AI Risiko Tinggi Dalam RUU Keamanan dan Ketahanan Siber

PEMERINTAH dan Dewan Perwakilan Rakyat saat ini tengah intens mempersiapkan Rancangan Undang-Undang Kemananan dan Ketahanan Siber (RUU KKS). Regulasi ini telah ditetapkan menjadi PROLEGNAS Prioritas 2025.

RUU KKS memiliki misi besar dan strategis untuk melindungi masyarakat, mengawal kepentingan nasional dalam keamanan dan ketahanan siber, khususnya menyangkut infrastruktur informasi krtikal (IIK) dengan tetap mendorong inovasi teknologi.

Regulasi KKS menjadi hal mendesak mengingat di level global, IIK kerap menjadi sasaran serangan siber. Terakhir, perusahaan penerbangan Qantas mengonfirmasi serangan siber yang telah membocorkan 6 juta data pelanggan.

Dilansir The Guardian “Qantas confirms cyber-attack exposed records of up to 6 million customers” (02/07/2025), maskapai penerbangan tersebut mengatakan, sistem yang terkena dampak kini telah diatasi dan sistemnya diamankan setelah terjadi pelanggaran data.

Mengingat keamanan siber terkait erat dengan teknologi Artificial Intelligence (AI), maka menjadi penting untuk mengintegrasikan materi muatan AI ke dalam RUU KKS, minimal sebagai payung hukum.

AI risiko tinggi

Perkembangan AI begitu spektakuler membentuk ekosistem digital sosial baru. Regulasi dan kebijakan tepat dan proporsional dibutuhkan untuk pemberi arah agar ekosistem yang terbentuk memberi manfaat sebesar-besarnya bagi kepentingan manusia.

Perlu dipahami, membiarkan tumbuh kembang ekosistem digital berbasis AI tanpa regulasi dan etika, akan membentuk ekosistem yang bakal sangat sulit diatur dan diregulasi.

Regulasi diperlukan sebagai dasar pijak keberadaan AI yang memprioritaskan kemaslahatan dan keselamatan manusia.

Teknologi AI dan berbagai inovasinya harus dikembangkan termasuk dalam mendukung keamanan dan ketahanan siber. Regulasi harus dibangun dengan tetap membuka ruang lebar inovasi dan mendukung penerapannya untuk kemanfaatan manusia.

Uni Eropa bisa jadi contoh kawasan yang memiliki regulasi komprehensif tentang AI. Mereka dengan cepat secara sistemik merespons perkembangan AI, karena menyadari potensi manfaat sekaligus risikonya yang besar.

Uni Eropa seperti kita ketahui telah mengesahkan EU Artificial Intelligence Act (EU AIA), regulasi AI pertama dan terlengkap di dunia yang secara khusus mengatur tata kelola AI.

Salah satu pasal kunci dalam EU AIA adalah Pasal 43 Act, yang mengatur sistem AI berisiko tinggi. Sistem AI ini harus menjalani proses penilaian kesesuaian sebelum digunakan dan dipasarkan secara luas.

Sistem AI dikategorikan berisiko tinggi jika penggunaannya dapat berdampak besar terhadap keselamatan atau hak asasi manusia.

AI yang digunakan untuk diagnosis medis secara otomatis adalah contohnya. Model AI ini dianggap berisiko tinggi karena dapat membahayakan pasien dan berakibat fatal jika hasilnya keliru. Hal ini tentu akan berkorelasi dengan keselamatan pasien.

AI berisiko tinggi lainnya adalah sistem pengenalan wajah real-time yang digunakan aparat penegak hukum. Sistem AI ini jika tak dikelola dengan baik, maka rentan mengakibatkan salah identifikasi. Hal ini dapat mengancam pelanggaran privasi dan HAM.

Contoh lain AI berisiko tinggi ketika digunakan dalam proses rekrutmen tenaga kerja. AI model ini jika tak dikelola dengan baik, maka rentan membuat luaran algoritma diskriminatif atau bias.

Di bidang lain, menyangkut industri keuangan. Sistem AI yang digunakan dalam skor kredit otomatis, berpotensi mempersulit akses UKM terhadap layanan keuangan.

AI berisiko tinggi juga dapat mencakup sistem AI yang digunakan untuk mengamankan infrastruktur informasi kritikal yang sangat memengaruhi layanan publik, seperti layanan energi, tenaga listrik, air, telekomunikasi, pasokan pangan, sistem keamanan nasional dan pelindungan masyarakat pada umumnya.

Berkaca dari EU AIA, karena potensi dampak sedemikian besar, maka Uni Eropa menerapkan kewajiban hukum yang ketat untuk menjamin keamanan, dan akuntabilitas teknologi ini.

Pendekatan pada level hilir (downstream) saja sangatlah tak cukup. Diperlukan pendekatan hulu (upstream), dan pendekatan rentang tengah (midstream).

Untuk menjamin keamanan siber pada IIK, penyedia sistem AI berisiko tinggi harus membuktikan kepatuhan mereka terhadap standar AI yang memenuhi kriteria keamanan dan keselamatan siber.

