Kebijakan Keamanan Siber Seiring Normal Baru COVID-19

Setiap harinya, kejahatan siber ini tercatat mencapai 3,5 juta kasus. Kejahatan siber ini memanfaatkan peluang keuntungan di tengah kebingungan, kepanikan dan keprihatinan global atas pandemi COVID-19.

Menurut survei Check Point Software & Dimensional Research (2020), 71% profesional TI dan keamanan global melaporkan peningkatan ancaman keamanan sejak awal pandemi. Hanya lebih dari setengah (55%) yang menyebut upaya phishing sebagai ancaman utama, diikuti oleh situs web jahat yang mengklaim menawarkan informasi atau saran tentang COVID-19 (32%) dan peningkatan malware dan ransomware (masing-masing 28% dan 19%).

Seiring dengan kebijakan Pemerintah tentang era normal baru (new normal), masyarakat semakin bergantung pada sistem informasi dan komunikasi digital. Pemerintah melalui BSSN bekerja sama dengan tim cyber Mabes Polri dan Kementerian Komunikasi harus memantau dan menyusun kebijakan ketat agar kejahatan siber tidak terus meningkat.

Regulasi kejahatan siber

Dari aspek hukum, tindak pidana siber diatur dalam Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (UU ITE) sebagaimana yang telah diubah oleh Undang-Undang Nomor 19 Tahun 2016 yang mengatur tentang tindak pidana yang berhubungan dengan aktivitas illegal. Pertama, distribusi atau penyebaran, transmisi, dapat diaksesnya konten illegal, yang terdiri dari:

• Kesusilaan (Pasal 27 ayat (1) UU ITE);
• Perjudian (Pasal 27 ayat (2) UU ITE);
• penghinaan dan/atau pencemaran nama baik (Pasal 27 ayat (3) UU ITE);
• pemerasan dan/atau pengancaman (Pasal 27 ayat (4) UU ITE);
• berita bohong yang menyesatkan dan merugikan konsumen (Pasal 28 ayat (1) UU ITE);
• menimbulkan rasa kebencian berdasarkan SARA (Pasal 28 ayat (2) UU ITE);
• mengirimkan informasi yang berisi ancaman kekerasan atau menakut-nakuti yang ditujukan secara pribadi (Pasal 29 UU ITE);

Kedua, dengan cara apapun melakukan akses illegal (Pasal 30 UU ITE). Ketiga, intersepsi atau penyadapan illegal terhadap informasi atau dokumen elektronik dan Sistem Elektronik (Pasal 31 UU 19/2016). Keempat, tidak pidana yang berhubungan dengan gangguan (interferensi), yaitu:

1. 1. Gangguan terhadap Informasi atau Dokumen Elektronik (data interference – Pasal 32 UU ITE);
   2. Gangguan terhadap Sistem Elektronik (system interference –Pasal 33 UU ITE);
   3. Tindak pidana memfasilitasi perbuatan yang dilarang (Pasal 34 UU ITE);
   4. Tindak pidana pemalsuan informasi atau dokumen elektronik (Pasal 35 UU ITE);
   5. Tindak pidana tambahan (accessoir Pasal 36 UU ITE); dan
   6. Perberatan-perberatan terhadap ancaman pidana (Pasal 52 UU ITE).

Tindak pidana yang berhubungan dengan gangguan (interferensi), yaitu:

1. Gangguan terhadap Informasi atau Dokumen Elektronik (data interference – Pasal 32 UU ITE);
2. Gangguan terhadap Sistem Elektronik (system interference –Pasal 33 UU ITE);
3. indak pidana memfasilitasi perbuatan yang dilarang (Pasal 34 UU ITE);
4. Tindak pidana pemalsuan informasi atau dokumen elektronik (Pasal 35 UU ITE);
5. Tindak pidana tambahan (accessoir Pasal 36 UU ITE); dan
6. Perberatan-perberatan terhadap ancaman pidana (Pasal 52 UU ITE).

