Ketahanan Siber, Dunia Usaha, dan Peran In-House Counsel

Ada lima peran penting In-House Counsel dalam ketahanan siber perusahaan.

Perkembangan ilmu pengetahuan dan teknologi ikut berimbas pada peran In-House Counsel. Maraknya kasus terkait keamanan siber semakin berdampak pada keberlanjutan pada proses bisnis perusahaan. Namun, bisa juga lebih dari itu hingga ke tingkat nasional. Perkembangan kebijakan keamanan siber akan terus berubah mengikuti perkembangan teknologi dan cakupan sistem informasi yang digunakan.

Apabila dilihat dari sejarahnya, isu keamanan siber awalnya bersifat mikro dan individual terkait komputer dan sistem keamanan masing-masing. Isunya berkembang menjadi keamanan organisasi setelah komputer digunakan secara masif oleh sektor industri. Kini keamanan siber menjadi isu nasional mengingat vitalnya sistem informasi dalam beroperasinya negara-negara. Saat ini juga sudah ada dorongan untuk membentuk norma-norma keamanan internasional yang dikoordinasikan oleh sektor publik dan privat.

Pengakuan keamanan siber sebagai suatu tantangan dan ancaman terlihat dari sasaran isu strategis Lembaga Ketahanan Nasional (Lemhannas) di tahun 2022-2024. Salah satunya mencatut isu mengenai transformasi digital. Isu transformasi digital ini kemudian dapat dibedah menjadi empat topik strategis yaitu ekonomi 4.0, infrastruktur digital, keamanan siber, dan pertahanan Siber.

Fokus kepada isu keamanan dan pertahanan siber ini juga sejalan dengan Rencana Pembangunan Jangka Menengah Nasional Tahun 2020-2024 (RPJMN 2020-2024). Isi lampiran Peraturan Presiden (Perpres) No.18 Tahun 2020 tentang RPJMN 2020-2024 menyatakan bahwa penguatan keamanan dan ketahanan siber menjadi salah satu arah kebijakan dan strategi transformasi digital.

Lemhannas merumuskan empat pilar ketahanan siber—yang harus dibangun untuk menciptakan ketahanan siber nasional—yaitu pilar keamanan siber, pilar manajemen risiko, pilar kesinambungan bisnis proses yang harus dilakukan dengan kolaborasi, dan pilar kemampuan untuk melakukan pemulihan pada saat terjadi insiden atau serangan siber.

Pilar-pilar ini harus segera dibentuk untuk menghadapi tantangan ketahanan siber nasional yang akan dihadapi seperti pemilahan digital dan ketidakmerataan teknologi. Lebih lanjut, Lemhannas membagi komponen ketahanan siber menjadi lima bagian. Pertama, aspek legalitas untuk menjadi payung hukum dan pedoman mengambil kebijakan.

Kedua, aspek teknologi, dalam hal ini pemerintah sebagai pihak yang bertanggung jawab harus membentuk Cyber Incident Response Team (CIRT) untuk mengawal ketahanan nasional dari insiden siber. Ketiga, aspek pembentukan atau pengembangan organisasi, seperti Badan Siber dan Sandi Negara (BSSN) yang idealnya dilengkapi wewenang untuk membuat dan mengembangkan kebijakan nasional mengenai ketahanan dan keamanan siber.

Keempat, aspek pengembangan kapasitas personel yang dilakukan secara terus menerus dan berkelanjutan. Kelima, aspek kolaborasi triple-helix (pemerintah–akademisi–swasta) ataupun quadruple-helix (pemerintah–akademisi–swasta–masyarakat) untuk dapat memetakan peluang, kondisi, dan permasalahan ketahanan siber dari berbagai macam perspektif dari pemangku kepentingan.

Seluruh regulasi keamanan siber dan ruang siber harus relevan dengan dinamika global dan industri karena hubungannya sangat penting terhadap perkembangan ekonomi. Penting agar pembuatan kebijakan keamanan siber mengadopsi risk-based in accordance with rule of law. Hal ini dapat dilakukan melalui tiga hal.

Pertama, membentuk dewan nasional keamanan siber. Kedua, membentuk dan memperbarui hukum kejahatan siber. Ketiga, membangun regulasi mengenai infrastruktur kritis. Adanya kepastian mengenai norma hukum keamanan siber memberikan ruang serta kepastian hukum bagi industri untuk patuh dan berkolaborasi secara bisnis.

