Pola pikir jajaran direksi perusahaan dan regulator di Indonesia menjadi sorotan tajam seiring dengan anjloknya peringkat ketahanan siber Indonesia di tingkat global. Penurunan drastis ini bukan sekadar angka statistik, melainkan sebuah peringatan dini yang berisiko mempengaruhi nilai ekonomi digital Tanah Air secara signifikan. Data terbaru menunjukkan bahwa pada tahun 2023, skor National Cybersecurity Index (NCSI) Indonesia tercatat sebesar 63,64 poin, menempatkan negara ini di urutan ke-48 dari 136 negara. Namun, tren yang mengkhawatirkan terlihat pada proyeksi tahun 2025, di mana skor dan peringkat Indonesia diperkirakan akan ambles menjadi urutan ke-84 dengan skor 47,50 poin. Lebih memprihatinkan lagi, di kancah Asia Tenggara, Indonesia kini tertinggal jauh dari negara-negara tetangga seperti Singapura, Malaysia, dan bahkan Filipina. NCSI sendiri merupakan sebuah indeks global yang dirancang untuk mengukur kesiapan sebuah negara dalam mencegah ancaman siber yang semakin kompleks dan mengelola insiden siber yang berpotensi merusak. Indeks ini mengukur berbagai aspek krusial, yang dikelompokkan menjadi beberapa kategori utama.
Kategori pertama adalah kebijakan keamanan siber (cybersecurity policy), yang mencakup aspek-aspek fundamental seperti kepemimpinan tingkat tinggi dari pemerintah dan pengembangan strategi nasional yang komprehensif untuk menghadapi ancaman siber. Kesiapan dalam hal ini mencerminkan komitmen dan arah strategis suatu negara dalam membangun ekosistem siber yang aman. Kategori kedua adalah koordinasi dan organisasi, yang mengukur efektivitas struktur kelembagaan dalam penanganan isu keamanan siber. Ini termasuk keberadaan dan kesiapan entitas khusus untuk tanggap insiden seperti Computer Security Incident Response Team (CSIRT) yang handal, serta pengembangan strategi pemulihan bencana siber yang matang. Kemampuan untuk merespons dengan cepat dan efektif saat terjadi insiden adalah kunci untuk meminimalkan kerugian.
Kategori ketiga berfokus pada perlindungan infrastruktur informasi kritis (Critical Information Infrastructure – CII). Aspek ini mencakup identifikasi infrastruktur mana saja yang dianggap kritis bagi jalannya negara dan masyarakat, serta penetapan persyaratan keamanan yang ketat bagi para operator infrastruktur tersebut. Perlindungan terhadap CII sangat vital karena kerentanannya dapat berdampak luas pada stabilitas ekonomi dan sosial. Terakhir, kategori kapasitas operasional mengukur kemampuan negara dalam menjalankan operasi keamanan siber secara efektif. Ini mencakup aspek kerjasama regional atau global dalam berbagi informasi dan sumber daya, serta upaya berkelanjutan dalam pendidikan, pelatihan, dan peningkatan kesadaran publik mengenai pentingnya keamanan siber.
Mengenai penurunan peringkat yang mencolok ini, Ketua Umum Asosiasi Digitalisasi dan Keamanan Siber Indonesia (Adigsi), Firlie Ganinduto, memberikan pandangan kritis dari perspektif industri. Beliau menyoroti bahwa masalah utamanya terletak pada mindset dan tata kelola di tingkat jajaran direksi perusahaan dan regulator. Kesadaran akan pentingnya keamanan siber di level top management masih tergolong rendah. Firlie menjelaskan bahwa keamanan siber seringkali masih dipandang sebelah mata, hanya sebagai sebuah "ongkos" operasional tambahan atau sekadar isu teknis yang bisa didelegasikan kepada tim IT. Padahal, keputusan investasi, penetapan prioritas, dan alokasi sumber daya yang memadai sangat bergantung pada pemahaman dan komitmen dari para eksekutif.
Akibat dari rendahnya kesadaran dan komitmen ini, berbagai dampak negatif mulai terlihat. Implementasi kontrol keamanan siber yang mendasar, seperti autentikasi multi-faktor, enkripsi data, dan patch management, masih belum merata di seluruh sektor. Banyak perusahaan dan institusi yang belum menerapkan standar keamanan minimum yang memadai. Lebih lanjut, kesiapan untuk merespons insiden siber belum konsisten. Meskipun mungkin ada tim yang bertugas, namun seringkali mereka tidak memiliki sumber daya, pelatihan, atau prosedur yang memadai untuk menghadapi serangan yang semakin canggih. Hal ini menyebabkan respons menjadi lambat, tidak terkoordinasi, dan kurang efektif, sehingga kerugian yang ditimbulkan bisa semakin besar.
Selain itu, kolaborasi lintas-sektor yang terstruktur kuat masih menjadi pekerjaan rumah besar. Dalam menghadapi ancaman siber yang bersifat global dan kompleks, kerja sama antara pemerintah, sektor swasta, akademisi, dan bahkan masyarakat sipil sangatlah krusial. Namun, saat ini, kolaborasi tersebut belum terbangun secara optimal. Pertukaran informasi mengenai ancaman, kerentanan, dan praktik terbaik seringkali masih terbatas, menghambat upaya kolektif untuk membangun pertahanan siber yang kokoh.
Penurunan peringkat NCSI ini secara langsung mengindikasikan bahwa Indonesia masih memiliki banyak pekerjaan rumah dalam membangun ekosistem keamanan siber yang tangguh. Ini bukan hanya masalah teknis, tetapi juga masalah strategis dan kepemimpinan. Jika tren ini terus berlanjut, bukan tidak mungkin nilai ekonomi digital Indonesia yang sedang berkembang pesat akan terancam. Serangan siber yang berhasil dapat merusak reputasi bisnis, menyebabkan kerugian finansial yang besar, mengganggu operasional, dan mengikis kepercayaan konsumen terhadap platform digital. Dampak jangka panjangnya bisa berupa melambatnya pertumbuhan ekonomi digital, berkurangnya investasi asing di sektor teknologi, dan hilangnya daya saing di pasar global.
Untuk mengatasi masalah ini, diperlukan langkah-langkah konkret dan terpadu. Pertama, edukasi dan peningkatan kesadaran mengenai keamanan siber harus digalakkan secara masif di kalangan pimpinan perusahaan dan regulator. Program pelatihan eksekutif yang berfokus pada pemahaman risiko siber dan pentingnya investasi dalam keamanan siber perlu diintensifkan. Kedua, regulasi dan kebijakan keamanan siber perlu diperkuat dan diimplementasikan secara konsisten. Ini termasuk penetapan standar keamanan minimum yang jelas untuk berbagai sektor, serta mekanisme pengawasan dan penegakan hukum yang efektif.
Ketiga, pembentukan dan penguatan CSIRT di tingkat nasional dan sektoral harus menjadi prioritas. CSIRT yang memiliki kapasitas dan kewenangan yang memadai akan mampu merespons insiden siber dengan cepat dan efektif, serta memberikan panduan kepada organisasi lain. Keempat, kolaborasi lintas-sektor perlu ditingkatkan melalui forum-forum yang terstruktur, di mana informasi dan praktik terbaik dapat dibagikan secara terbuka. Inisiatif seperti pertukaran intelijen ancaman siber harus didorong. Terakhir, investasi dalam pendidikan dan pelatihan sumber daya manusia di bidang keamanan siber sangatlah vital. Dengan kesadaran yang meningkat, kebijakan yang kuat, struktur yang efektif, kolaborasi yang solid, dan sumber daya manusia yang kompeten, Indonesia dapat membalikkan tren penurunan peringkat dan membangun masa depan ekonomi digital yang lebih aman dan tangguh.
