Survei Persepsi Pelaku Usaha dalam Rangka Penyusunan Skema Penilaian Kesesuaian Keamanan Perangkat Teknologi Informasi
Pada tanggal 23 Juli 2024, CITCOM, komunitas para pengusaha IT, mengadakan kunjungan kerja dari Badan Siber dan Sandi Negara (BSSN) di kantor PT. WGS (Walden Global Services). Acara berlangsung dari pukul 13:30 hingga 15:00. Tujuan kunjungan ini adalah untuk melakukan survei persepsi pelaku usaha dalam rangka penyusunan skema penilaian kesesuaian keamanan perangkat teknologi informasi. Berikut adalah ringkasan presentasi dan tanggapan dari para anggota CITCOM.
Presentasi BSSN
- Regulasi Terkait Penilaian Kesesuaian Keamanan:
UU Nomor 20 Tahun 2014: Mendefinisikan sertifikasi sebagai penilaian kesesuaian untuk memastikan barang, jasa, sistem, proses, atau personal memenuhi standar yang ditetapkan.
UU 1 Tahun 2024: Mengharuskan setiap penyelenggara sistem elektronik melindungi keutuhan, keotentikan, kerahasiaan, dan keteraksesan informasi elektronik.
PP 34 Tahun 2018: Menetapkan bahwa pemberlakuan Standar Nasional Indonesia (SNI) dilakukan oleh menteri atau kepala lembaga pemerintah nonkementerian, dan penilaian kesesuaian dilakukan untuk menilai barang, jasa, sistem, proses, atau personal berdasarkan persyaratan acuan.
PP 71 Tahun 2019: Mewajibkan perangkat keras yang digunakan oleh penyelenggara sistem elektronik memenuhi aspek keamanan dan interoperabilitas, yang dibuktikan melalui sertifikasi.
Perpres 95 Tahun 2018 dan Perpres 82 Tahun 2022: Menekankan pentingnya standar teknis dan prosedur keamanan serta penerapan standar keamanan informasi dalam sistem pemerintahan berbasis elektronik dan perlindungan infrastruktur informasi vital.
Peraturan BSSN 8 Tahun 2023: Memastikan keamanan perangkat teknologi pelindung dengan tanda sertifikasi.
Peraturan BSSN No. 6 Tahun 2021: Mengatur kebijakan teknologi keamanan siber dan sandi, termasuk penilaian kesesuaian, pengawasan, dan pengendalian.
- Tujuan Penilaian Kesesuaian:
Penilaian kesesuaian keamanan perangkat teknologi informasi bertujuan untuk memberikan kepercayaan dan jaminan kepada pengguna bahwa perangkat atau sistem yang digunakan aman. Sertifikat kesesuaian merupakan tanda atau surat keterangan yang menunjukkan bahwa perangkat telah diuji dan memenuhi standar keamanan yang ditetapkan.
Manfaatnya antara lain:
- Meningkatkan daya saing produk di pasar.
- Membantu mengidentifikasi dan mengurangi risiko keamanan siber.
- Memastikan kepatuhan terhadap regulasi dan standar industri.
- Meningkatkan kepercayaan pengguna dan memitigasi risiko. - Pengumpulan Informasi dan Tanggapan Perusahaan:
Penilaian ini bertujuan untuk mendapatkan informasi tentang jumlah perusahaan yang bergerak di bidang teknologi informasi, jenis produk, dan kemampuan mereka dalam memproduksi produk TI. Tujuannya adalah memahami karakteristik produk TI yang dihasilkan, mengetahui sebaran kemampuan perusahaan dalam menghasilkan produk TI, serta memahami tahapan proses produksi untuk menentukan tahapan kritis dalam produksi produk TI. Penilaian ini juga penting untuk mendapatkan tanggapan perusahaan mengenai proses penilaian kesesuaian.
Tanggapan dari Anggota CITCOM
Robi Alamsyah, CMO dari PT. EFlow:
BSSN telah menginisiasi regulasi dan sertifikasi untuk pelaku usaha penyedia sistem informasi khususnya dalam pengelolaan pengamanan data. Tujuannya adalah menciptakan standarisasi dan peningkatan kinerja produk dan layanan sistem informasi sehingga dapat bersaing di pasar lokal maupun global. Hal ini diharapkan berdampak positif bagi organisasi dan dunia usaha.
Namun, tantangan yang dihadapi adalah keterbatasan sumber daya manusia, anggaran, mahalnya teknologi keamanan, serta kurangnya kesadaran umum terkait kebutuhan keamanan data. Selain itu, tumbuhnya berbagai regulasi semakin mempersulit implementasi dan memperpanjang birokrasi. Oleh karena itu, perlu adanya mekanisme dan layanan yang jelas terkait proses pengurusan sertifikasi dan sosialisasi bahwa sertifikasi adalah faktor penilaian serta jaminan terhadap kualifikasi produk.
Eka Sutresna, CEO dari PT. Bounga Solusi Informatika:
Pihak yang harus melakukan sertifikasi adalah klien dari perusahaan IT, karena produk IT yang dipesan adalah milik mereka. Jadi, sudah seharusnya sertifikasi ini dimintakan kepada mereka, bukan kepada vendor.
Umar Alhabsyi, CEO dari PT. Millenia Solusi Informatika:
BSSN perlu mengevaluasi tujuan dari perumusan standar dan rencana sertifikasi keamanan produk TI ini. Jika tujuannya untuk mengangkat produk dalam negeri ke kancah global, maka yang perlu dilakukan adalah membina dan mengarahkan produk IT dalam negeri untuk mengikuti standar yang diakui secara global, seperti Common Criteria (CCRA). BSSN sendiri perlu meningkatkan kapabilitasnya agar tidak menjadi penghalang produk dalam negeri untuk digunakan di negeri sendiri. Selain itu, tata kelola TI di Indonesia perlu diperbaiki, termasuk struktur dan mekanisme relasional antar entitas/lembaga.
Irfan Arsandi, CEO PT. WIT:
Permasalahan keamanan siber dan sandi adalah permasalahan yang cukup rumit dan pelik di Indonesia. Langkah tepat adalah mengedukasi warga dan pebisnisnya tentang pentingnya keamanan siber. Community dan bisnis adalah pemeran pendukung, sehingga setiap lapisan masyarakat dan pebisnis harus diberi edukasi tentang penggunaan teknologi yang aman. Dukungan ABCGM (Academic, Business, Community, Government, Media) sangat penting dalam mencapai pemahaman digital yang aman.
Harun Kurnia, PT. Garuda Infinity:
Perlu kejelasan mengenai output dari rencana sertifikasi ini. Apakah nantinya hanya berupa standar acuan saja, atau juga dibarengi dengan aturan untuk mematuhi dengan dasar hukum berupa perpu/perpres/permen/UU?
Kesimpulan
Kunjungan kerja BSSN ke CITCOM diharapkan dapat memberikan pandangan yang lebih komprehensif tentang regulasi dan penilaian kesesuaian keamanan perangkat teknologi informasi di Indonesia. Tanggapan dari para anggota CITCOM menunjukkan bahwa ada kebutuhan mendesak untuk peningkatan kapabilitas, edukasi, dan koordinasi yang lebih baik antara berbagai entitas yang terlibat dalam tata kelola TI di Indonesia.