Pengaruh terhadap Ekonomi Digital

Perkembangan teknologi informasi dan potensi ekonomi digital yang cukup besar juga diiringi beberapa dampak negatif, sebut saja ancaman terhadap hak atas privasi dan data diri. Hak atas privasi atau privacy right adalah salah satu hak dalam fundamental right. Kini Indonesia telah memiliki UU No.27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP).

Kehadirannya sangat penting karena butuh peran Pemerintah—sebagai pemangku kebijakan yang memiliki akses cukup luas—untuk melindungi kepentingan publik dan masyarakat. Namun, tetap saja masih belum cukup apabila dikategorikan sebagai pelindung atas keamanan data pribadi. Masih diperlukan aturan-aturan yang saling melengkapi dan berkolaborasi baik dengan instansi pemerintah, lembaga negara, dan pelaku usaha.

Pada konteks ekonomi digital—seperti mekanisme dagang dengan e-commerce dan transaksi menggunakan e-banking—, pelaku usaha menyimpan data pribadi konsumen. Data pribadi konsumen itu seperti nama, alamat rumah atau kantor, alamat surel, bahkan nomor rekening bank. Transaksi e-commerce konsumen bahkan tidak hanya merekam nomor rekening. Konsumen e-commerce yang menggunakan kartu kredit maka akan terekam pula data kartu kreditnya.

Peran In-House Counsel

Melihat penjelasan di atas, peran In-House Counsel dalam konteks keamanan siber sangatlah penting. Perlu ada kesadaran dan kolaborasi mereka yang lebih tinggi dalam suatu institusi atau perusahaan. Perencanaan atas kerangka kebijakan dan prosedur yang akan ditetapkan harus memenuhi setidaknya beberapa komponen utama.

Sebut saja mulai dari mendefinisikan strategi dan tujuan keamanan perusahaan, menetapkan peran dan tanggung jawab yang relevan, mengalokasikan sumber daya keuangan dan manusia yang memadai, menanggapi insiden pelanggaran, hingga mempromosikan budaya keamanan di dalam perusahaan.

In-House Counsel juga tidak bisa lepas dari persyaratan kepatuhan untuk mengidentifikasi potensi ancaman yang tidak hanya terhadap perusahaan tetapi juga terhadap customer. Kesalahan dan kelalaian karyawan adalah salah satu penyebab utama insiden pelanggaran data.

Perusahaan harus memiliki program pelatihan khusus kesadaran keamanan siber. Tujuannya untuk memastikan semua personel menerima pelatihan berkelanjutan tentang praktik terbaik keamanan informasi. In-House Counsel harus benar-benar sadar akan pentingnya pengembangan sumber daya. Mereka diharapkan dapat pula memberikan pelatihan berkelanjutan tentang praktik terbaik keamanan informasi terbaru.

Peristiwa yang merugikan atau mengganggu—seperti bencana alam, kegagalan daya, ransomware, dan serangan penolakan layanan lainnya, bahkan kegagalan perangkat keras yang meluas—dapat menciptakan berbagai risiko keamanan informasi termasuk membuat informasi klien tidak dapat diakses.

Perusahaan harus memiliki rencana bisnis yang berkelanjutan untuk mengikuti praktik terbaik industri dan memenuhi persyaratan dalam regulasi. Rencana itu paling tidak tentang kebijakan dan prosedur pencadangan data, pemulihan sistem dan data, serta keamanan dan ketersediaan informasi klien ketika terjadi peristiwa yang merugikan atau mengganggu.

Peran In-House Counsel dalam ketahanan siber perusahaan menjadi makin jelas. Tanggung jawab ketahanan siber di suatu perusahaan bukan hanya ada di pundak Divisi Teknologi Informasi. Peran semua personel perusahaan sangat diperlukan. Peran serta mulai dari divisi sales, marketing, finance, human resources hingga legal sama pentingnya.

Tentu saja peran In-House Counsel akan sangat terkait dengan fungsi dasarnya sebagai penasihat hukum internal perusahaan (corporate counsel). Setidaknya ada lima peran penting In-House Counsel yang spesifik dalam ketahanan siber perusahaan. Pertama adalah dalam kepatuhan hukum (regulatory compliance). In-House Counsel memastikan perusahaan melaksanakan segala kewajiban hukum terkait ketahanan siber.

Saat ini undang-undang khusus ketahanan siber masih dalam proses penyusunan oleh pemerintah. Oleh karena itu, para In-House Counsel disarankan merujuk pada berbagai regulasi relevan yang berlaku. Berbagai regulasi itu misalnya UU No.27 Tahun 2022 tentang Pelindungan Data Pribadi, UU No.1 Tahun 2024 tentang Perubahan Kedua Atas UU No.11 Tahun 2008 tentang Transaksi Informasi Elektronik, Peraturan Pemerintah (PP) No.71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik. Kemudian Peraturan Badan Siber dan Sandi Negara (BSSN) No. 8 Tahun 2020 tentang Sistem Pengamanan Dalam Penyelenggaraan Sistem Elektronik, dan Peraturan BSSN No. 9 Tahun 2021 tentang Perubahan atas Peraturan BSSN No.8 Tahun 2021 tentang Penyelenggaraan Penilaian Kesiapan Penerapan SNI ISO/IEC 270001 Menggunakan Indeks Keamanan Informasi.

Kedua, adalah dalam penegakan aturan internal. Sebagai salah satu komponen fungsi kepatuhan di dalam perusahaan, In-House Counsel harus berperan aktif bersama fungsi terkait lainnya. Kolaborasi ini untuk menyusun serta membuat ketentuan internal—yang mengatur pola kerja di perusahaan—sejalan dengan sistem ketahanan siber dalam hukum, standar nasional, dan standar global.

Kolaborasi dengan Divisi Sumber Daya Manusia dan Divisi Teknologi Informasi menjadi sangat penting. Ketentuan internal akan berhubungan sangat erat dengan aturan kerja bagi karyawan, termasuk kewajiban dalam menggunakan fasilitas kerja yang rentan atas serangan siber. Koordinasi dengan unit bisnis di dalam perusahaan juga krusial.

Unit bisnis adalah pelaksanaan proses bisnis yang merupakan jantung dari beroperasinya perusahaan. Proses bisnis itu harus menjadi prioritas utama dalam ketahanan siber. In-House Counsel juga harus berperan aktif memberikan advis soal sanksi kepada karyawan yang lalai menjalankan kewajiban ketahanan siber. Harus diingat bahwa insiden siber dapat menimbulkan kerugian finansial.

Ketiga adalah dalam pelindungan data pribadi. Tidak dapat dipungkiri bahwa pelindungan data pribadi juga salah satu aspek penting dalam ketahanan siber. Sistem pelindungan data yang lemah dapat menjadi gerbang bagi masuknya serangan siber terhadap suatu institusi. Peran In-House Counsel adalah mendorong perusahaan untuk segera mengangkat Data Protection Officer (DPO). In-House Counsel membantu perusahaan dalam penunjukan DPO sesuai dengan kriteria dan persyaratan yang diamanatkan UU PDP.

Bahkan, seorang In-House Counsel tidak perlu ragu menawarkan diri kepada perusahaan untuk mengemban tugas sebagai DPO. Namun, tentu harus dengan kondisi In-House Counsel sudah memiliki pemahaman teknologi yang cukup, khususnya dalam pelindungan data dan ketahanan siber. Bisa juga dengan menyarankan pelaksanaan tugasnya didukung oleh tim dengan keahlian bidang teknologi.

Keempat, ialah dalam hubungan hukum dengan pihak ketiga. Pengoperasian perusahaan tidak bisa terhindar dari perikatan dengan pihak ketiga. Mulai dari vendor yang dipekerjakan khusus untuk memberikan jasa ketahanan siber, customer yang saling bertukar data dalam interaksi kerja, hingga vendor yang ditunjuk untuk mengelola data pribadi di bawah kendali perusahaan.

In-House Counsel harus memastikan perjanjian/kontrak dengan pihak ketiga mengatur dengan jelas hak dan kewajiban masing-masing terkait keamanan siber dan pelindungan data. Jika governing law dari kontrak tersebut adalah hukum Indonesia, maka ketentuan hukum Indonesia harus menjadi acuan.

Sebaliknya jika perjanjian tunduk pada hukum asing, maka disarankan klausul keamanan siber dan pelindungan data disusun mengacu aturan global yang dapat diterima oleh kedua belah pihak. Kelima, adalah dalam sosialisasi internal. Suatu aturan akan berlaku efektif bukan hanya karena adanya pengawasan dan sanksi konsisten bagi pelanggar, namun juga adanya pemahaman yang cukup.

Oleh karena itu, In-House Counsel sangat disarankan proaktif bekerja sama dengan divisi terkait dalam sosialisasi aturan internal ketahanan siber bagi karyawan. Sosialisasi ini termasuk pula tentang dampak hukum bagi perusahaan dan karyawan jika terjadi kebocoran siber.

Dari seluruh pembahasan ini, cukup jelas bahwa banyak hal dan peran yang bisa dijalankan oleh In-House Counsel dalam mendukung ketahanan siber di perusahaan.

Source : HukumOnline