CYBER SECURITY MANAGEMENT

ARTIKEL WEBINAR OF SGA

diupload oleh Prakarsa Jaringan Cerdas Indonesia

Tata Kelola Keamanan Informasi Hukum Internasional

Cyber security merupakan pengamanan jaringan informasi di internet. Belum ada satu hukum khusus yang berlaku secara internasional terkait cyber security.Hukum-hukum yang ada masih berlaku regional di negara tertentu. Adapun hukum siber yang sudah berlaku secara regional di negara lain yaitu

FISMA, Federal Information Security Management Act, berlaku di negara Amerika.
HIPAA, Health Insurance Portability and Accountability Act, berlaku di industri kesehatan negara Amerika.
HITECH, Health Information Technology for Economicand Clinical Health, berlakupada klinik kesehatan Amerika.
CLOUD, Clarifying Lawful Overseas Use of Data,Extra Jurisdiksi, Pemerintah Amerika dapat mengambil data yang dimilikiperusahaan Amerika yang tersimpan di servernegara lain.
EU Data Protection Directive sebagai konsesus bersama negara-negara di Europa.
GDPR, Global Data Protection Regulation untuk negara-negara di Europa

Akan tetapi,sebenarnya ada beberapa isu sudah dibahas di dalam Internet governance forum yakni tata kelola terkait pengaturan internet yang menjadi konsensus bersama untuk membuat aturan terkait internet, misalnya pengaturan IP addressing, pengelolaan nama domain,dsbnya. Adapun isu international cyberlaw tersebut antara lain:

International Law on Cyber Operation masih berupa konsesus bersama.
Sovereignty in Cyber Space berkaitan dengan kedaulatan di dunia cyber. Isu ini masih sulit diperjuangkan karena batasan siber sendiri tidak jelas.
Due Diligences berkaitan dengan perusahaan agar beroperasi dengan baik sesuai dengan kaidah.
Intervention
Jurisdiction membahas tentang hukum internasional yang hanya terbatas pada wilayah tertentu.
State Responsibility berkaitan dengan tanggung jawab negara untuk mewujudkan hukum internasional karena tidak semua negara mau bertanggung jawab (menyangkal).
Countermeasures and Plea of Necessity membahas tentang tindakan negara ketika ada serangan siber dari negara lain.
Use of Force and Self Defense membahas tentang upaya pembelaan diri suatu negara saat diserang. Human Right berkaitan tentang privasi.
Cyber Operation Domains
Diplomatic and Consular Law merupakan proses untuk mendamaikan antar negara yang bermasalah, baikbilateral atau multilateral.
International Humanitarian Law

Dua aliran dalam cyber Jurisdiction

Ketika membahas hukum siber, maka ada dua pendapat yang dominan berkaitan iniyaitu:

Unregulated berpendapat bahwa internet adalah tanpa batas baik dari sisi moral,hukum, teritorial, yurisdiksi, tindakan, dan sebagainya. Pendapat ini menolak segala hal campur tangan pemerintah dan terus mengupayakan terlepasnya dunia fisik yang punya keterbatasan dengan dunia maya.Jargon yang muncul adalah Anonimitas Freedom of Expression, Net Neutrality, Free Flow Information on the Internet. Beberapa produk standar hukum yang telah dihasilkan adalah UDRP dan dikembangkan standar baru MMOJ.
Regulated menyatakan bahwa pengguna internet masih terikat secara fisik dalam suatu keterbatasan yurisdiksi dan bertanggung jawab penuh akan tindakannya. Kontrol pemerintah sangat maksimal untuk mengatur mana yang boleh diakses dan mana yang tidak boleh diakses oleh penduduknya.

Uni Eropa mencoba berada di tengahnya dengan memilih aliran Right to be Forgotten. Dalam aliran ini pemerintah masih memiliki kewenangan untuk menolak hal yang diposting jika tidak sesuai dengan negaranya. Sedangkan Indonesia melalui kampanye Cyber Ethics dengan kebebasan yang bertanggung jawab. Hal ini masih menjadi perjalanan panjang karena bergantung pada tingkat maturitydan wawasan penggunaan internet.

Cyber Jurisdiction

Yurisdiksi (jurisdiction) adalah wilayah hukum berlakunya undang-undang suatu negara. Yurisdiksi melahirkan tanggungjawab (responsibility) dan kewajiban (liability) yang keduanya berhubungan dengan penegakan hukum internasional dan konsekuensi pelanggarannya. Dengan demikian, tindakan kriminal siber di suatu negara tidak serta merta menjadikan negara lain dapat menjatuhi hukumanterhadap negara tersebut.

