Jokowi Terbitkan Perpres, Berikut Ketentuan jika Ada Data Bocor
Presiden Jokowi atau Joko Widodo menerbitkan Peraturan Presiden alias Perpres tentang keamanan siber. Di dalamnya memuat hal yang harus dilakukan oleh Badan Siber dan Sandi Negara atau BSSN dan perusahaan jika ada serangan siber, termasuk data bocor.
Regulasi yang dimaksud yakni Perpres Nomor 47 tahun 2023 tentang Strategi Keamanan Siber Nasional dan Manajemen Krisis Siber. Aturan ini terbit pada 20 Juli.
Perpres tentang keamanan siber itu mencakup lima bab dan 35 pasal.
Bab tiga memuat tentang manajemen krisis. “Krisis siber adalah situasi kedaruratan akibat dari insiden siber pada tingkat nasional yang berdampak terhadap keselamatan, keutuhan, dan kedaulatan negara,” demikian dikutip dari Perpres.
Penyelenggaraan manajemen krisis siber meliputi:
A. Sebelum krisis siber. Paling sedikit melalui:
1. Tanggap insiden siber, yakni tindakan untuk merespons insiden siber yang terus meningkat dan berpotensi menjadi krisis. Ini dilakukan bertahap oleh:
- Tim Tanggap Insiden Siber organisasi
- Tim Tanggap Insiden Siber sektor
- Tim Tanggap Insiden Siber nasional
2. Peringatan dini krisis siber, yaitu penyampaian peringatan kepada penyelenggara sistem elektronik alias PSE mengenai terjadinya eskalasi insiden siber yang mengarah menjadi krisis siber. PSE wajib menindaklanjuti informasi peringatan dini ini.
3. Penetapan status krisis siber oleh Presiden Jokowi berdasarkan usulan dari kepala BSSN. Presiden kemudian membentuk gugus tugas krisis siber.
B. Saat terjadi krisis siber, meliputi:
1. Penanggulangan, terdiri dari:
- Identifikasi dan analisis ruang lingkup sistem elektronik terkena dampak krisis siber
- Isolasi terhadap sistem elektronik terkena dampak krisis siber
- Pengumpulan dan preservasi bukti dari sistem elektronik terkena dampak krisis siber
- Investigasi dan eradikasi penyebab krisis siber
- Penguatan sistem yang tidak terkena dampak krisis siber
- Koordinasi dengan pemangku kepentingan dalam rangka penerapan protokol komunikasi krisis siber dan pengendalian informasi kepada publik
2. Pemulihan yakni upaya pemulihan sistem elektronik terkena dampak dengan cara pengembalian data dan sistem terkena dampak atau penggunaan sumber daya cadangan dan/atau alternatif. Lalu, ada pengujian ulang terhadap fungsi vital dan fungsi pendukung untuk memastikan capaian pemulihan terpenuhi berdasarkan:
- Waktu pemulihan di bawah batas waktu maksimal yang ditetapkan berdasarkan rencana kontingensi krisis siber
- Jumlah data yang terpulihkan sesuai dengan batas jumlah data minimal yang ditetapkan berdasarkan rencana kontingensi krisis siber
- Fungsi vital dan pendukung yang terpulihkan sesuai dengan batas fungsi vital dan pendukung minimal yang ditetapkan berdasarkan rencana kontingensi krisis siber
3. Pelaporan penanganan, yaitu penyampaian laporan akhir penanganan krisis siber dari gugus tugas kepada presiden. Paling sedikit memuat:
- Hasil analisis dan capaian penanganan krisis siber
- Rekomendasi tindak lanjut penanganan krisis siber
4. Pengakhiran status, yaitu penetapan pengakhiran status krisis siber oleh Presiden berdasarkan laporan gugus tugas
C. Setelah krisis siber. Paling sedikit meliputi:
- Penghitungan perkiraan nilai kerusakan dan kerugian akibat krisis siber, sebagai pengganti nilai aset yang rusak dan kerugian ekonomi yang timbul akibat adanya aset yang rusak sementara.
- Penghitungan perkiraan biaya pemulihan akibat krisis siber untuk mengembalikan sistem elektronik seperti sebelum Krisis Siber.
- Evaluasi penanganan krisis siber bahan pertimbangan dalam pengambilan kebijakan keamanan siber
“Penyelenggaraan setelah krisis siber dikoordinasikan oleh BSSN dengan mengikutsertakan PSE,” demikian dikutip.
Penyelenggaraan manajemen krisis siber dikoordinasikan oleh BSSN dengan mengikutsertakan PSE. Persiapan yang harus dilakukan di antaranya:
- Penyusunan rencana kontingensi krisis siber
- Simulasi rencana kontingensi, yang dilaksanakan dengan cara:
- Latihan
- Pemeranan
“Dalam melakukan persiapan penyelenggaraan, BSSN mengikutsertakan instansi penyelenggara negara melakukan penyusunan rencana kontingensi krisis siber,” demikian dikutip.
“Ketentuan lebih lanjut mengenai penyelenggaraan manajemen krisis siber sebagaimana akan diatur dalam peraturan badan atau BSSN,” demikian dikutip.