Menangkal Ancaman Ransomware: Urgensi Penguatan UU ITE dan Kerangka Hukum Siber Indonesia

<strong>Oleh: Muh Akbar Fhad Syahril</strong> ANCAMAN ransomware telah menjadi salah satu tantangan keamanan siber yang paling serius di Indonesia dalam beberapa tahun terakhir. Serangan terhadap Pusat Data Nasional (PDN) pada Juni 2024 yang melumpuhkan berbagai layanan pemerintah, termasuk sistem imigrasi, menjadi bukti nyata betapa berbahayanya ancaman ini. Kejadian tersebut menunjukkan bahwa kerangka hukum dan kebijakan keamanan siber Indonesia masih memiliki celah yang dapat dieksploitasi oleh para pelaku kejahatan siber. Undang-Undang Informasi dan Transaksi Elektronik (UU ITE) yang telah direvisi melalui UU No. 1 Tahun 2024 sebenarnya telah berupaya untuk memperkuat perlindungan terhadap infrastruktur digital dan data pribadi. Namun, implementasi dan penegakan hukumnya masih belum optimal dalam menghadapi ancaman ransomware yang semakin canggih. Pasal-pasal yang berkaitan dengan akses ilegal dan perusakan sistem elektronik memang dapat digunakan untuk menjerat pelaku ransomware, tetapi sanksi yang ada belum cukup memberikan efek jera. Pasal 30 UU ITE, khususnya ayat (1), (2), dan (3), mengatur tentang akses ilegal ke sistem elektronik. Pasal 30 ayat (3) menyatakan: "Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum mengakses Komputer dan/atau Sistem Elektronik dengan cara apapun dengan melanggar, menerobos, melampaui, atau menjebol sistem pengamanan." Pelaku yang melanggar pasal ini dapat dikenakan pidana penjara paling lama 8 tahun dan/atau denda paling banyak Rp800 juta. Meskipun demikian, sanksi ini dianggap belum cukup memberikan efek jera mengingat besarnya dampak yang ditimbulkan oleh serangan ransomware. Selain itu, Pasal 32 ayat (1) UU ITE juga relevan dalam konteks ransomware, yang berbunyi: "Setiap orang dengan sengaja dan tanpa hak atau melawan hukum dengan cara apa pun mengubah, menambah, mengurangi, melakukan transmisi, merusak, menghilangkan, memindahkan, menyembunyikan suatu Informasi Elektronik dan/atau Dokumen Elektronik milik orang lain atau milik publik." Pasal ini dapat digunakan untuk menjerat pelaku ransomware yang merusak atau mengenkripsi data korban. Namun, implementasinya dalam kasus ransomware masih belum optimal. Salah satu kelemahan UU ITE dalam menangani ransomware adalah kurangnya pengaturan spesifik mengenai tindakan pencegahan dan mitigasi serangan. UU ini lebih berfokus pada aspek penegakan hukum setelah serangan terjadi, sementara upaya pencegahan dan kesiapsiagaan belum mendapat perhatian yang memadai. Padahal, dalam menghadapi ancaman ransomware, tindakan preventif dan kemampuan respons cepat sangat krusial untuk meminimalkan dampak serangan. Kerangka hukum siber Indonesia juga masih terfragmentasi, dengan berbagai regulasi yang tersebar di beberapa undang-undang dan peraturan. Hal ini menyebabkan tumpang tindih kewenangan dan kurangnya koordinasi antar lembaga dalam menangani ancaman siber. Misalnya, peran Badan Siber dan Sandi Negara (BSSN) dalam koordinasi keamanan siber nasional belum sepenuhnya terintegrasi dengan kewenangan Kementerian Komunikasi dan Informatika dalam pengaturan sistem elektronik. UU ITE juga belum secara komprehensif mengatur tanggung jawab dan kewajiban penyedia layanan digital dalam melindungi sistem dan data pengguna dari ancaman ransomware. Meskipun Pasal 40 UU ITE memberikan kewenangan kepada pemerintah untuk melakukan pencegahan penyebarluasan konten yang dilarang, belum ada standar keamanan yang spesifik dan mengikat untuk mencegah dan menangani serangan ransomware. Aspek lain yang perlu diperhatikan adalah kurangnya insentif bagi perusahaan dan organisasi untuk melaporkan serangan ransomware. Banyak korban yang memilih untuk tidak melaporkan insiden karena takut akan dampak reputasi atau sanksi hukum. Hal ini menyebabkan kurangnya data dan informasi yang akurat tentang skala dan pola serangan ransomware di Indonesia, yang pada gilirannya menghambat pengembangan strategi perlindungan yang efektif. Untuk memperkuat UU ITE dan kerangka hukum siber Indonesia dalam menghadapi ancaman ransomware, beberapa langkah perlu diambil. <ul> <li>Perlu ada pengaturan yang lebih spesifik tentang kewajiban penerapan standar keamanan siber bagi penyelenggara sistem elektronik, termasuk kewajiban melakukan penilaian risiko dan simulasi serangan secara berkala.</li> <li>UU ITE perlu diperkuat dengan ketentuan yang mendorong transparansi dan pelaporan insiden ransomware, termasuk perlindungan hukum bagi pelapor dan insentif bagi organisasi yang proaktif dalam melaporkan dan berbagi informasi tentang serangan yang dialami.</li> </ul> Selain itu, perlu ada penguatan dalam aspek kerjasama internasional untuk menangani ransomware. UU ITE dapat diperkuat dengan ketentuan yang memfasilitasi pertukaran informasi dan kerjasama penegakan hukum lintas batas yang lebih efektif, mengingat sifat transnasional dari kejahatan siber. Dengan penguatan UU ITE dan kerangka hukum siber yang komprehensif, Indonesia akan lebih siap dalam menghadapi ancaman ransomware yang semakin kompleks. Namun, perlu diingat bahwa keberhasilan dalam menangkal ancaman ini tidak hanya bergantung pada aspek hukum, tetapi juga pada implementasi yang efektif, peningkatan kapasitas teknis, dan kolaborasi yang erat antara pemerintah, sektor swasta, dan masyarakat sipil.

Sumber: