Singapura Perbarui UU Keamanan Siber untuk Era Cloud

Pada 13 Mei 2024, Singapura memperkenalkan pembaruan signifikan pada Undang-Undang Keamanan Siber mereka. Amandemen ini bertujuan untuk memperkuat peraturan keamanan siber dengan memberikan wewenang lebih kepada Cyber Security Agency (CSA), memperluas definisi sistem komputer untuk mencakup infrastruktur cloud, dan mewajibkan operator infrastruktur informasi kritis (CII) untuk melaporkan berbagai insiden keamanan siber kepada pemerintah.

Perubahan ini mencerminkan adaptasi Singapura terhadap kemajuan teknologi dan meningkatnya ancaman siber. Janil Puthucheary, Menteri Negara Senior untuk Kementerian Komunikasi dan Informasi Singapura, menjelaskan bahwa dengan banyaknya operator CII yang kini mengandalkan layanan cloud dan pihak ketiga, aturan baru ini diperlukan untuk memastikan bahwa penyedia layanan tersebut juga bertanggung jawab atas keamanan siber.

"Undang-Undang 2018 awalnya dirancang untuk sistem fisik, tetapi perkembangan teknologi dan model bisnis baru telah mengubah lanskapnya," ujar Puthucheary. "Kami perlu memperbarui undang-undang ini untuk mengatur CII dengan lebih baik, sehingga mereka tetap aman dan tangguh terhadap ancaman siber, terlepas dari teknologi atau model bisnis yang digunakan."

Pembaruan ini sejalan dengan tren peraturan di kawasan Asia-Pasifik. Sebelumnya, pada awal April 2024, Parlemen Malaysia juga menyetujui RUU Keamanan Siber yang bertujuan untuk memperkuat kerangka keamanan siber negara, termasuk mengatur lisensi untuk beberapa perusahaan dan konsultan. Selain itu, Jepang, Filipina, dan Amerika Serikat baru-baru ini membentuk perjanjian berbagi informasi trilateral untuk melawan ancaman dari negara-negara seperti China dan Korea Utara.

Menurut Donny Chong, Direktur Produk di Nexusguard, perusahaan yang mengkhususkan diri dalam pertahanan terhadap serangan DDoS, amandemen ini mendapatkan dukungan luas setelah konsultasi mendalam dengan penyedia infrastruktur kritis, warga, bisnis, dan ahli hukum. "Ancaman siber yang meningkat telah menunjukkan kerentanan di infrastruktur digital kita. Perusahaan semakin sadar akan dampak serius dari serangan siber terhadap layanan vital dan keamanan nasional, yang mendesak perlunya regulasi yang lebih ketat," katanya.

Keamanan Siber dalam Konteks Baru

Undang-Undang Keamanan Siber yang asli ditujukan untuk memperkuat perlindungan terhadap CII, memberikan CSA wewenang untuk mengelola program pencegahan dan tanggapan, serta menciptakan kerangka lisensi untuk penyedia layanan keamanan siber. Namun, seiring dengan perkembangan teknologi cloud, pejabat menyadari perlunya perubahan agar undang-undang tetap relevan.

Puthucheary mencatat bahwa saat undang-undang ini pertama kali ditetapkan, CII umumnya berupa sistem fisik yang sepenuhnya dimiliki dan dikendalikan oleh pemiliknya. Namun, dengan munculnya layanan cloud, model ini menjadi tidak memadai. Oleh karena itu, amandemen ini mengklasifikasikan bisnis dan operator infrastruktur dalam lima kategori: CII yang dimiliki penyedia, CII yang tidak dimiliki penyedia, layanan infrastruktur digital dasar (FDI), entitas dengan minat keamanan siber khusus, dan pemilik sistem dengan masalah keamanan siber sementara.

Lim Chong Kin, Direktur Utama dan Ko-Kepala kelompok perlindungan data, privasi, dan keamanan siber di firma hukum Drew & Napier, menjelaskan bahwa persyaratan untuk organisasi tergantung pada kategori mereka. Persyaratan ini dapat mencakup audit, penilaian risiko, pelaporan insiden, dan ketentuan kontrak untuk pihak ketiga. "Peningkatan kewajiban regulasi kemungkinan akan menambah biaya kepatuhan untuk bisnis," kata Lim. "Dampak pastinya akan terlihat seiring dengan penerapan persyaratan pelaporan baru."

Tantangan Geopolitik dan Teknologi Baru

Singapura, yang sangat bergantung pada perdagangan global dan mempertahankan ekonomi digital terbuka, terus menjadi target utama bagi pelaku ancaman, baik negara-bangsa maupun penjahat siber. Laporan "Kesehatan Keamanan Siber" terbaru mengungkapkan bahwa lebih dari 80% organisasi di Singapura mengalami insiden siber dalam setahun terakhir, dan hampir semua korban mengalami dampak bisnis.

Ke depan, ketidakpastian akan meningkat dengan kemajuan teknologi seperti kecerdasan buatan dan komputasi kuantum yang dapat mengubah lanskap ancaman. Lim menyatakan bahwa regulasi yang diperbarui hanyalah langkah awal dalam menghadapi tantangan ini. "Selain regulasi, penting untuk membangun populasi yang melek siber dan mendapatkan dukungan dari semua pemangku kepentingan dalam masyarakat untuk mengamankan dunia maya Singapura secara efektif," ujarnya.

Singapura dikenal sebagai salah satu negara dengan tingkat literasi siber yang tinggi, dengan lebih dari 90% penduduknya berkomunikasi online dan tingkat adopsi teknologi di kalangan bisnis mencapai 94% pada tahun 2022, naik dari 74% pada 2018. Puthucheary menegaskan, "Model bisnis mungkin berubah, tetapi prinsip dasarnya tetap sama: penyedia layanan penting harus bertanggung jawab atas keamanan siber dan ketahanan siber dari sistem komputer yang mereka andalkan untuk memberikan layanan yang mereka tawarkan."