- Indonesia telah memiliki beragam payung hukum tentang perlindungan data pribadi tapi semua seperti sia-sia.
- Ketika terjadi kebocoran data, pemilik layanan selalu menempatkan diri sebagai korban sehingga tidak mau disalahkan.
- Banyak pekerjaan rumah yang belum rampung terkait standarisasi keamanan database di Indonesia, terutama milik pemerintah.
Kasus kebocoran data di Indonesia menjelma sebuah “kelumrahan” lantaran terlalu sering terjadi. Beragam payung hukum yang bertujuan melindungi data pribadi masyarakat semacam lancut, tak bertaring menjerat tanggung jawab pelaku dan pemilik layanan. Sia-sia belaka.
Pengalaman Dimas Nurzaman kali ini mungkin mewakili keresahan sebagian besar masyarakat yang berulang kali diganggu panggilan tak dikenal, ditargetkan menjadi korban penipuan lantaran data pribadinya tersebar luas.
Beberapa waktu lalu Dimas menerima sebuah panggilan dengan kode nomor negara Malaysia. Dimas tak curiga, ia pikir itu adalah kolega karena ia tengah bertugas di perbatasan Malaysia-Kalimantan Barat.
Ia mengusap tombol terima panggilan. Suara perempuan terdengar di seberang, menyebut lengkap nama dan domisilinya saat ini.
“Saya dari ekspedisi xxx mau mengirimkan paket yang tertinggal di bea cukai. Silahkan sebutkan Nomor Induk Kewarganegaraan (NIK) agar barang bisa segera dikirim," kata perempuan itu.
Segera otak Dimas memproses kejadian tersebut. Ia hampir saja menjadi korban penipuan data pribadi. Ia menghela napas, merasakan tak ada lagi privasi data baginya sebagai warga negara Indonesia.
Setelah kejadian itu panggilan masuk dari nomor tak dikenal, pesan singkat, bahkan chat WhatsApp bertubi-tubi masuk ke nomornya.
“Dari mana mereka bisa dapat nama lengkap, domisili, dan nomor telepon saya? Mungkin ini salah satu efek dari kebocoran data di berbagai lembaga,” ucap pria berusia 34 tahun tersebut.
Indonesia telah memiliki beragam payung hukum tentang perlindungan data pribadi. Namun semua seperti sia-sia belaka, data-data pribadi dilucuti sampai masyarakat tak tahu lagi mana informasi pribadi yang masih jadi rahasia.
Seolah tak berkaca dari kejadian lalu, pemerintah terus saja kebobolan dan tak menerapkan sanksi tegas pada pemilik layanan. Terakhir dugaan kebocoran data di aplikasi milik PT Bank Central Asia Tbk, MyBCA berupa nomor rekening dan nama lengkap pemilik rekening.
Tapi jangankan memberi sanksi pada pihak swasta, pemerintah sepertinya juga belum mampu mengamankan database di situs negara. Pada semester pertama 2023 saja sudah ada empat kebocoran database resmi milik pemerintah.
Pertama, data BPJS Ketenagakerjaan yang bocor pada 12 Maret 2023. Sebanyak 19,5 juta data pengguna BPJS Ketenagakerjaan dijual di forum gelap seharga Rp153 juta. Peretas alias hacker Bjorka membagikan 100 ribu sampel data berisi NIK, nama lengkap, tanggal lahir, alamat, nomor ponsel, alamat email, jenis pekerjaan dan nama perusahaan di BreachForums.
Berselang satu bulan, pada Mei 2023 lalu menyusul kebocoran data milik Bank Syariah Indonesia (BSI). BSI mendapat serangan siber modus pemerasan alias ransomware oleh peretas LockBit.
Total data yang dicuri mencapai 1,5 TB, termasuk 15 juta data pengguna lengkap dengan password untuk akses internal dan layanan, data pribadi nasabah serta informasi pinjaman.
LockBit sempat meminta tebusan kepada BSI sebagai kompensasi agar data tak disebar. Namun, negosiasi gagal dan LockBit menyebar data-data tersebut. Di antaranya terdapat dua tangkapan layar bertuliskan Index of/Bank_BSI/ berisi dokumen berjudul Berkas Rumah Dinas BSI, Dokumen Syarat Akad_19 Apr 2022 dan ID CARD TAD BSM.
Kemudian 5 Juli 2023 lalu Bjorka kembali mengunggah data 34.900.867 paspor WNI dengan sampel terkompresi 1 GB. Data yang bocor adalah nomor paspor, tanggal berlaku paspor, nama lengkap, tanggal lahir, jenis kelamin dan lain sebagainya.
Meski baru terpublikasi pada Juli, Direktur Jenderal Imigrasi, Silmy Karim mengakui kebocoran data sudah terjadi pada Januari 2022.
Sebelumnya juga ada dugaan kebocoran data 34 juta data paspor warga Indonesia. Bjorka menjual data tersebut seharga US$10 juta atau sekitar Rp150 juta untuk data yang telah diformat CSV berukuran 4 GB.
Terakhir, data kependudukan dan catatan sipil (Dukcapil) yang bobol pada 16 Juli 2023 lalu. Kebocoran tersebut melibatkan 337 juta data Dukcapil Kementerian Dalam Negeri (Kemendagri) yang terpublikasi di forum hacker BreachForums.
Data yang bocor terdiri dari nama, nomor induk kependudukan (NIK), nomor Kartu Keluarga, tanggal lahir, alamat, nama ayah, nama ibu, NIK ibu, nomor akta lahir, nomor akta nikah dan lainnya.
Masyarakat Muskil Menuntut
Anehnya, meskipun kebocoran data sudah sering terjadi di Indonesia, tak ada langkah serius pemilik layanan untuk memperbaiki layanan keamanan mereka. Saat terjadi kebocoran, masyarakat juga tak pernah diberi informasi rinci soal data siapa dan apa saja yang bocor.
Padahal jika informasi tersebut diketahui, pemilik layanan, pemerintah, dan masyarakat bisa bersama-sama bisa melakukan langkah perlindungan data lain. Misalnya, mengganti cara otentikasi dan otorisasi bukan dengan menyebut nama ibu kandung atau pemerintah memfasilitasi penggantian NIK.
Sayang, selama ini ketika terjadi kebocoran data pemilik layanan selalu menempatkan diri sebagai korban. Mereka tak pernah mau disalahkan apalagi dituntut pertanggung jawaban, meskipun masalah kebocoran data adalah tanggung jawab pemilik layanan akibat sistem perlindungan data yang lemah.
Sejatinya ketika ketika menjadi korban kebocoran data, masyarakat dapat menuntut dan melakukan pengaduan. Hak tersebut tertuang dalam Peraturan Menteri Komunikasi dan Informatika Nomor 20 Tahun 2016 tentang Perlindungan Data Pribadi Dalam Sistem Elektronik TEU.
Pasca mendapat informasi kebocoran data pribadi di sistem elektronik, masyarakat dapat melakukan pengaduan ke Kominfo sebagai lembaga pengawas Penyelenggara Sistem Elektronik (PSE). Aturan ini kemudian dikuatkan oleh Pasal 46 Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP).
