KICKOFF MEETING KOMDIGI: KAJIAN SISTEM KEAMANAN EKOSISTEM INFRASTRUKTUR AI

1. LATAR BELAKANG & PAPARAN KOMDIGI

 Pemaparan kajian oleh DitJen Ekosistem Digital, Kementrian Komdigi pada KICKOFF MEETING KAJIAN SISTEM KEAMANAN EKOSISTEM INFRASTRUKTUR AI di Hotel Santika, Bogor (27/1/2026).

Mengundang stakeholder Pokja Peta Jalan AI, Komdigi, beberapa diantaranya yang hadir di Hotel Santika antara lain dari BSSN, Operator Telekomunikasi, Data Center providers & Asosiasi terkait.   Dalam rangka penyusunan Kajian Kebijakan AI terkait Infrastruktur, Teknologi Baru, Data dan Keamanan Cyber, oleh Direktorat Kecerdasan Artifisial dan Ekosistem Teknologi Baru, Direktorat Jenderal Ekosistem Digital, Kementerian Komunikasi dan Digital.

Perkembangan AI sangat pesat didunia, sejak AI beralih dari AI Winter memasuki AI Summer. Banyak aplikasi AI yang sangat bermanfaat bagi manusia memberdayakan dan augmented manusia, namun disisi lain banyak juga adversaries (musuh), pesaing kita atau para packer di Darkweb juga memanfaatkan AI untuk meningkatkan kemempuan serangan mereka.

Disebelah kanan atas adalah mulai semaraknya penjualan Cyber Crime Tools di Darkweb misalnya Ransomware as a Service (RSaaS) dimana hackers Pemula (Script Kiddies) yang tidak punya pengalaman dapat membeli tools yang canggih dalam bentuk semacam franchise atau membayar setiap alat yang di beli untuk serangan misalnya ada RSaaS, Hacking as a Service, Phishing as a Service,DDOS As a Service, & Malware Expoit kit yang dapat dipesan di Darkweb. Bagi yang ahli dengan Linux/ Unix memiliki banyak tools² gratis baik untuk hackers ataupun Security Engineer atau PenTester membangun Firewall gratis. Hingga Info Stealers & Credential Deft, tools untuk mencuri identitas dan masuk kedalam sistems bypassing login.

1. MASALAH UTAMA

Sebagai pembuka Rapat, Komdigi juga memberikan paparan mengenai masalah utama yang dihadapi antara lain:

• Membangun kesadaran Keamanan: Infrastruktur AI mencakup sumber daya komputasi, data, model dasar, & platform pendukung sering kali dipersepsikan semata- mata sebagai enabler  inovasi & efisiensi, tanpa pemahaman memadai mengenai potensi risiko keamanan, dampak sistemik, serta implikasi lintas sektor yg timbul Ketiadaan kesadaran ini ciptakan kesenjangan persepsi antara pemerintah, pelaku industri, & masyarakat, sehingga risiko AI tdk dipahami se-cara konsisten & cenderung ditangani secara reaktif.
• Membangun kapasitas Keamanan:  Perkembangan AI yang cepat tidak diimbangi dengan kesiapan SDM, Kelembagaan, & mekanisme tata kelola, baik di pemerintah maupun industri. Regulator sering  menghadapi keterbatasan pengetahuan teknis dan alat evaluasi, sementara pelaku industri khususnya usaha rintisan dan pengembang lokal tidak selalu memiliki kemampuan untuk menerapkan praktik keamanan yang kompleks. (termasuk updating teknologi-fisik dan virtual)
• Hindari beban regulasi yang hambat inovasi: Regulasi yg dirancang tanpa pertimbangkan dinamika inovasi & keragaman actor berpotensi ciptakan beban kepatuhan yg berlebihan, meningkatkan hambatan masuk pasar, serta turunkan daya saing ekosistem AI nasional. Terkait infrastruktur AI, regulasi yang kaku dapat hambat Teknologi R&D, solusi baru, sekaligus hindari yurisdiksi regulasi yg dianggap tdk kondusif. AI berisiko tinggi: Keluaran, Keputusan, atau kegagalan system AI berpotensi menimbulkan dampak signifikan terhadap keselamatan manusia, hak dasar warga negara, keberlanjutan layanan public,  serta stabilitas sosial & keamanan nasional. AI berisiko tinggi dipandang sebagai masalah yang dampak-nya bersifat sistemik & tidak dapat diserahkan sepenuhnya pada mekanisme pasar atau pengaturan sukarela.

