119); Argentina (41:0,8198), Turki (48: 0,798), Brasil (49:0,7910), Meksiko (62:0,7473), Afrika Selatan (65:0,7357), dan India (105: 05883). Beberapa negara anggota Uni Eropa juga punya skor dan peringkat yang sangat baik. Denmark, misalnya, di peringkat pertama dengan skor 0,9717, sementara Finlandia di peringkat kedua dengan skor 0,9533.
Indeks SPBE ini indeks komposit yang dibangun dari tiga jenis indeks dengan bobot yang sama, sepertiga, yaitu 1) indeks layanan online, 2) indeks modal manusia, dan 3) indeks infrastruktur telekomunikasi. Indeks layanan online terdiri dari lima sub-indikator dengan bobot 10 persen untuk kerangka kelembagaan, 45 persen untuk penyediaan layanan, 5 persen untuk penyediaan konten, dan 35 persen untuk teknologi dan partisipasi digital.
Tim Koordinasi SPBE Nasional
Presiden Joko Widodo sebenarnya tak perlu membentuk gugus tugas khusus untuk menangani insiden siber Bjorka. Kita sudah punya Tim Koordinasi SPBE Nasional yang dibentuk berdasarkan Pasal 59 Peraturan Presiden No 95 Tahun 2018 tentang SPBE. Tim ini juga berada di bawah dan bertanggung jawab kepada Presiden. Tujuan pembentukan tim ini untuk meningkatkan keterpaduan tata kelola SPBE, manajemen SPBE, audit teknologi informasi dan komunikasi (TIK), serta pemantauan dan evaluasi SPBE.
Insiden siber Bjorka terutama terkait dengan fungsi dan tugas tim meningkatkan keterpaduan dalam audit TIK. Audit TIK mencakup audit infrastruktur SPBE, audit aplikasi SPBE, dan audit keamanan SPBE.
Keamanan SPBE itu merupakan kerahasiaan, keutuhan, ketersediaan, keaslian, dan kenirsangkalan (nonrepuditation) sumber daya yang mendukung SPBE. Audit keamanan SPBE terdiri atas audit keamanan infrastruktur SPBE nasional, audit keamanan infrastruktur SPBE instansi pemerintah pusat dan pemerintah daerah, audit keamanan aplikasi umum, dan audit keamanan aplikasi khusus. Audit keamanan SPBE dilakukan oleh lembaga audit keamanan pemerintah atau lembaga audit dan keamanan swasta yang terakreditasi.
Dengan platform tujuan seperti itu, aksi mengantisipasi, mengendalikan, dan merespons insiden siber tersebut seharusnya sudah menjadi tugas Tim Koordinasi SPBE Nasional.
Aplikasi umum adalah aplikasi yang sama, standar, dan digunakan secara bagi pakai oleh instansi pusat dan/atau pemerintah daerah. Beberapa aplikasi umum yang sudah cukup dikenal luas misalnya Jaringan Dokumentasi dan Informasi Hukum (JDIH), Sistem Informasi Kearsipan Dinamis dan Terintegrasi (Srikandi), Sistem Informasi Kepegawaian Nasional (Simpegnas), Aplikasi Layanan Aspirasi dan Informasi Online Rakyat (LAPOR), dan lain-lain.
Adapun aplikasi khusus adalah aplikasi SPBE yang dibangun, dikembangkan, digunakan, dan dikelola oleh instansi pusat atau pemerintah daerah tertentu untuk memenuhi kebutuhan khusus yang bukan kebutuhan instansi pusat dan pemerintah daerah lain. Salah satu contoh aplikasi khusus yang terkenal di kalangan eksportir/importir adalah Custom-Excise Information System and Automation (Ceisa). Beberapa bulan lalu, aplikasi ini lumpuh sehingga menimbulkan penumpukan kontainer di pelabuhan. Meski menimbulkan kerugian finansial yang sangat besar, peristiwa lumpuhnya aplikasi Ceisa hampir tanpa akuntabilitas dari pejabat pengelola Ceisa.
Dengan platform tujuan seperti itu, aksi mengantisipasi, mengendalikan, dan merespons insiden siber itu seharusnya sudah menjadi tugas Tim Koordinasi SPBE Nasional. Tim ini beranggotakan Kementerian Pendayagunaan Aparatur Negara dan Reformasi Birokrasi (ketua koordinator), Kementerian Keuangan, Kementerian Dalam Negeri, Kementerian Komunikasi dan Informatika, Kementerian/Badan Perencanaan dan Pembangunan Nasional, Badan Siber dan Sandi Negara (BSSN), serta Badan Pengkajian dan Penerapan Teknologi (BPPT)/Badan Riset dan Inovasi Nasional (BRIN).