Langkah pengamanan

Dalam landasan hukum tersebut telah diatur oleh Pemerintah apabila terjadi kejahatan siber terus meningkat di masa normal baru saat ini, Hal-hal yang bisa dilakukan untuk keamanan data maupun saat berselancar daring antara lain menurut (BSA The Software Alliance, 2020):

1. Mengadakan pelatihan dan membuat catatan bagi pengguna teknologi seperti karyawan atau pegawai kantor dalam menggunakan perangkat lunak secara aman, terutama untuk prosedur-prosedur  baru sehubungan dengan bekerja dari rumah perlu dilakukan upgrade skill penggunaan system, aplikasi atau pengetahuan teknologi terbaru, tak lupa membuat catatan keamanan agar jika terjadi sesuatu atau error dapat segera teratasi sehingga kebocoran data dapat diminimalisir.

2. Memasang perangkat lunak berkaliber besar (premium). Pastikan bahwa perangkat lunak yang digunakan adalah produk asli, terbaharui, dan selalu aktif. Perangkat lunak tersebut harus memungkinkan penghapusan data sensitif dari jauh apabila suatu saat terdapat gawai yang hilang atau dicuri. Walaupun malware masih dapat terunduh dengan perangkat lunak seperti itu, namun selama ancaman masih dikenali, malware akan tetap dapat terdeteksi dan dikarantina segera.

3. Melakukan semua komunikasi terkait kepentingan yang sangat penting. Hanya melalui satu platform yang secara khusus dirancang untuk keamanan berbisnis. Misalnya: melarang semua percakapan terkait perusahaan menggunakan platform konsumen, terutama yang diketahui memiliki celah keamanan dan tidak memiliki enkripsi ujung-ke-ujung (end-to-end).

4. Batasi izin dari administrator. Menghindari pemasangan perangkat lunak yang tidak disetujui, jadi ada otorisasi untuk setiap aktivitas sehingga tidak semua dapat melakukannya.

5. Melakukan audit teknologi untuk memastikan bahwa semua perangkat lunak yang digunakan terlisensi, didapatkan secara resmi, dan terbaharui. Perangkat lunak yang tidak terlisensi tidak terbaharui secara otomatis, seingga sering kali ada celah keamanan yang telah diperbaiki di versi terbaru. Selain itu, perangkat lunak bajakan kadang mengandung malware atau dirancang tanpa dilengkapi  dengan pengamanan esensial.

6. Untuk komunikasi terkait urusan perusahaan, gunakan hanya perangkat lunak yang memiliki enskripsi end to end. Hal ini memastikan bahwa komunikasi Anda hanya dapat terjadi antara Anda dan orang yang dituju, dan pesan-pesan tersebut tidak tersimpan dalam bentuk yang dapat dibaca pada  serverluar.

7. Membeli VPN berkaliber jika dalam lingkup perusahaan untuk digunakan khusus bagi semua karyawan yang bekerja jarak jauh dan mereka harus mengaktifkannya sebelum terhubung dengan jaringan perusahaan.

8. Simpan cadangan semua data perusahaan secara teratur deserver yang aman dan terenskripsi.
9. Gunakan otorisasi ganda untuk memastikan bahwa karyawan betul-betul terverifikasi, bukan peretas atau pencuri.

10. Manfaatkan penyimpanan cloud computer. Hal ini untuk dokumen perusahaan, sehingga karyawan tidak perlu mengunduh lampiran surat elektronik.

11. Lindungi konferensi video dengan kata sandi “Bombing“. pada pertemuan publik telah marak terjadi di ranah internet. Sebaiknya, ruang yang Anda gunakan seharusnya hanya menerima pihak-pihak yang diundang, tapi jika Anda tidak yakin, ada cara lain untuk melindunginya.

12. Bentuk tim respons insiden. Siapkan rencana untuk menghadapi krisis potensial seperti serangan berbahaya dan kebocoran data. Mintalah tim berlatih dan menguji rencana respons insiden tersebut dengan melakukan simulasi atau latihan. Menurut IBM, cara ini adalah faktor mitigasi pertama dan ketiga yang dapat mengurangi biaya ketika terjadi pelanggaran keamanan, dengan penghematan rata-rata $680.000.