• Mekanisme pengawasan & tindak lanjut: Agar panduan sukarela & regulasi wajib dalam ekosistem infrastruktur AI berjalan efektif & tidak berhenti pada tataran normatif. Risiko AI bersifat dinamis sepanjang siklus hidup sistem, diperlukan pengawasan ketat untuk memantau kepatuhan, deteksi potensi risiko & penyalahgunaan, serta menilai dampak penggunaan AI, khususnya sektor AI berisiko tinggi. Untuk  pastikan bahwa temuan pengawasan ditanggapi melalui tindakan korektif, penyesuaian kebijakan, atau penegakan hukum yang proporsional, sehingga jaga akuntabilitas, kepercayaan ystem,& keberlanjutan tata kelola AI.
• Cost Initial: Biaya awal untuk bangun & menyiapkan fondasi keamanan sebelum ystem AI dioperasikan. Biaya ini mencakup, pengadaan infrastruktur komputasi yg aman, desain arsitektur keamanan, penerapan mekanisme perlindungan data & model, pengembangan kebijakan & prosedur keamanan AI, serta pelaksanaan asesmen awal seperti risk assessment & impact assessment pradeployment.
• Operational Cost: Biaya berkelanjutan utk jaga, pantau, & pastikan keamanan sistem AI selama siklus hidup operasionalnya. Meliputi biaya monitoring & logging, pembaruan & patch keamanan, audit& kepatuhan regulasi, uji ulang model (drift, bias, robustness), respons insiden & pemulihan layanan, serta tingkatan kapasi-tas SDM keamanan. Operational cost bersifat berulang & adaptif, meningkat seiring eskalasi ancaman siber& komplek-sitas penggunaan AI, &  jadi indikator utama keberlan-jutan keamanan ekosistem AI dalam jangka menengah–panjang.

1. KEBUTUHAN UTAMA

Komdigi melihat bagaimana interaksi dari Ekosistem Infrastruktur AI ini dari stakeholder utama nya:

1. Pengguna (Individu / Organisasi):

1.1. Utilitas & Kualitas layanan:

• Akurasi & Keandalan (Reliability): Hasil output AI harus akurat, relevan, dan minim halusinasi, terutama untuk pengambilan keputusan bisnis atau medis.
• Transparansi Biaya dan Kinerja: Kejelasan mengenai metrik kinerja (seperti latensi dan throughput) sesuai dengan harga yang dibayarkan.
• Kemudahan Integrasi: Layanan AI harus mudah dihubungkan dengan sistem IT yang sudah ada tanpa memerlukan perombakan infrastruktur besar-besaran.
• Ketersediaan Layanan (Availability): Akses layanan yang stabil tanpa gangguan (downtime), dijamin melalui Service Level Agreement (SLA).
• Layanan yang Kompetitif

 1.2  Perlindungan Hak & Keamanan Data

• Privasi Data (Data Privacy):  Jaminan bahwa data sensitif yang diinput ke sistem AI tidak akan bocor, dilatih ulang (retrained) tanpa izin, atau disalahgunakan (sesuai UU PDP).
• Hak atas Penjelasan (Right to Explanation):  Hak untuk mengetahui mengapa AI mengambil keputusan tertentu (misal: mengapa kredit ditolak) untuk hindari perlakuan tidak adil/ bias.
• Perlindungan dari Bias & Diskriminasi: Jaminan bahwa output AI tidak merugikan kelompok tertentu berdasarkan ras, gender, atau agama.
• Mekanisme Ganti Rugi (Redress): Adanya jalur pengaduan dan kompensasi yang jelas jika terjadi kerugian akibat kesalahan sistem AI.

2. LEMBAGA / REGULATOR

2.1 Keamanan Nasional & Ketertiban Publik

• Kedaulatan Informasi: Mencegah penyebaran konten berbahaya (deepfake pemilu, disinformasi) yang dapat memicu kerusuhan sosial.
• Ketahanan Infrastruktur Kritis (CII Protection): Memastikan sektor vital (listrik, perbankan) yang menggunakan AI terlindungi dari serangan siber yang dapat melumpuhkan negara.
• Penegakan Hukum (Law Enforcement): Kemampuan melakukan audit forensik digital pada sistem AI jika terjadi tindak pidana siber.
• Perlindungan Hak Dasar Warga: Memastikan penggunaan AI tidak melanggar HAM, privasi, dan prinsip non-diskriminasi.

