Setelah ramai kontroversi pengesahan Revisi UU KPK dani Revisi KUHP, ada kejutan lain dari Senayan yang diam-diam masuk program legislasi nasional (prolegnas) dan berencana disahkan di bulan ini, yakni Rancangan Undang-Undang Keamanan dan Ketahanan Siber (RUU KKS).
Seperti dua RUU sebelumnya, RUU KKS juga memuat banyak pasal bermasalah yang muaranya akan mempersempit demokrasi di internet. Kami percaya rumusan yang demikian adalah akibat dari proses perancangannya yang tidak melibatkan pemangku kepentingan digital seperti industri, komunitas, akademisi, dan banyak lainnya.
Hal ini amat disesali, pasalnya kalangan akademisi dan swasta punya andil yang besar dalam pengembangan infrastruktur dan keamanan siber di Indonesia.
Sejarah mencatat Indonesia menjadi negara pertama di Asia Tenggara yang terhubung ke internet lewat kerja banyak pihak non negara. Pada era 1980-an beberapa kampus seperti UI dan ITB mulai memanfaatkan jaringan komputer terbatas (LAN). Merlyna Lim dalam tesisnya berjudul @archipelago online: The Internet and Political Activism in Indonesia mencatat koneksi internet pertama di Indonesia diupayakan oleh Joseph Luhukay dari Departemen Ilmu Komputer Universitas Indonesia pada 1983, yang kemudian disebut sebagai UINet. M. Salahudien, seorang pakar keamanan internet dan mantan Wakil Ketua ID-SIRTII ketika kami wawancara mengatakan, “Pembangunan keamanan siber di Indonesia selama ini dilakukan secara gotong-royong, kolaborasi berbasis kepercayaan, tanpa melibatkan pemerintah dan (apalagi) DPR.”
Jika kita mau jujur, bahkan peran pemerintah dalam pembangunan infrastruktur internet baru dirasakan beberapa tahun belakangan lewat program Palapa Ring, dan itu pun masih dibantu oleh tenaga ahli dan teknologi yang dimiliki swasta.
Mengabaikan masukan dan keterlibatan para pakar, komunitas, dan pelaku industri digital sebagaimana dilakukan oleh DPR bukan hanya arogan, namun juga terbukti berbahaya. Bahaya itu tampak pada rancangan RUU KKS versi DPR yang inkompeten dan bertendensi otoriter.
Pasal-Pasal Tak Masuk Akal
Sejak lama memang banyak pihak mendorong pemerintah mengembangkan industri perangkat keras ICT dalam negeri. Selain berguna dalam menambah devisa negara, ia juga berdampak pada kemampuan Indonesia dalam meningkatkan keamanan siber. Bergantung pada impor perangkat keras secara umum memang rentan bagi keamanan siber nasional. Terutama perangkat keras yang digunakan dalam konteks ketahanan nasional (TNI, BIN, Kepolisian, dsb). Kelihatannya, ini menjadi salah satu hal yang juga menjadi perhatian utama DPR dalam rancangan RUU KKS. Sebagaimana tertera pada pasal 66 ayat 1:
Pembangunan dan/atau penguatan perangkat dan infrastruktur Keamanan dan Ketahanan Siber sebagaimana dimaksud dalam Pasal 65 ayat (2) huruf b wajib memenuhi ketentuan 50% (lima puluh persen) tingkat komponen dalam negeri.
Bunyi pasal ini mungkin terdengar masuk akal sebagai sebuah cita-cita, namun tidak dalam praktiknya. Seandainya saja DPR mau membaca data belanja ICT nasional tidak sulit untuk mengetahui bahwa mewajibkan pembangunan keamanan Siber untuk menggunakan minimal 50% komponen dalam negeri setara meminta Bandung Bondowoso membangun 1000 candi dalam semalam. Bedanya, para pemangku kepentingan siber nasional, tidak memiliki jin untuk mewujudkannya.
Menurut United Nations International Trade, impor barang untuk komoditas mesin dan peralatan elektronik Indonesia pada 2018 sebesar 21,45 miliar dolar Amerika Serikat. Setali tiga uang dengan data tersebut, Direktur Jenderal Sumber Daya dan Perangkat Pos dan Informatika (Dirjen SDPPI) mengatakan perangkat keras untuk lingkungan ICT di Indonesia 90 persen diperoleh dari impor.
Bertahan dengan menggunakan perangkat keras ICT impor memang tidak ideal, namun meminta para pemangku kepentingan Siber beralih pada produk lokal adalah tidak masuk akal. Tanpa adanya industri lokal yang mampu memenuhi kebutuhan perangkat keras untuk pembangunan keamanan siber sama saja dengan melucuti 50% (mengacu pasal 66 ayat 1) kemampuan pemangku kepentingan siber untuk melindungi diri dari serangan siber.
