Kementerian Komunikasi dan Informatika (Kominfo) menindak 43 kasus kebocoran data pribadi sejak awal tahun. Pelaku dari 19 di antaranya telah dikenai sanksi.
Pelanggaran tersebut diinvestigasi oleh Direktorat Jenderal Aplikasi Informatika (Aptika). “Sebanyak 19 kasus telah dikenai sanksi berupa teguran tertulis hingga rekomendasi perbaikan sistem," kata Juru bicara Kementerian Kominfo Dedy Permadi dalam konferensi pers di Jakarta, Kamis (30/12).
Sisanya yakni 24 kasus dalam proses penanganan. Ini termasuk kasus kebocoran data pribadi yang menimpa Badan Penyelenggara Jaminan Sosial atau BPJS Kesehatan.
"Untuk kasus BPJS kesehatan, akan keluar keputusan akhir secepatnya," ujar dia.
Kasus data BPJS Kesehatan bocor itu terungkap pada akhir Mei (21/5). Data berupa Nomor Induk Kependudukan (NIK), nama, alamat, nomor telepon, e-mail dijual di dark web. Sebanyak 20 juta data dilengkapi foto.
Kementerian Kominfo mencatat, ada jutaan data yang diduga kuat identik dengan yang ada di BPJS Kesehatan. Kominfo pun sudah memblokir beberapa situs yang menyebarkan jutaan data secara gratis itu.
Dedy mengatakan, 43 kasus pelanggaran data pribadi sejak awal tahun ini berasal dari sektor yang beragam. "Terkait dengan lembaga pemerintah dan non-pemerintah," katanya.
Selain BPJS Kesehatan, data pada Indonesian Health Alert Card atau eHAC di aplikasi versi lama bocor. Sertifikat vaksinasi Covid-19 Presiden Jokowi beredar di media sosial pada September. Kebocoran diduga dari Nomor Induk Kependudukan (NIK).
Kominfo menindak kasus pelanggaran data pribadi mengacu kepada tiga aturan, yakni:
- Undang-Undang Informasi dan Transaksi Elektronik atau UU ITE
- Peraturan Pemerintah Nomor 71 Tahun 2019 Tanggal 10 Oktober 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik
- Peraturan Menteri Komunikasi dan Informatika Nomor 20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik
Dedy mengakui bahwa penanganan kasus pelanggaran data pribadi belum maksimal. Ini karena Rancangan Undang-Undang (RUU) Perlindungan Data Pribadi belum rampung.
"Dengan adanya regulasi ini, mekanisme penanganan kasus bisa dilakukan secara komprehensif untuk kepentingan para pemilik data," ujarnya.
RUU Perlindungan Data Pribadi yang ditargetkan rampung tahun ini kembali molor. Regulasi ini pun kembali masuk Program Legislasi Nasional (Prolegnas) RUU prioritas 2022.
UU Pelindungan Data Pribadi sendiri dibahas sejak 2017 dan beberapa kali masuk Prolegnas. Saat ini pemerintah dan Dewan Perwakilan Rakyat (DPR) telah menyelesaikan sebanyak 152 Daftar Inventarisasi Masalah (DIM) dari 371 DIM.
Sedangkan, peneliti keamanan siber dari Communication Information System Security Research Center (CISSReC) Pratama Persada mengatakan, kasus pelanggaran data pribadi akan tetap masif tahun depan. Salah satu sektor yang akan menjadi sasaran serangan siber tahun depan adalah pemerintahan.
"Ini karena lembaga negara memproses data pribadi masyarakat dalam jumlah sangat banyak," kata dalam keterangan pers, pekan lalu (24/12).
Selain itu, pelaku serangan dinilai bakal menyasar penyedia cloud. Sebab, adopsi teknologi ini diprediksi meningkat tajam tahun depan.
"Penyedia jasa cloud harus mempersiapkan diri menjadi target serangan seiring dengan semakin masifnya migrasi industri dan pemerintah," katanya.
Pelanggaran data pribadi juga akan lebih masif seiring dengan banyaknya perusahaan yang mengadopsi teknologi metaverse. Ini menurutnya menjadi tantangan tersendiri dalam upaya perlindungan data pribadi.
Sebab, perangkat metaverse akan menghasilkan lebih banyak lagi data pribadi dibandingkan yang telah dihasilkan saat ini.
Perangkat metaverse akan dilengkapi dengan teknologi pelacakan mata, wajah, tangan, dan tubuh. Bahkan, sebagian perangkat metaverse juga mempunyai sistem elektroensefalogram (EEG) yang dapat merekam aktivitas otak
"Isu metaverse ini menjadi tantangan serius, apakah negara punya cukup regulasi untuk mengatur metaverse nantinya? Karena ini kan seperti tanah wilayah tapi di wilayah siber," kata Pratama.