2.2 Pertumbuhan Ekonsistem Ekonomi Digital

• Iklim Investasi yang Kondusif: Menciptakan regulasi yang memberikan kepastian hukum agar investor global mau membangun infrastruktur (Data Center/Cloud) di Indonesia.
• Pengembangan Inovasi Lokal: Mendorong tumbuhnya startup AI lokal agar Indonesia tidak hanya menjadi pasar/konsumen teknologi asing.
• Efisiensi Pengawasan: Memiliki mekanisme pengawasan yang efektif namun tidak membebani industri dengan biaya tinggi yang mematikan bisnis.
• Standar Kompetensi SDM: Memastikan ketersediaan talenta auditor dan ahli keamanan AI untuk mendukung industry berbasis sertifikasi Nasional BNSP (Badan Nasional Sertifikasi Profesi) menghasilkan SDI yang punya (1) Awareness tahu & sadar; (2) Capacity mampu menggunakan. & mengelola.

3. 3. PENYEDIA INFRASTRUKTUR AI

3.1 Dominasi Pasar & Akselerasi Inovasi:

• Kecepatan Akses Infrastruktur Komputasi (Time-to-Market): Akses cepat ke GPU berkinerja tinggi & Data Center dng latensi rendah untuk melatih & deploy model lebih cepat dari kompetitor.
• Fleksibilitas Pengembangan:  Inginkan regulasi yg tdk kaku (rigid) agar bebas bereksperimen dng fitur baru tanpa hambat birokrasi perizinan yg berlebihan (pendekatan pro-innovation); (3) Expertise – mampu menganalisa & merancang solusi untuk Penyedia.
• Perlindungan HKI( Trade Secret & IP Protection): Jaga kerahasiaan bobot model (model weight)& algoritma proprietary dari pencurian atau reverse engineering oleh kompetitor.
• Efisiensi Biaya Operasional: Minimalkan biaya kepatuhan (compliance cost)& biaya energi infrastruktur (Green AI) untuk jaga margin keuntungan.
• Resource yang Kompetitif: Penyedia AI tidak hanya tentukan algoritma, tetapi juga penguasaan resource komputasi pelatihan, inferensi, dan pengamanan model AI secara andal, efisien, dan berkelanjutan, serta menciptakan entry barrier

3.2 Stabilitas Operasional & Mitigasi Resiko Legal

• Ketahanan Sistem (Resilience):  Memastikan infrastruktur tidak down akibat serangan siber (DDoS, model poisoning) yang dapat merusak reputasi layanan (SLA Uptime 99.9%).
• Kepastian Hukum (Legal Certainty): Membutuhkan aturan main yang jelas mengenai batasan kewajiban (liability) jika AI melakukan kesalahan (misal: halusinasi), agar tidak terkena tuntutan hukum tak terbatas.
• Keamanan Rantai Pasok (Supply Chain Security): Memastikan komponen pihak ketiga (library, API) yang digunakan aman dan tidak menyusupkan malware ke dalam sistem mereka.
• Kepatuhan Standar Global: Memenuhi standar internasional (seperti ISO/IEC 42001) agar produknya dapat diterima di pasar global dan oleh klien multinasional. Cost (initial cost dan operational cost)

1. USULAN ABDI (Asosiasi Big Data & AI)

Pada kickoff meeting Penguatan sistem keamanan ekosistem infrastruktur ai nasional berbasis end-to-end ai security stack:

• ABDI memandang keamanan ekosistem infrastruktur AI sebagai fondasi utama kedaulatan AI nasional, bukan sekadar isu teknis, tetapi isu strategis nasional.
• Infrastruktur AI (GPU, DC, cloud, data pipeline, model, dan network) harus diperlakukan sebagai Critical Digital Infrastructure (CDI).