Pasal 43 EU AIA menetapkan dua jalur pengendalian internal bagi mereka yang sudah menerapkan standar teknis yang diakui, dan penilaian eksternal oleh lembaga independen bagi yang belum menerapkan standar teknis ini.

Regulasi itu juga menekankan, jika penyedia belum mengikuti standar, maka keterlibatan lembaga sertifikasi menjadi wajib. Pendekatan ini mencerminkan keseimbangan antara fleksibilitas dan akuntabilitas.

Pelaku industri di satu sisi diberi keleluasaan berinovasi, namun tetap harus menjamin bahwa sistem AI-nya tidak menimbulkan bahaya bagi pengguna atau publik.

Tidak semua sistem AI berisiko tinggi memiliki tingkat bahaya yang sama. Untuk kategori tertentu seperti sistem yang digunakan dalam pelatihan vokasi atau pendidikan, EU AIA hanya mewajibkan pengendalian internal tanpa keterlibatan pihak ketiga.

Ketentuan ini menunjukkan bahwa regulasi dibuat proporsional. Tidak semua AI perlu diuji layaknya alat bedah. Namun semua tetap harus bisa mempertanggungjawabkan dampaknya.

Untuk level Midstream Regulasi Uni Eropa juga telah mengantisipasi. Layaknya manusia, AI dapat terus belajar seiring waktu. Jika perubahan perilakunya sudah diantisipasi dan terdokumentasi sejak awal, maka tidak perlu penilaian ulang.

Namun, jika perubahan besar tidak dirancang sebelumnya, maka tetap harus melalui prosedur evaluasi ulang. Ini menjaga keseimbangan antara perkembangan teknologi dan kepastian hukum.

Indonesia

Dalam penggunaan AI untuk sistem Keamanan dan ketahanan Siber, Indonesia sebaiknya tidak hanya mengatur masalah penggunaan AI di level downstream. Mengikuti pola dan model regulasi KKS maka pengaturan harus mencakup level upstream, midstream dan downstream.

Pentingnya mengintegrasikan materi muatan AI ke dalam RUU KKS secara multi dimensi dapat diuraikan berikut ini.

Pertama, regulasi di tahap hulu (upstream) mencakup penetapan persyaratan teknologi AI yang digunakan dalam IIK.

Penerapan model sandbox regulatory, yakni ruang uji coba yang diawasi ketat bagi pengembang AI untuk menguji teknologi mereka secara legal sebelum diluncurkan ke pasar, adalah unsur penting.

Dalam tahap ini, prinsip “AI ethics by design” penting diterapkan. Setiap sistem AI harus dirancang sejak awal untuk mencegah bias, diskriminasi, halusinasi dan manipulasi dan kerentannya terhadap serangan siber.

Kedua, tahap rentang tengah (midstream), yang menekankan pentingnya audit teknologi secara berkala.

Sistem AI, layaknya alat ukur atau alat medis, harus menjalani evaluasi berkala untuk menjamin akurasi dan kesesuaiannya dengan standar yang ditetapkan. Hal ini dapat dilakukan baik dalam bentuk asesmen mandiri atau oleh pihak independen.

Ketiga, regulasi hilir difokuskan pada implementasi AI dalam IIK. Termasuk menerapkan larangan penggunaan AI untuk digunakan sebagai instrumen serangan siber.

Sanksi tegas harus diberikan kepada pihak yang melanggar ketentuan upstream dan midstream juga pelanggaran terkait serangan siber.

Regulasi ini diperlukan untuk mendorong pemanfatan AI sebagai sistem monitoring real time, mengenali pola anomali pada IIK, dan mengotomasi pelindungan sistem seperti jaringan listrik, transportasi, atau layanan kesehatan digital.

Antisipasi bahwa AI juga dapat disalahgunakan untuk melakukan kejahatan canggih, manipulasi data, malware, hingga black out penyebab mati listrik total, serangan otonom yang mampu beradaptasi, atau memanipulasi sistem kendali infrastruktur dengan kecepatan dan kecerdikan tinggi. menegaskan pentingnya regulasi ini dalam UU KKS.

pasal ini, harus mendorong pemanfaatan AI secara sah dan bertanggung jawab untuk memperkuat ketahanan siber. Namun di sisi lain melarang keras penggunaan AI untuk tujuan destruktif terhadap infrastruktur informasi kritikal.

Ketiadaan ketentuan ini berpotensi melahirkan asimetri kekuatan digital. Di mana aktor jahat dapat menggunakan AI dengan kebebasan penuh, sementara kita belum memiliki instrumen hukum untuk mencegah dan meresponsnya secara efektif.

Siapa saja yang dengan sengaja menyalahgunakan AI untuk serangan siber IIK harus dikenai sanksi keras.

Pemerintah memiliki tanggung jawab untuk mengatur, mengawasi, dan menindak segala bentuk penyalahgunaan AI, agar teknologi ini benar-benar menjadi kekuatan pendukung keamanan siber nasional, bukan menjadi ancaman baru tak terkendali.