Yurisdiksi silang (cross jurisdiction) dipakai untuk menjelaskan terjadinya hubungan antara dua atau lebih entitas yang berbeda yurisdiksi untuk hal tertentu. Istilah cross jurisdiction ini dapat digunakan untuk menjelaskan kerjasama antara beberapa pihak yang berbeda yurisdiksi dalam dua sisi, satu sisi adalah kerjasama untuk melakukan kejahatan di dunia cyber sedangkan di sisi lainadalah kerjasama dalam rangka penegakan hukum akan kejahatan tersebut.

Tata aturan Perundangan Sistem hukum tentang keamanan informasi di Indonesia antara lain: UU Informasi dan Transaksi Elektronik(UUITE) UU Keterbukaan Informasi Publik UU Telekomunikasi RUU Perlindungan Data Pribadi(menujupengesahan) RUUKeamanan dan Ketahanan Siber(prosesredrafting) Secara umum UUITE mengatur hal-hal berikut. -Sub sistem Informasi,Dokumen,TandaTangan Elektronik Informasi Elektronik adalah satu atau sekumpulan data elektronik, termasuktetapi tidak terbataspadatulisan, suara, gambar, peta, rancangan,foto, electronic data interchange (EDI), surat elektronik(electronic mail), telegram, teleks, telecopy atau sejenisnya, huruf, tanda,angka, Kode Akses,simbol, atau perforasi yang telah diolah yang memiliki arti atau dapat dipahami oleh orang yang mampu memahaminya. Dokumen Elektronik adalah setiap Informasi Elektronik yang dibuat,diteruskan, dikirimkan, diterima, atau disimpan dalam bentuk analog, digital, elektromagnetik, optikal atau sejenisnya, yang dapat dilihat, ditampilkan, dan/ atau didengarmelalui komputer atau sistem elektronik termasuk tetapi tidakterbatas pada tulisan,suara, gambar, peta, rancangan, foto atau sejenisnya, huruf, tanda, angka, Kode Akses, simbol, atau perforasi yang memiliki makna atau arti atau dapat dipahami oleh orang yang mampu memahaminya. Tanda Tangan Elektronik adalah tanda tangan yang terdiri atas Informasi Elektronik yang dilekatkan, terasosiasi atau terkait dengan Informasi Elektronik lainnya yang digunakan sebagai alat verifikasi dan autentikasi. - Sub sistem Sertifikasi Elektronik - Sub sistem Sistem Elektronik Sistem Elektronik adalah serangkaian perangkat dan prosedur elektronik yang berfungsi mempersiapkan, mengumpulkan, mengolah,menganalisis, menyimpan, menampilkan, mengumumkan, mengiirimkan, dan/atau menyebarkan Informasi Elektronik. - Sub sistem Transaksi Elektronik Transaksi Elektronik adalah perbuatan hukum yang dilakukan dengan menggunakan komputer, jaringan Komputer,dan/atau media elektronik lainnya. Sub sistemNama Domain Sub sistem HAKI Sub sistem Perlindungan Data PribadiSub sistem Kejahatan ITE UU ITE masih menjadi polemik karena dapat menjadi ‘pasal karet’, sehingga diperlukan proses pengkajian ulang. Adapun pasal yang mengatur keamanan sistem elektronik di dalam UU ITE yaitu 1. Pengamanan Sistem Elektronik (Pasal 15) 2. Tanda Tangan Elektronik (Pasal 11) 3. Sertifikasi Elektronik (Pasal13) 4. Barang Bukti Elektronik (Pasal 5) untuk mengamankan barang buktikasus kejahatan. 5. Data strategis (Pasal 40) untuk mengamankan data strategis suatu negara seperti energi dan sumber daya alam. Adapun terkait hukum pidana sistem keamanan internet juga diatur dalam undang-undang berikut. 1. Hacking/unauthorized access (pasal 30) 2. Penyadapan (pasal 31) 3. Electronic theft(pasal 32) 4. DDoS, Malware Infection (pasal 33) 5. Kepemilikan cybercrime tools (pasal 34)

Sertifikat Elektronik adalah sertifikat yang bersifat elektronik yang memuat Tanda Tangan Elektronik danidentitas yang menunjukkan status subjek hukum para pihak dalam TransaksiElektronik yang dikeluarkan oleh Penyelenggara Sertifikasi Elektronik.