ABDI mengusulkan agar Kajian Sistem Keamanan Ekosistem Infrastruktur AI Nasional dibangun di atas satu Platform End-to-End 7 AI Security Stacks atau Layers, yang mencakup seluruh siklus dan lapisan (layer) infrastruktur AI nasional sebagai berikut:

1. Physical & Facility Security Layer

• Keamanan fisik/ lokasi  data center AI
• Ketahanan fisik /lokasi dan mitigasi bencana
• Keamanan ketersediaan Energi dan Kelistrikan
• Disaster Recovery Center (DRC) dan Redundancy

2. Compute & Accelerator Security Layer

• Keamanan dan Maintenance GPU, TPU, dan HPC
• Supply chain security Hardware & Suku Cadang serta supplies
• Trusted hardware & secure boot, firmware integrity
• Asset registry&  mapping compute nasional

3. Data Infrastructure Security Layer

• Data Classification nasional – Data Privacy, Sensitive & Trade Secret.
• Data governance dan data sovereignty comply UU PDP
• Enkripsi data (data at-rest, in-use, in-transit)
• Data pipeline security (ingestion–training–inferencing) & anti Data Poisoning
• Integrasi Post-Quantum Cryptography (PQC) for Future Quantum Proof Encryption

4. Model & AI System Security Layer

• Keamanan proses training dan inferencing di AI DC atau di AI Clouds
• Model integrity, trusted & model protection
• Model theft dan model poisoning mitigation
• Explainable AI (XAI) untuk auditabilitas dan transparansi model & data hindari bias.
• Logging, traceability, dan accountability

5. Network, Cloud & Cross-Border Layer

• Keamanan cloud AI & network
• Pengaturan cross-border data & model flow
• Sovereign cloud framework
• Interkoneksi global dan risiko geopolitik

6. Governance, Risk & Compliance Layer

• Tata kelola AI nasional
• Risk management framework
• Audit dan compliance dengan UU PDP
• Incident response AI mengikuti UU PDP
• Regulatory sandbox

7. Human Factor & Institutional Capacity Layer

• SDM Kompentensi AI infrastructure berbasis Sertifikasi Nasional BNSP: AI Inrastructure Engineer, AI Security Specialist; AI Aware DPO (Data Protection Officer) & AI governance Officer; Operator AI DC & AI Clouds
• SDM Kompetensi  AI security – Blue Team, Red Team, CSIRT
• Literasi AI governance & UU PDP (DPO)
• Menegakkan Budaya keamanan Digital & Siber

 REKOMENDASI KEBIJAKAN STRATEGIS (BERBASIS AI SECURITY  STACK)

Kajian Sistem Keamanan Ekosistem Infrastruktur AI Nasional memcakup 2 (dua) kebijakan strategis mencakup 7 (tujuh) AI Security Stacks atau Layer (lapisan) menciptakan Defense in Dept atau pertahanan berlapis lapis:

A. Standar Keamanan Minimal (SKM) Infrastruktur AI berbasis Risk Manajemen

SKM diterapkan langsung pada End-to-End 7 AI Security Stack/Layers, sehingga setiap layer memiliki standar minimum atau SKM yang jelas, terukur, dan dapat diaudit, memenuhi “Trusted & Secure AI Infrastructure Indonesia” dan konsep Defense in Dept atau Pertahanan berlapis lapis. Di EU AI Acts Model AI di klasifikasikan berdasarikan High, Medium Low Risk.

Karakteristik SKM:

• Alat peningkatan kepercayaan investor & global trust framework
• Mekanisme sertifikasi standar teknis berbasis resiko & daya saing global
• SKM berbasis Penilaian risiko (risk assessment): tinggi, menengah & rendah.
• Berjenjang & berlapis²sesuai sektor dan level kritikalitas (Défense in Depth )
• Tidak over-regulating & memberatkan industry & Adaptif terhadap trend teknologi. Diharapkan dapat memberikan insentif, misalnya penempatan DC Clouds didalam negeri mendapatkan insentif misalnya discount pajak.

B. National AI Infrastructure Register & Mapping

Register atau Pemetaan AI Infrastructure nasional yang memetakan:

• Data Center AI
• GPU/HPC cluster
• Cloud AI
• AI system strategis nasional dan SDM berbasis Kompetensi.

Fungsi utama:

• Early warning system mengawasi  resiko systemic AI Infrastructure nasional
• Inventarisasi & Mapping dasar pengambilan kebijakan keamanan dan investasi
• Instrumen koordinasi Komdigi dan BSSN untuk Ekosistem AI Nasional