Baca juga: Audit Sistem Keamanan Siber Instansi Pemerintah Perlu Dipercepat
Perpres No 95/2018 tentang SPBE juga menyebutkan tugas dan wewenang setiap kementerian/lembaga tersebut dalam pengembangan arsitektur SPBE. Kemenkominfo, misalnya, bertugas dan bertanggung jawab dalam pengembangan arsitektur aplikasi dan infrastruktur SPSBE, sedangkan BSSN bertanggung jawab dalam domain keamanan SPBE.
Kelihatannya Bjorka tahu persis bukan hanya tentang masih lemahnya manajemen dan tata kelola SPBE, keandalan dan keamanan infrastruktur dan aplikasi SPBE, tetapi juga masih lemahnya koordinasi, bercokolnya konflik kepentingan, vested interest, dan ego sektoral di antara para anggota Tim Koordinasi SPBE Nasional. Kemenkeu dan Kemendagri, misalnya, kurang akur dalam pelaksanaan aksi integrasi perencanaan dan penganggaran berbasis elektronik, khususnya dalam pengembangan aplikasi Sistem Informasi Pemerintah Daerah (SIPD) dan penyusunan Bagan Akun Standar (BAS) daerah.
Menunggu terbit
Via mitra lokalnya, Bjorka mungkin juga tahu bahwa Kemenkominfo belum menerbitkan peraturan menteri tentang kebijakan umum penyelenggaraan audit TIK, BSSN belum menerbitkan peraturan BSSN tentang standar dan tata cara audit keamanan SPBE, dan BRIN/BPPT belum menerbitkan peraturan BRIN tentang standar dan tata cara audit infrastruktur SPBE dan aplikasi SPBE. Ketiga peraturan itu amanat/turunan dari Perpres No 95/2018 tentang SPBE.
Dalam jangka pendek, taruhlah dalam enam bulan ke depan, kegesitan, responsivitas, dan antisipatif Tim Koordinasi SPBE Nasional itu mesti ditunjukkan dengan terbitnya ketiga peraturan tersebut yang sedang ditunggu banyak pihak. Tempo hari BSSN dan BPPT/BRIN galau untuk melakukan audit aplikasi LAPOR karena Peraturan Menkominfo tentang kebijakan umum penyelenggaraan audit TIK belum terbit. Kemenpan dan RB sebagai ketua Tim Koordinator SPBE Nasional, misalnya, harus bisa mengorkestrasi, mengakselerasi, dan memastikan Kemenkominfo, BSSN, dan BRIN menerbitkan ketiga peraturan tersebut.
Agenda perbaikan
Demi mengakselerasi kedua agenda tersebut, setidaknya ada empat langkah strategis yang harus dilakukan. Pertama, DPR khususnya Komisi I meningkatkan pengawasan politiknya pada implementaasi Perpres No 95/2018 tentang SPBE, khususnya menyangkut kegiatan dan kinerja Tim Koordinasi SPBE Nasional. Misalnya, nanti yang diundang dengar pendapat bukan hanya Kemenkominfo dan BSSN, tetapi juga seluruh anggota tim tersebut.
Baca juga: Mangkraknya Moratorium Pengembangan Aplikasi
Kedua, bantuan teknis dari Sekretariat Strategi Nasional (Stranas) Pencegahan Korupsi (PK), yang dikoordinatori KPK, untuk mengakselerasi implementasi SPBE perlu diperluas dan diperdalam. Kalau saat ini asistensinya pada penerbitan Perpres tentang Arsitektur SPBE, Peraturan Menteri PAN dan RB tentang Peta Rencana SPBE, dan pengembangan saluran pengaduan publik yang efektif dan tepercaya, ke depan bisa diarahkan untuk menerbitkan ketiga peraturan tersebut. Ini tidak mudah karena KPK saat ini sedang meningkatkan kemandirian dan integritasnya.
Ketiga, penguatan partisipasi dan kontrol publik—warga aktif, aktivis, LSM, dan media—terhadap Tim Koordinasi SPBE Nasional. Beberapa program pencegahan korupsi yang dikembangkan beberapa lembaga kerja sama pembangunan/donor internasional mungkin bisa mendukung upaya penguatan partisipasi dan kontrol publik ini.
Terakhir, last but not least, perlu upaya peningkatan kapasitas negara anggota G20 yang skor dan peringkat indeks SPBE-nya masih lemah/kecil plus membangun semacam protokol keamanan siber bersama. Dengan demikian, akan tercipta kerangka kerja sama ekonomi digital secara lebih kokoh dan adil.
Dedi Haryadi, Ketua Beyond Anti Corruption