Memasuki 2026, lanskap keamanan siber Indonesia dipastikan akan menjadi kian kompleks seiring percepatan transformasi digital di hampir seluruh sektor. Ancaman tidak lagi datang semata dari peretas eksternal, melainkan juga dari dalam organisasi, disertai meningkatnya serangan berbasis kecerdasan buatan (artificial intelligence), kebocoran data, dan risiko sistemik yang dapat mengguncang stabilitas bisnis serta layanan publik. Dalam konteks ini, isu keamanan siber tidak lagi sekadar persoalan teknologi, melainkan menyangkut manusia, tata kelola, kepemimpinan, dan ketahanan nasional secara menyeluruh.
Untuk membaca arah dan tantangan tersebut, Deddy H. Pakpahan dari digitalbank.id berbincang dengan Ardi Sutedja K., pemerhati dan praktisi keamanan serta ketahanan siber yang telah berkiprah lebih dari 30 tahun di dalam dan luar negeri. Sebagai Ketua sekaligus salah satu pendiri Indonesia Cyber Security Forum (ICSF), Ardi memaparkan pandangannya tentang ancaman siber yang kian canggih, kesiapan Indonesia menghadapi 2026, serta langkah-langkah strategis yang perlu segera ditempuh agar ketahanan siber nasional tidak hanya bertahan, tetapi mampu bersaing di tingkat global. Berikut perbincangannya.
Memasuki 2026, Indonesia menghadapi akselerasi transformasi digital yang sangat cepat. Bagaimana Indonesia Cyber Security Forum (ICSF) melihat lanskap keamanan siber nasional ke depan?
ICSF melihat 2026 sebagai tahun krusial. Tantangan keamanan siber tidak lagi berdiri sendiri sebagai isu teknologi, tetapi sudah menyentuh aspek manusia, tata kelola, regulasi, hingga kepemimpinan nasional.
Transformasi digital yang masif memang membuka peluang efisiensi dan inovasi, tetapi di saat yang sama memperluas permukaan serangan (attack surface). Jika tidak dikelola dengan pendekatan holistik, risiko sibernya justru bisa melumpuhkan sektor-sektor strategis.
ICSF menyoroti meningkatnya insider threat. Seberapa serius ancaman ini bagi organisasi di Indonesia?
Sangat serius, dan ironisnya sering diremehkan. Ancaman siber hari ini tidak hanya datang dari peretas eksternal, tetapi justru dari orang dalam yang memiliki akses sah ke sistem. Motifnya beragam, mulai dari kelalaian, ketidaktahuan, tekanan ekonomi, sampai spionase. Data global menunjukkan, insiden yang melibatkan orang dalam cenderung berdampak lebih besar karena menyentuh sistem inti dan data sensitif.
Nah, di Indonesia, tantangannya diperparah oleh rendahnya literasi keamanan siber SDM. Banyak organisasi fokus membeli teknologi mahal, tapi lupa membangun budaya keamanan. Padahal, human factor adalah mata rantai terlemah sekaligus terpenting.
Lalu apa yang seharusnya menjadi prioritas organisasi untuk menekan risiko tersebut?
Pertama, membangun budaya keamanan siber, bukan sekadar SOP. Kedua, edukasi berkelanjutan yang relevan dengan realitas kerja. Ketiga, sistem deteksi dini terhadap perilaku mencurigakan dengan pendekatan etis. Monitoring boleh dilakukan, tapi harus seimbang dengan perlindungan hak dan privasi. Tanpa itu, insider threat akan terus menjadi bom waktu.
Saya melihat asuransi siber menjadi instrumen mitigasi risiko yang penting, terutama bagi sektor keuangan dan layanan digital. Namun di Indonesia, adopsinya masih lambat. Banyak pelaku usaha belum memahami risiko spesifik siber, sementara produk asuransi sering belum sepenuhnya selaras dengan regulasi dan kebutuhan lokal.
Bagaimana peran cyber insurance dalam lanskap risiko siber Indonesia?
Ke depan, cyber insurance bukan lagi opsi, melainkan kebutuhan. Serangan ransomware, kebocoran data, hingga gugatan hukum bisa menimbulkan kerugian finansial dan reputasi yang sangat besar.