6. Information manipulation, Phishing, Identity theft

(pasal 35)

Masyarakat membutuhkan perlindungan ini dan negara memiliki kewajiban untuk mengamankan negara dan masyarakat di dalamnya. Selain undang- undang, terdapat juga Peraturan Pemerintah tentang Pelaksanaan Sistem Transaksi Elektronik (PP PSTE) yaitu

- Informasi

Keamanan dan Keandalan Sistem Elektronik (Pasal 3, 11)

. Keamanan Perangkat Keras(Pasal 7) KeamananPerangkat Lunak (Pasal8) Manajemen Risiko(Pasal 12)

Audit (Pasal13)

- Perlindungan Data Pribadi(Pasal 14 17)

- PSE Publik danPrivat (Pasal 2, 20 21,41)

- Sertifikat Elektronik (Pasal42, 52 58)

- Tanda Tangan Elektronik (Pasal 59 64)

- Data Strategis (Pasal90, 91, 99)

Selain itu, terdapat peraturan menteri terkait Sub sistem Hukum KeamananInformai, meskipun peraturan ini masih belum kuat karena tidak bisa menerbitkan sanksi bagi pelanggarnya dan lingkup wewenangnya terbatas. Permen tersebut antaralain:

Permenkominfo Nomor 4 tahun 2016 tentangSistem Manajemen Pengamanan InformasiPermen SMPI ini mewajibkan penggunaan SNI ISO/IEC 27001 untuk Penyelenggara Sistem Elektronik yang menyelenggarakan Sistem Elektronik strategis selain ketentuan pengamanan lain yang ditetapkan oleh Instansi Pengawasdan Pengatur Sektornya.

Permenkominfo Nomor 11 Tahun 2018 tentang Penyelenggaraan Sertifikasi Elektronik

Permen PSE ini mengatur tata cara pengakuan dan pengawasan Penyelenggara Sertifikasi Elektronik, tata cara kepemilikan Sertifikasi Elektronik, serta pengoperasian Penyelenggara Sertifikasi Elektronik Induk.

Permenkominfo Nomor 5 tahun 2020 tentangPSE Lingkup Privat

Permen ini menetapkan batasan istilah, pendaftaran PSE lingkup privat, tata kelola dan moderasi informasi elektronik dan/atau dokumen elektronik, kewajiban PSE Lingkup Privat dalam melakukan PemutusanAkses (take down) terhadap InformasiElektronik dan/atau Dokumen elektronik yang dilarang. PSE Lingkup Privat wajib memberikan akses terhadap sistem elektronik dan/ataudata elektronik untuk kepentingan pengawasan dan penegakan hukum pidana.

Permenkominfo Nomor 20 tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik

Permen ini mengatur Perlindungan Data Pribadi dalam Sistem Elektronik dilakukan pada proses: perolehan dan pengumpulan; pengolahan dan penganalisisan; penyimpanan; penampilan, pengumuman, pengiriman, penyebarluasan, atau pembukaan akses; dan pemusnahan.

Peraturan Badan Siber dan Sandi Negara Nomor

10 Tahun 2020 tentang Tim Tanggap Insiden Siber

Peraturan Badan Siber dan Sandi Negara Nomor 8 Tahun2020 tentang SistemPengamanan dalam Penyelenggaraan Sistem Elektronik

Peraturan Badan Siber dan Sandi Negara Nomor 10 Tahun 2019 tentang Pelaksanaan Persandian Untuk Pengamanan Informasi di Pemerintah Daerah.

Standar Hukum

Sistem pengamanan siber mengacu pada beberapa standar hukum yang sudah adaseperti:

Keluarga ISO/IEC27000

Salah satu anggota keluarga ISO 27000 yang berperan cukup krusial dalam pengaman siber adalah klausul standard ISO Standard ISO 27001:2013 atau dikenal dengan aksi Plan-Do- Check-Act (PDCA). Klausul ini merupakan suatu siklus sehingga jika gagal menerapkannya, maka izin suatu organisasi bisa disuspend/dicabut. Dengan adanya sertifikasi maka proses PDCA akan tetapberkelanjutan.

Klausul Standard ISO 27001:2013

Annex A standard ISO Standard ISO 27001:2013

Keluarga ISO lainnya yang berhubungan dengan keamanan informasi

PCI DSS, Payment Card Industry - Data Security Standard

NIST SP 800

-National Institute of Standards and Technology, Special Publication 800 series for cybersecurity activities

- 800 30:Risk Assessment

- 800 34: Continuous Planning

- 800 37: Risk Management Framework

- 800 39: RiskManagement Information Security

- 800 53: Security Control

- 800 27: SecurityEngineering

- 800 55: Performance Metrix

- 800 40: Patch Management Standard Kompetensi SDM Standard lainnya

Keamanan Informasi

Secara umum konsep utama dalam mengamankan informasi mengacu pada konsepyang dikenal dengan sebutan CIA Triad.CIA Triad terdiriatas hirarki:

Confidentiality/Kerahasiaan Informasi tidak diketahui oleh pihak yang tidak berwenang.
Integrity/Integritas Informasi terjagaakurasi dan kelengkapannya
Availability/Ketersediaan: Informasi dapat digunakan pada saat dibutuhkan.