Jika pasal 66 ayat 1 bisa kita maknai produk regulasi yang inkompeten, maka Pasal 11 ayat 2 poin 1 adalah horor. Pasal tersebut mendefinisikan ancaman siber sebagai:
Terdiri atas:e. produk, prototipe produk, rancangan produk,atau invensi yang dapat digunakan sebagai senjata Siber;
Membaca definisi ini kami pun bergidik. Secara logika, semua perangkat elektronik (seperti laptop, ponsel, dsb) yang terhubung ke internet dapat digunakan sebagai senjata siber. Apakah ini berarti semua alat elektronik yang terhubung ke internet dapat dianggap sebagai ancaman siber? Perlu dipahami pasal 11 bicara dalam konteks keamanan siber. Jika kita hubungkan pasal ini dengan pasal-pasal lain terkait dengan ancaman keamanan siber yang memberikan kewenangan bagi BSSN (Badan Siber dan Sandi Negara) untuk melakukan sensor, penapisan, bahkan pengawasan pada perangkat yang dapat digunakan sebagai senjata siber, apa ini tidak berarti BSSN akan mengawasi semua perangkat elektronik?
Di titik inilah kami merenung: bagaimana caranya mengawasi semua perangkat keras kecuali dengan melanggar hukum? Bukankah privasi warga adalah juga hal yang dilindungi oleh UU 39 pasal 32 tahun 1999 tentang Hak Asasi Manusia? Apa ini tidak berarti DPR tengah membuat produk hukum yang melanggar hukum?
NKRB, Negara Kesatuan Republik BSSN
Jika anda membaca rancangan RUU KKS, maka akan terasa sekali adanya negara dalam negara. Seolah terpisah dengan bidang kehidupan politik lain di NKRI yang menganut sistem demokrasi, kebijakan keamanan siber dalam RUU KKS lebih cocok dibuat untuk Korea Utara ketimbang Indonesia. Apa pasal? hanya ada satu badan yang diamanati RUU ini untuk menjalankan tiga fungsi sekaligus: eksekutif, yudikatif, dan legislatif.
Kalau kita cermati rancangan UU ini dari pasal 42 hingga hingga 53 (12 pasal rangkuman dari total 77 pasal), BSSN diberi kewenangan mulai dari menyusun daftar infrastruktur siber nasional (pasal 10), melakukan diplomasi (pasal 36, 37, dan 43), mengkurasi konten dan aplikasi (pasal 38 dan 39), memberikan izin penelitian (pasal 47, 48, dan 72), memberikan akreditasi (pasal 20, 21, 25, 44, dan 53), hingga penindakan hukum (pasal 39) dan pemberian sanksi (pasal 22-27 dan 44). Apa yang kami tulis di sini baru beberapa dari puluhan wewenang lembaga pemerintah tersebut dalam RUU ini. Lembaga mana di NKRI yang punya fungsi dan wewenang semacam ini? Jawabannya tidak ada. Mungkin karena mereka yang menjadi otak dari RUU ini tidak merancangnya untuk NKRI melainkan untuk NKRB (Negara Kesatuan Republik BSSN).
Penyatuan seluruh fungsi keamanan dan ketahanan siber pada satu lembaga pemerintah jauh dari prinsip interoperability internet governance yang mensyaratkan pendekatan beragam pemangku kepentingan dalam membuat peraturan atau kebijakan. Mengingat ada banyak bidang yang terkait dengan internet, pengaturannya membutuhkan pendekatan multi perspektif mulai dari teknologi informasi, pertahanan, ekonomi, hukum, hingga sosial dan budaya. Pemusatan pengaturan internet hanya pada satu badan berpotensi meminimalisir kemampuan kita untuk mengakumulasi pengetahuan dan skill yang dibutuhkan untuk mengelola keamanan siber secara maksimal.
Sebagai ilustrasi, untuk mengembangkan teknologi keamanan siber kita butuh inovasi teknologi secara terus menerus. Inovasi hanya akan tumbuh dalam ekosistem regulasi yang membuka peluang bagi penelitian dan pengembangan produk maupun prototipe. Namun, dengan munculnya pasal-pasal yang mewajibkan adanya izin penelitian, sertifikasi, dan akreditasi yang semuanya dikontrol oleh BSSN alih-alih mendukung inovasi ia bisa berdampak sebaliknya.
Prinsip mengakomodir beragam pemangku kepentingan sesungguhnya merupakan cetak dasar lahirnya BSSN pada 2017. BSSN bertugas untuk mengkoordinasikan fungsi keamanan dan ketahanan siber yang perannya dijalankan oleh lembaga negara seperti TNI, BIN, Kepolisian, sektor swasta (ISP, Data Center, perusahaan antivirus, dsb), dan kelompok masyarakat sipil.
Dengan menjadikan BSSN sebagai lembaga super body dalam RUU KKS, DPR justru mengkhianati visi awal pendirian BSSN itu sendiri. Lebih jauh, langkah ini membahayakan demokrasi yang susah payah kita bangun sejak 1998. Apakah setelah 22 tahun reformasi kita masih juga belum memahami petuah Lord Acton, “Power tends to corrupt, and absolute power corrupts absolutely”?