Saya melihat asuransi siber menjadi instrumen mitigasi risiko yang penting, terutama bagi sektor keuangan dan layanan digital. Namun di Indonesia, adopsinya masih lambat. Banyak pelaku usaha belum memahami risiko spesifik siber, sementara produk asuransi sering belum sepenuhnya selaras dengan regulasi dan kebutuhan lokal.
Menurut Anda, apa yang perlu dibenahi agar cyber insurance efektif?
Saya kira edukasi adalah kunci. Pelaku usaha harus paham apa yang dilindungi dan apa yang tidak. Di sisi lain, pemerintah dan regulator perlu memperkuat pengawasan, memastikan transparansi proses klaim, serta mendorong kolaborasi antara industri asuransi dan regulator. Tanpa kepercayaan, cyber insurance tidak akan berkembang optimal.
ICSF mendorong pembentukan Unified Cyber Command, sebuah mekanisme terpadu untuk merespons ancaman siber secara profesional dan lintas sektor. Ancaman siber tidak mengenal batas administrasi, jadi responsnya juga tidak boleh terfragmentasi.
ICSF juga menekankan pentingnya kolaborasi lintas sektor. Seperti apa idealnya model ketahanan siber nasional?
Ketahanan siber nasional tidak bisa dibangun secara sektoral. Pemerintah, swasta, akademisi, dan masyarakat harus bergerak bersama. Indonesia membutuhkan regulasi yang adaptif, sistem pelaporan insiden yang transparan, dan kemampuan respons cepat yang terkoordinasi.
ICSF mendorong pembentukan Unified Cyber Command, sebuah mekanisme terpadu untuk merespons ancaman siber secara profesional dan lintas sektor. Ancaman siber tidak mengenal batas administrasi, jadi responsnya juga tidak boleh terfragmentasi.
Anda termasuk yang sangat concern menekankan pentingnya Unified Cyber Command, sejauh mana regulasi saat ini (seperti UU PDP dan UU ITE) mampu menjembatani ego sektoral antar lembaga negara (BSSN, Kominfo, Polri) dalam hal pembagian wewenang eksekusi dan penegakan hukum saat terjadi krisis siber nasional?
UU PDP dan UU ITE pada dasarnya sudah memberikan kerangka kerja pembagian wewenang eksekusi dan penegakan hukum. Namun, dalam praktiknya, sinergi lintas lembaga seperti BSSN, Kominfo (Komdigi), dan Polri masih belum optimal karena adanya fragmentasi dan ego sektoral. Respons insiden siber kerap terhambat bukan karena ketiadaan aturan, melainkan lemahnya koordinasi operasional. Karena itu, dibutuhkan Unified Cyber Command sebagai mekanisme terpadu lintas sektor yang mampu merespons ancaman siber secara cepat, profesional, dan terkoordinasi, mengingat ancaman siber tidak mengenal batas administrasi.
Bagaimana posisi Indonesia di level global?
Indonesia harus aktif dalam diplomasi siber dan forum internasional. Kolaborasi regional sangat penting karena serangan siber sering melibatkan jaringan lintas negara. Berbagi intelijen, sumber daya, dan praktik terbaik adalah keniscayaan, bukan pilihan.
AI semakin masif digunakan dalam kejahatan siber. Apa risiko terbesarnya di 2026?
AI adalah pedang bermata dua. Di satu sisi, ia meningkatkan efisiensi dan kemampuan deteksi ancaman. Di sisi lain, pelaku kejahatan siber juga memanfaatkan AI untuk social engineering, pembuatan malware canggih, hingga manipulasi informasi.
Regulasi AI perlu disusun secara agile dan berbasis prinsip, bukan teknis yang kaku. Pendekatan yang disarankan adalah menekankan prinsip seperti transparansi algoritma, perlindungan data, dan tanggung jawab pengembang. Regulasi juga harus adaptif dan bisa diperbarui secara berkala mengikuti perkembangan teknologi.
Tahun 2026 akan menjadi titik balik. Organisasi yang tidak memanfaatkan AI untuk pertahanan akan tertinggal, sementara yang menggunakannya tanpa etika justru menciptakan risiko baru.
