arrow_back Semua artikel
// Artikel

Kepatuhan BSSN & SPBE: Pengujian Keamanan untuk Sistem Pemerintah Indonesia

Dipublikasikan 8 Juni 2026

Sistem elektronik pemerintah Indonesia — yang berada di bawah kerangka SPBE — diharapkan menjalani asesmen keamanan sesuai risikonya, dengan BSSN menetapkan standar nasional dan UU PDP melindungi data warga yang disimpannya. Penetration testing adalah cara harapan itu dipenuhi dalam praktik: ia membuktikan apakah sebuah sistem benar-benar mampu menahan serangan sebelum beroperasi atau menangani data sensitif. Panduan ini menjelaskan apa yang dipersyaratkan SPBE dan BSSN, di mana pengujian berperan, dan bagaimana asesmen yang patuh disampaikan secara jujur.

Jika Anda mengelola sistem pemerintah atau membangun untuk sektor publik, inilah latar regulasi yang Anda hadapi — dan ia berpasangan langsung dengan panduan kami yang lebih luas tentang penetration testing dan kepatuhan di Indonesia (OJK, UU PDP, ISO 27001).

Apa itu SPBE dan BSSN

SPBE (Sistem Pemerintahan Berbasis Elektronik) adalah kerangka pemerintahan digital Indonesia, ditetapkan melalui Peraturan Presiden Nomor 95 Tahun 2018. Ia mengatur cara badan pemerintah membangun dan menjalankan layanan elektronik, dan keamanan adalah salah satu domain eksplisitnya — sistem diharapkan menerapkan kontrol keamanan informasi yang proporsional dengan risikonya.

BSSN (Badan Siber dan Sandi Negara) adalah lembaga yang menetapkan dan mengawasi standar keamanan tersebut. Ia menerbitkan panduan, menjalankan instrumen kematangan keamanan informasi nasional (Indeks KAMI), dan menjadi titik acuan atas makna “cukup aman” bagi sistem pemerintah dan kritikal. Ketika sebuah regulasi menyatakan suatu sistem harus diasesmen, standar BSSN-lah yang umumnya menjadi tolok ukurnya.

Mengapa sistem pemerintah perlu penetration testing

Sistem pemerintah adalah target bernilai tinggi sekaligus kegagalan berkonsekuensi tinggi. Tiga tekanan menjadikan pengujian sebuah kebutuhan praktis, bukan formalitas:

  • Data warga di bawah UU PDP. Layanan pemerintah menyimpan data pribadi berskala populasi, dan UU PDP (UU Nomor 27 Tahun 2022) menjadikan perlindungannya kewajiban hukum dengan sanksi nyata. Pelanggaran bukan lagi sekadar memalukan — ia adalah liabilitas.
  • Ekspektasi asesmen berbasis risiko. Sistem elektronik berisiko lebih tinggi diharapkan diasesmen keamanannya, dan penetration test adalah bukti paling langsung bahwa kontrol benar-benar bertahan terhadap penyerang nyata — bukan sekadar ada di atas kertas.
  • Sebelum go-live. Menempatkan layanan pemerintah yang menghadap publik secara daring tanpa lebih dulu membuktikan ia mampu menahan serangan adalah celah yang bisa berakhir jadi berita utama. Menguji sebelum peluncuran adalah tempat termurah untuk menemukan dan memperbaiki masalah.

Kerangka yang dipetakan asesmen yang baik

Asesmen keamanan pemerintah hanya berguna bila keluarannya berbicara dalam bahasa auditor dan regulator. Engagement yang serius memetakan temuan ke kerangka yang berlaku:

  • Domain keamanan SPBE (Perpres 95/2018) — persyaratan pemerintah yang menyeluruh.
  • Indeks KAMI — instrumen self-assessment BSSN untuk kematangan keamanan informasi, berguna untuk membandingkan posisi Anda.
  • ISO/IEC 27001 — standar internasional untuk sistem manajemen keamanan informasi, banyak dipakai sebagai baseline kontrol.
  • UU PDP (No. 27/2022) — kewajiban perlindungan data pribadi.

Memetakan tiap temuan kembali ke kerangka ini berarti laporan menjawab bukan hanya “apakah sistem ini aman?” melainkan “apakah ia memenuhi standar yang menjadi tolok ukur kami?”

Bagaimana asesmen yang patuh disampaikan — secara jujur

Inilah bagian yang kami sampaikan secara transparan. Warpstar adalah kolektif independen, bukan entitas berlisensi BSSN — dan kami tidak mengklaim sertifikasi yang tidak kami miliki. Yang kami lakukan adalah pekerjaan teknisnya: menyusun ruang lingkup engagement, memetakan permukaan serangan, dan menjalankan penetration test sesuai metodologi yang diakui, dengan temuan dipetakan ke kerangka di atas.