CIA Triad

Dalam proses mengamankan informasi terdapat proses yang harus dipahami agar bisa mengamankan informasi dari proses pembuatan informasi tersebut hingga pemusnahannya yang berarti informasi harus diamankan di setiap titik prosesnya.

Siklus Hidup Informasi

Standard forensik digital

Standar yangmengatur forensik digital yaitu

SNI ISO/IEC27037:2014 mengenai Pedoman Identifikasi, Pengumpulan, Akuisisi,dan Preservasi BuktiDigital.
ISO/IEC 17025:2017 mengenai standar pembuatan laboratorium yang seringdipakai juga untukmempersiapkan lab forensik digital.
ISO/IEC 27041:2015 menawarkan panduan tentang aspek jaminan forensik digital, misalnya memastikan bahwa metode dan alat yang tepat digunakan dengan benar.
ISO/IEC 27042:2015 mencakup apa yang terjadi setelah bukti digital dikumpulkan , yaitu analisis dan interpretasinya.
SNI ISO/IEC27043:2016 mencakup kegiatan penyelidikan insiden yang lebih luas,di mana forensik biasanya terjadi.
ISO/IEC 27050 (ada 4 bagian)menyangkut penemuan elektronik yang cukup banyak dari apa yangdicakup oleh standar lain.
ISO/IEC 30121:2015 menyediakan kerangka kerja untuk manajemen mengenai cara terbaik untuk mempersiapkan organisasi dalam investigasi digitalsebelum kejadian
British Standar dBS 10008: 2008 mengenai metode dan spesifikasi pembobotan bukti yang jelas dan penerimaan informasi elektronik yang sah.

Sistem Nasional Sertifikasi Profesi

Sistem Nasional Sertifikasi Profesi merupakan tatanan sertifikasi profesi yang mencakup keterkaitan komponen-komponen sertifikasi profesinasional yang komprehensif dan sinergi. Profesi terkait siber ini terdapat pada sebelum-selama-sesudah serangan terjadi. Dasar hukumdan standar yang mengatur UU no 13/2003 tentang Ketenagakerjaan PP 10/2018 tentangBNSP

Perpres No. 31 Tahun 2006 tentang Sistem Pelatihan kerja Nasional
Perpres No. 8 Tahun 2012 tentang Kerangka Kualifikasi Nasional Indonesia
Peraturan Menteri Tenaga Kerja Nomor 2 Tahun 2016 tentang Sistem Standarisasi Kompetensi Nasional Indonesia
RMCS (Regional Model Competency Standard) 2016,
AQRF (ASEAN Qualification Reference Framework),
SNIISO/IEC17024:2012Penilaian kesesuaian persyaratan umum lembaga yang melakukan

Sistem Nasional Sertifikasi Nasional

Peta Okupasi Nasionaluntuk profesi pada area keamanan Siber

Peta Okupasi Nasionaluntuk profesi pada area keamanan Siber Standard keamanansmart grid Smart grid juga memiliki standard yang mengatur keamanan informasi di dalamnya. Adapun standard yang sudah berlaku adalahsebagai berikut.

North AmericanElectric Reliability Corporation (“NERC”) Critical Infrastructure Protection (“CIP”)

- NERC CIP Version 5 for Bulk Energy System(BES)

- Security Guidelines for the Electricity Sector: Vulnerability andRisk Assessment

NISTIR 7628 Guidelines for Smart Grid Cyber Security
ANSI/IEC/ISA 62443 adalah standar,tlaporan teknis, dan informasi berkaiitan dengan Industrial Automation and Control Systems(IACS)
IEC TS 62933-5-1 sistem keamanan untuk sistem penyimpanan energi listrik..
IEC 62351 Security Standards for Protocol TC57 Information Exchange
NIST SP 800-82r2 Guideto ICS Security
Device Language Message Specifications (DLMS) /CompanionSpecifictionforEnergyMetering(COSEM)SecuritySuite

Framework dan Best Practice

Penerapan tata kelola yang menyeluruh dapat dipermudah dengan mengadopsi Governance Framework yang sudahteruji seperti COBITdan ITIL. BerikutGovernance Framework yangsudah ada.

·COBIT, kerangkakerja tata kelola dan manajemen IT