Dengan ancaman AI yang diprediksi menjadi titik balik pada 2026, Indonesia belum memiliki UU spesifik yang mengatur etika dan penggunaan AI. Bagaimana pemerintah dapat menyusun regulasi yang cukup lincah (agile) untuk mengatur risiko AI-driven attacks tanpa menghambat laju inovasi transformasi digital nasional?
Regulasi AI perlu disusun secara agile dan berbasis prinsip, bukan teknis yang kaku. Pendekatan yang disarankan adalah menekankan prinsip seperti transparansi algoritma, perlindungan data, dan tanggung jawab pengembang. Regulasi juga harus adaptif dan bisa diperbarui secara berkala mengikuti perkembangan teknologi.
Keterlibatan pemerintah, industri, akademisi, dan komunitas digital menjadi penting agar regulasi tetap relevan dan tidak menghambat inovasi, sekaligus mampu mengantisipasi AI yang kini juga dimanfaatkan pelaku kejahatan siber untuk social engineering, malware canggih, dan manipulasi informasi.
Lantas apa yang harus dilakukan pemerintah dan dunia usaha?
Investasi pada talenta digital dan teknologi keamanan mutakhir mutlak dilakukan. Dunia pendidikan harus mencetak SDM yang bukan hanya pintar teknologi, tetapi juga paham etika digital. Perlindungan data dan privasi harus menjadi fondasi, bukan sekadar pelengkap.
Regulasi AI perlu disusun secara agile dan berbasis prinsip, bukan teknis yang kaku. Pendekatan yang disarankan adalah menekankan prinsip seperti transparansi algoritma, perlindungan data, dan tanggung jawab pengembang. Regulasi juga harus adaptif dan bisa diperbarui secara berkala mengikuti perkembangan teknologi.
Di beberapa forum dan artikel Anda menyebutkan cyber insurance akan menjadi kebutuhan pada 2026. Namun, secara regulasi, bagaimana pemerintah menjamin standarisasi audit keamanan siber bagi perusahaan asuransi agar klaim tidak mudah ditolak dengan alasan kelalaian prosedur (human error), mengingat batasan antara ‘kelalaian’ dan ‘serangan’ seringkali abu-abu secara hukum?
Pemerintah perlu mendorong standarisasi audit keamanan siber, transparansi proses klaim, serta kolaborasi antara industri asuransi dan regulator. Tanpa standar audit yang jelas, batas antara “kelalaian” dan “serangan” akan terus menjadi area abu-abu yang merugikan tertanggung. Pemerintah juga harus memastikan perusahaan asuransi memiliki kompetensi menilai risiko siber secara objektif dan profesional. Tanpa standarisasi dan transparansi, cyber insurance hanya akan menjadi formalitas yang tidak memberi perlindungan nyata.
Bagaimana peran masyarakat dalam ketahanan siber nasional?
Masyarakat adalah benteng terakhir. Tanpa literasi siber yang memadai, teknologi secanggih apa pun akan rapuh. Edukasi soal keamanan data pribadi, hoaks, dan privasi digital harus menyasar semua lapisan, dari generasi muda hingga pelaku UMKM dan aparatur daerah.
Kolaborasi pemerintah, media, dan komunitas digital sangat penting. Masyarakat yang sadar risiko akan mempersempit ruang gerak kejahatan siber.
Pemerintah perlu memastikan bahwa pelaporan insiden secara transparan justru dipandang sebagai kontribusi memperkuat ketahanan siber nasional, bukan pelanggaran. Di sisi lain, organisasi juga harus membangun budaya keamanan siber yang inklusif, di mana pelaporan kerentanan dianggap sebagai bagian dari perbaikan sistem.
Lalu, dalam konteks mitigasi insider threat. Apakah regulasi Indonesia sudah memberikan perlindungan hukum yang memadai bagi karyawan atau praktisi siber yang melaporkan kerentanan sistem di organisasinya sendiri? Bagaimana regulasi menjamin bahwa pelaporan insiden secara transparan tidak justru menjadi bumerang hukum bagi organisasi yang melaporkannya?
Regulasi di Indonesia sebenarnya sudah mengatur perlindungan bagi pelapor insiden, tetapi implementasinya belum optimal. Diperlukan jaminan perlindungan hukum yang nyata bagi karyawan atau praktisi siber agar berani melaporkan kerentanan tanpa takut sanksi atau konsekuensi hukum.