Bila sebuah engagement secara khusus memerlukan penyampaian atau pengesahan formal oleh penyedia berlisensi BSSN, kami menyampaikannya bermitra dengan firma berlisensi. Pembagiannya jelas: Warpstar menyusun ruang lingkup dan menjalankan asesmen teknis; mitra berlisensi menyediakan penyampaian yang teregulasi. Anda selalu tahu persis siapa memegang kredensial mana, dan Anda mendapat hasil yang memenuhi persyaratan tanpa harus merangkainya sendiri.

Kejujuran ini disengaja. Vendor yang membesar-besarkan sertifikasinya adalah vendor yang akan membesar-besarkan temuannya — dan dalam konteks pemerintah, klaim kredensial palsu adalah liabilitas yang tak ingin Anda dekatkan ke berkas kepatuhan Anda.

Apa yang Anda dapatkan

Asesmen pemerintah yang patuh menghasilkan laporan yang, untuk tiap temuan, memberi proof of concept yang dapat direproduksi, peringkat keparahan (lihat cara kami menilai dengan CVSS), remediasi konkret, dan pemetaan ke kerangka yang relevan agar tahan diperiksa auditor. Kedalaman akses membentuk cakupannya — lihat jenis-jenis penetration testing — dan ruang lingkup menentukan biayanya, bukan tarif datar.

Kesimpulan

SPBE menetapkan ekspektasinya, BSSN menetapkan tolok ukurnya, dan UU PDP menaikkan taruhannya — sistem elektronik pemerintah membutuhkan asesmen keamanan nyata, dan penetration testing adalah cara Anda membuktikan kontrol Anda bertahan. Kami membawa pekerjaan teknisnya dan model penyampaian yang jujur: kami menjalankan asesmennya, dan bila tanda tangan berlisensi BSSN diperlukan, mitra berlisensi menyediakannya. Tanpa kredensial yang dibesar-besarkan, hanya hasil yang memenuhi persyaratan.

Sedang menggarap sistem pemerintah atau sektor publik? Hubungi kami dan kami susun asesmen yang sesuai dengan regulasi yang Anda jawab.

Pertanyaan yang sering diajukan

Apa itu SPBE dan kaitannya dengan keamanan? add

SPBE (Sistem Pemerintahan Berbasis Elektronik) adalah kerangka pemerintahan digital Indonesia, ditetapkan melalui Peraturan Presiden Nomor 95 Tahun 2018. Keamanan adalah salah satu domain intinya: sistem elektronik pemerintah diharapkan menerapkan kontrol keamanan informasi dan menjalani asesmen sesuai tingkat risikonya, dengan BSSN menyediakan standar dan panduan nasional yang menjadi acuan asesmen tersebut.

Apakah BSSN mewajibkan penetration testing untuk sistem pemerintah? add

BSSN, Badan Siber dan Sandi Negara, menetapkan standar keamanan untuk sistem elektronik pemerintah dan kritikal serta mendorong asesmen keamanan — termasuk penetration testing dan self-assessment Indeks KAMI — khususnya untuk sistem berisiko lebih tinggi dan sebelum sistem penting beroperasi. Kewajiban persisnya bergantung pada klasifikasi risiko sistem dan regulasi terkait, sehingga ruang lingkup yang tepat ditentukan kasus per kasus.

Apakah Warpstar tersertifikasi BSSN? add

Tidak. Warpstar adalah kolektif independen, bukan entitas berlisensi BSSN, dan kami tidak mengklaim sertifikasi yang tidak kami miliki. Bila sebuah engagement memerlukan penyampaian atau pengesahan formal oleh penyedia berlisensi BSSN, kami menyampaikannya bermitra dengan firma berlisensi — Warpstar menyusun ruang lingkup dan menjalankan asesmen teknis, dan mitra berlisensi menyediakan penyampaian yang teregulasi. Kami transparan soal pembagian ini agar Anda selalu tahu siapa memegang apa.

Kerangka apa yang berlaku untuk keamanan sistem pemerintah Indonesia? add

Yang paling relevan adalah domain keamanan SPBE (Perpres 95/2018), self-assessment Indeks KAMI dari BSSN untuk kematangan keamanan informasi, ISO/IEC 27001 untuk sistem manajemen keamanan informasi, dan UU PDP (UU Nomor 27 Tahun 2022) untuk perlindungan data pribadi. Asesmen keamanan pemerintah biasanya memetakan temuan ke kerangka ini agar hasilnya bermakna bagi auditor dan regulator, bukan hanya bagi engineer.

Punya sistem yang perlu diuji?

> Hubungi_Kami