Di tengah gelombang transformasi digital yang terus melaju cepat, Indonesia menghadapi tantangan besar yang kerap tak terlihat di permukaan: ancaman siber yang tersembunyi dalam rantai pasokan dan firmware.
Pemerhati dan praktisi ketahanan siber, Ardi Sutedja, mengingatkan bahwa fenomena ini dikenal sebagai “Iceberg of Ignorance”, dan berpotensi mengancam kedaulatan digital Indonesia jika tidak segera diantisipasi secara menyeluruh.
“Kebanyakan organisasi hanya melihat ancaman yang muncul di permukaan, padahal justru yang paling berbahaya adalah yang tersembunyi di bawah,” ujar Ardi Sutedja, Sabtu (14/6/2025).
Menurut Ardi, konsep Iceberg of Ignorance menjelaskan bahwa lebih dari 90 persen kerentanan siber berada di level yang tidak disadari oleh manajemen puncak maupun pengambil keputusan.
Kondisi ini diperburuk dengan rantai pasokan TI yang semakin kompleks dan bergantung pada banyak pihak luar negeri.
“Ketika Anda tidak tahu dari mana saja perangkat keras dan lunak Anda berasal, maka Anda sudah membuka pintu bagi serangan siber,” lanjutnya.
Salah satu titik rawan yang sering diabaikan, kata Ardi, adalah firmware—perangkat lunak dasar yang mengendalikan fungsi perangkat keras.
Banyak organisasi, terutama di sektor infrastruktur kritis, tidak menyadari bahwa kerentanan pada firmware bisa dimanfaatkan untuk serangan jangka panjang yang sulit dideteksi.
“Kasus ransomware seperti GhostVault menjadi bukti bahwa firmware adalah celah nyata. Ini bukan cuma soal teknis, tapi juga soal strategi nasional,” jelasnya.
Badan Siber dan Sandi Negara (BSSN) sendiri telah mengidentifikasi lebih dari 10 sektor infrastruktur kritis yang rentan terhadap serangan siber, mulai dari energi, transportasi, perbankan, hingga kesehatan.
Hampir seluruh sektor vital kini terhubung secara digital, sehingga satu titik lemah dalam rantai pasokan bisa menyebabkan gangguan besar di masyarakat.
Ardi juga menyoroti insiden besar seperti serangan SUNBURST melalui pembaruan perangkat lunak SolarWinds yang menginfeksi lebih dari 18.000 entitas global.
Ia menyebut bahwa kejadian itu seharusnya menjadi peringatan keras bagi Indonesia.
Kalau negara sebesar AS saja bisa kecolongan, apalagi kita yang masih dalam tahap membangun ekosistem siber,” tegas Ardi.
Menurutnya, ketergantungan tinggi terhadap produk teknologi asing tanpa verifikasi keamanan mendalam membuat Indonesia rentan terhadap infiltrasi yang bersifat dorman dan bisa diaktifkan kapan saja.
Ardi menekankan perlunya pendekatan holistik yang mencakup tiga aspek utama: manusia, proses, dan teknologi. Salah satunya adalah dengan memperkuat kapasitas SDM melalui pelatihan kesadaran siber dan membangun incident response team yang terkoordinasi.
Ia juga mendorong pemerintah untuk segera mewajibkan penggunaan Software Bill of Materials (SBOM) bagi seluruh perangkat dan sistem yang digunakan oleh lembaga negara maupun penyedia layanan publik.
“Dengan SBOM, kita tahu komponen apa saja yang ada dalam sistem kita. Itu penting agar kita bisa tahu celah mana yang harus ditutup sebelum dimanfaatkan pihak tidak bertanggung jawab,” ungkapnya.
Ardi turut mendorong adanya regulasi yang mewajibkan sertifikasi keamanan untuk vendor asing yang memasok produk digital ke Indonesia.
Menurutnya, kemandirian digital tak akan pernah tercapai jika semua sistem bergantung pada teknologi luar tanpa pengawasan ketat.
Dalam kesimpulannya, Ardi menyebut bahwa kesadaran akan Iceberg of Ignorance harus dijadikan titik tolak untuk membangun ketahanan digital nasional.
Indonesia tidak bisa hanya menjadi konsumen teknologi tanpa memahami risiko tersembunyi di baliknya.
“Transformasi digital harus dibarengi dengan transformasi cara berpikir soal keamanan. Kalau tidak, kita sedang mempercepat kerentanan, bukan kemajuan,” pungkas Ardi.(Sumber)