Pemerintah perlu memastikan bahwa pelaporan insiden secara transparan justru dipandang sebagai kontribusi memperkuat ketahanan siber nasional, bukan pelanggaran. Di sisi lain, organisasi juga harus membangun budaya keamanan siber yang inklusif, di mana pelaporan kerentanan dianggap sebagai bagian dari perbaikan sistem.
Spesifik soal ketahanan siber, apa pesan utama ICSF di awal 2026 ini?
Keamanan dan ketahanan siber adalah soal kepercayaan. Kepercayaan pada teknologi, pada manusia, dan pada sistem. Jika Indonesia mampu menyinergikan ketiganya melalui kebijakan berkelanjutan, inovasi, dan kolaborasi, kita tidak hanya akan bertahan, tetapi juga unggul di era digital global. ■
Digionary:
● Keamanan siber: Upaya melindungi sistem, jaringan, dan data dari serangan digital, peretasan, dan penyalahgunaan akses.
● Ketahanan siber: Kemampuan organisasi atau negara untuk tetap beroperasi, pulih, dan beradaptasi setelah terjadi insiden siber.
● Insider threat: Ancaman yang berasal dari orang dalam organisasi yang memiliki akses sah ke sistem, baik disengaja maupun karena kelalaian.
● Unified Cyber Command: Mekanisme komando terpadu lintas lembaga untuk merespons insiden siber secara cepat, terkoordinasi, dan profesional.
● Cyber insurance: Produk asuransi yang melindungi perusahaan dari kerugian finansial akibat serangan atau insiden siber.
● Literasi siber: Tingkat pemahaman masyarakat atau SDM tentang cara aman beraktivitas di ruang digital, termasuk menjaga data dan privasi.
● Transformasi digital: Perubahan proses bisnis dan layanan dengan memanfaatkan teknologi digital untuk meningkatkan efisiensi dan inovasi.
● Artificial Intelligence (AI): Teknologi kecerdasan buatan yang mampu menganalisis data, belajar, dan mengambil keputusan secara otomatis.
● Social engineering: Teknik manipulasi psikologis untuk menipu korban agar memberikan akses atau informasi rahasia.
● Malware canggih: Perangkat lunak berbahaya dengan teknik kompleks yang dirancang untuk menyusup dan merusak sistem.
● Tata kelola siber: Kerangka kebijakan, prosedur, dan pengawasan dalam mengelola keamanan siber di organisasi atau negara.
● Regulasi siber: Aturan hukum yang mengatur perlindungan data, keamanan sistem, dan penanganan kejahatan siber.
● UU PDP: Undang-Undang Perlindungan Data Pribadi yang mengatur hak pemilik data dan kewajiban pengelola data di Indonesia.
● UU ITE: Undang-Undang Informasi dan Transaksi Elektronik yang mengatur aktivitas digital dan penegakan hukum di ruang siber.
● Pelaporan insiden siber: Proses melaporkan kejadian serangan atau kebocoran sistem kepada otoritas atau pihak terkait.
● Budaya keamanan siber: Kebiasaan dan kesadaran kolektif dalam organisasi untuk selalu menjaga keamanan digital dalam aktivitas sehari-hari.
● Human governance: Pendekatan pengelolaan keamanan yang menekankan peran manusia, etika, dan perilaku dalam sistem digital.
● Diplomasi siber: Kerja sama antarnegara dalam berbagi informasi, strategi, dan penanganan ancaman siber lintas batas.
● Privasi data: Hak individu untuk melindungi informasi pribadinya dari penyalahgunaan atau akses tanpa izin.
● Ekosistem siber nasional: Keterpaduan peran pemerintah, swasta, akademisi, dan masyarakat dalam membangun ruang digital yang aman.
#KeamananSiber #KetahananSiber #CyberSecurityIndonesia #ICSF #ArdiSutedja #InsiderThreat #CyberInsurance #UnifiedCyberCommand #LiterasiSiber #TransformasiDigital #AISecurity #UU_PDP #UU_ITE #DataPrivacy #CyberResilience #DigitalRisk #CyberGovernance #CyberAwareness #InfoSecurity #DigitalbankID
