Svaradiva Aurdea Devi
Ketua Internet Development Institute
Ketika pertama kali membaca Rancangan Undang-Undang Keamanan dan Ketahanan Siber (RUU KKS), saya langsung tertawa, teringat pada kelucuan senator-senator di Amerika Serikat dalam sidang kasus Facebook dan Cambridge Analytica. Dari pertanyaan-pertanyaan yang diajukan oleh senator, tampak jelas bahwa orang-orang yang duduk di bangku mewah tersebut tidak memahami kasus, atau bahkan tidak memahami Internet. Hal ini pula yang tampaknya terjadi pada orang-orang yang membuat RUU KKS ini.
Dulu otoritas tunggal atas arus informasi di Indonesia pernah dipegang oleh Departemen Penerangan.Kini otoritas atas Internet Indonesia akan dipegang oleh Badan Siber dan Sandi Negara (BSSN) jika draf RUU KKS ini disahkan. Dalam rancangan tersebut, tampak jelas bahwa ada keinginan untuk menjadikan BSSN sebagai superbody yang memiliki kewenangan eksekutif, legislatif, dan yudikatif sekaligus.
Apakah BSSN ingin dibangun seperti Badan Keamanan Nasional Amerika yang terkenal sebagai badan intelijen terbesar di dunia? Atau ingin membangun Internet di Indonesia menjadi seperti Cina yang penuh proteksi?
Penyusun RUU KKS mungkin berpikir Indonesia dapat secepatnya mengikuti jejak Cina, yang Internetnya tersentralisasi, memakai teknologi deep packet inspection, dan membangun The Great Firewall of China. Tapi, perlu diingat, infrastruktur Internet di sana dibangun oleh pemerintah selama bertahun-tahun. Swasta dan individu hanya menyewa bandwidth dari badan negara. Sementara di sini, nyaris seluruh infrastruktur Internet dibangun oleh swasta dan masyarakat. Baru beberapa tahun ini pemerintah membangun Palapa Ring. Itu pun pengerjaannya masih dibantu oleh swasta.
Selama ini, fungsi keamanan dan ketahanan cyber di Indonesia sudah dijalankan oleh Tentara Nasional Indonesia, Badan Intelijen Negara, kepolisian, dan sektor swasta, seperti penyedia jasa Internet (ISP), data center, dan perusahaan antivirus, ditambah kelompok-kelompok masyarakat sipil. Fungsi ini dijalankan sejak bertahun-tahun lalu dengan hasil yang cukup baik.
Apabila draf RUU KKS dipaksakan untuk disahkan menjadi undang-undang, perkembangan teknologi keamanan cyber akan sulit hadir di Indonesia karena penelitian, pengembangan produk, juga prototipe, izin, serta sertifikasi dan akreditasi dikontrol oleh satu lembaga tanpa adanya pengawas. Investor akan semakin malas berinvestasi karena izin semakin banyak, padahal Presiden Joko Widodo menyatakan ingin memangkas izin-izin guna mempermudah investor masuk.
Berbagai start-up aplikasi dan konten akan semakin waswas karena ketidakjelasan tolok ukur penentuan muatan yang melanggar undang-undang. Jika RUU KKS disahkan, selain diatur Undang-Undang Informasi dan Transaksi Elektronik, aplikasi dan konten diatur dalam peraturan yang hanya dibuat oleh satu badan pemerintah dan mengabaikan pemangku kepentingan lain. Seandainya saja perancang RUU KKS mau berdiskusi dengan beragam pemangku kepentingan, mungkin masalah ini tak perlu muncul.
Pada 2018, International Telecommunication Union bersama sembilan lembaga lainnya, seperti Microsoft dan Deloitte, telah membuat panduan dalam merumuskan strategi keamanan dan ketahanan cyber nasional. Di dalamnya terdapat poin public-private partnership, yang berarti adanya kerja sama antara publik dan swasta. Bahkan di panduan itu ditulis hal-hal apa saja yang harus dilakukan dalam menjalankan kerja sama tersebut. Salah satunya membangun kepercayaan publik dan swasta terhadap pemerintah.
Perancang RUU KKS jelas tak mengetahui bahwa Internet dapat berkembang karena memiliki tiga "DNA" utama yang diakui mayoritas masyarakat global, yakni proses bawah-atas partisipatif, memprioritaskan stabilitas dan integritas sistem, serta menjaga sifat terbuka dari teknologi yang mendasarinya.
Penggabungan semua fungsi keamanan dan ketahanan cyber pada satu lembaga pemerintah tidak hanya merusak integritas sistem Internet itu sendiri, tapi juga tidak sesuai dengan prinsip interoperability Internet governance, yang menyatakan bahwa Internet dijalankan oleh berbagai lembaga atau organisasi.
Pendekatan banyak pemangku kepentingan dalam membuat peraturan atau kebijakan harus digunakan ketika keputusan yang akan dibuat berdampak pada orang dan minat yang luas dan terdistribusi. Pendekatan ini juga diperlukan saat ada hak dan tanggung jawab yang tumpang-tindih di lintas sektor, membutuhkan berbagai bentuk keahlian (seperti teknis, hukum, sosial budaya) dan legitimasi, serta saat keputusan yang dibuat berdampak langsung terhadap implementasi.
Hal ini juga dibahas oleh Organisasi Kerja Sama dan Pembangunan Ekonomi (OECD), organisasi lintas pemerintah di 36 negara, sepanjang 2013-2015. Organisasi itu merumuskan kesepakatan bahwa keamanan digital adalah masalah ekonomi dan sosial, bukan sekadar masalah teknis. OECD menegaskan bahwa semua pemangku kepentingan bertanggung jawab mengelola risiko keamanan digital sesuai dengan peran dan konteksnya. Pemangku kepentingan juga harus mengelola risiko keamanan cyber secara transparan dan konsisten dengan hak asasi manusia dan nilai-nilai fundamental, seperti kebebasan berekspresi, arus bebas informasi, kerahasiaan informasi dan komunikasi, perlindungan privasi dan data pribadi, serta keterbukaan dan proses yang adil.
