ELSAM soal PDN Diserang Ransomware: Ini Kegagalan Pemerintah

Pusat Data Nasional (PDN) sementara yang dikelola Kementerian Komunikasi dan Informatika (Kemenkominfo) dan Telkom Sigma mengalami serangan ransomware sejak 20 Juni lalu. Lembaga Studi dan Advokasi Masyarakat (ELSAM) menilai serangan yang menyebabkan gangguan layanan publik sebagai kegagalan pemerintah melindungi data pribadi.

Direktur Eksekutif ELSAM Wahyudi Djafar mengatakan dugaan kegagalan perlindungan data pribadi dari insiden PDN sementara, penanganannya dapat mengacu pada UU No. 27/2022 tentang Perlindungan Data Pribadi (PDP).

“Dugaan kegagalan perlindungan data pribadi ini, berangkat dari kemungkinan besarnya pemrosesan data-data pribadi warga negara yang dikelola oleh berbagai kementerian/lembaga, dan melakukan penyimpanan data di PDN sementara,” kata Wahyudi dalam keterangan pers, Selasa (25/6).

Merujuk pada ketentuan Pasal 46 UU PDP, pemerintah harus segera memberikan notifikasi kepada publik terkait dengan kegagalan perlindungan data pribadi yang terjadi. Pemberitahuan tersebut setidaknya mencakup informasi mengenai data pribadi yang terungkap, kapan dan bagaimana data pribadi terungkap, dan upaya penanganan dan pemulihan atas terungkapnya data pribadi oleh pengendali data pribadi.

Berkaitan dengan tanggung jawab dari pihak-pihak yang terlibat dalam pengelolaan data pribadi yang disimpan di PDN sementara, baik pengendali, pengendali gabungan, prosesor, maupun pihak ketiga,

Menurutnya, pihak-pihak yang terlibat dalam pengelolaan data pribadi yang disimpan di PDN sementara, baik pengendali, pengendali gabungan, prosesor, maupun pihak ketiga, semestinya bertanggung jawab sesuai dengan kapasitasnya masing-masing. Sebagaimana dengan kewajiban kepatuhan yang diatur dalam UU PDP.

“Selain itu, dari insiden ini juga memunculkan adanya dugaan tindak pidana mengumpulkan data pribadi yang bukan miliknya, untuk tujuan menguntungkan diri sendiri atau orang lain,” kata dia.

Oleh karena itu, penegakan hukum pidana perlindungan data pribadi, juga dapat menjadi alternatif mekanisme yang ditempuh untuk menyelesaikan kasus ini.

Merespons insiden keamanan siber dan dugaan kegagalan pelindungan data pribadi pada infrastruktur PDNS, ELSAM menekankan pada pemangku kepentingan untuk: 

1. BSSN memastikan proses investigasi yang tuntas untuk mengetahui penyebab terjadinya insiden, memberikan laporan kepada publik secara akuntabel, sekaligus melakukan proses pemulihan atas sistem maupun juga data-data yang disimpan pada infrastruktur PDN sementara. 
2. BSSN melakukan audit keamanan siber secara menyeluruh terhadap infrastruktur informasi vital, khususnya yang berkaitan dengan pemrosesan data-data strategis, maupun data-data pribadi warga negara. 
3. Kementerian Komunikasi dan Informatika memastikan pemenuhan seluruh standar kepatuhan terkait dengan pelindungan data pribadi, termasuk kewajiban untuk segera memberikan notifikasi kepada subjek data, berkaitan dengan kegagalan pelindungan data pribadi yang terjadi. 
4. Presiden maupun DPR segera menyiapkan usul inisiatif RUU Keamanan Siber, dengan menekankan pada pendekatan human centric, untuk merespons seluruh dinamika yang terkait dengan keamanan siber. 
5. Pemerintah menjamin adanya mekanisme pemulihan yang efektif bagi publik, terkait dengan insiden keamanan siber yang terjadi, termasuk yang berkaitan dengan kegagalan pelindungan data pribadi, serta kegagalan dalam pemberian layanan publik.