Peluang Lembaga Negara Disanksi Ratusan Miliar Rupiah jika Data Bocor
Data pengguna mulai dari Tokopedia, Bhinneka hingga pasien terinfeksi Covid-19 disebut-sebut bocor sejak awal tahun ini. Meski begitu, lembaga negara hingga swasta belum bisa dituntut miliaran rupiah akibat kebocoran data, karena tidak adanya Undang-undang Perlindungan Data Pribadi (UU PDP).
Padahal, lembaga negara maupun swasta di Eropa bisa dituntut hingga 20 juta euro atau US$ 22,5 juta (Rp 319,7 miliar) jika ada kebocoran data pengguna. Ini tertuang dalam General Data Protection Regulation (GDPR).
Indonesia memang sudah mengkaji GDPR untuk kemudian diterapkan lewat UU PDP. Dalam draf rancangan UU PDP pun disebutkan bahwa penyalahgunaan data pribadi bisa didenda hingga Rp 100 miliar. Namun, hingga saat ini aturan itu masih dikaji.
"Tak ada UU PDP, jadi kewajiban macam apa yang memaksa negara dan swasta melindungi data masyarakat? Sama sekali tidak ada," kata Peneliti Keamanan Siber Communication Information System Security Research Center (CISSReC) Pratama Persadha kepada Katadata.co.id, Senin (22/6).
(Baca: Kabar Data Pasien Corona Dicuri, DPR Ingin UU PDP Segera Rampung)
Kini, 230 ribu data pasien terinfeksi virus corona di Indonesia justru dikabarkan bocor dan dijual di situs para peretas (hacker) atau dark web. Walaupun Kementerian Komunikasi dan Informatika (Kominfo) serta Badan Siber dan Sandi Negara (BSSN) membantah kabar ini.
Belum lagi, data Komisi Pemilihan Umun (KPU) sempat dikabarkan bocor. “Semua data masyarakat tidak dienkripsi. Ini terjadi karena tidak ada perangkat hukum yang memaksa negara dan swasta untuk melindungi data warganya,” katanya.
Kendati begitu, pemerintah maupun swasta semestinya wajib melakukan langkah antisipasi. Pertama, penetration test (pentest) ke seluruh sistem aplikasi yang terkoneksi, sehingga dapat menemukan titik kelemahan dan segera memperbaikinya sejak awal.
Pentest yaitu metode evaluasi terhadap keamanan dari sebuah sistem dan jaringan komputer. Evaluasi dilakukan dengan cara melakukan simulasi serangan (attack).
(Baca: Bila UU PDP Dirilis, Tokopedia-Bhinneka Bisa Didenda jika Data Bocor)
Pratama menduga, kebocoran data pasien terinfeksi Covid-19 berasal dari injeksi SQL injection vulnerability, yang seharusnya dapat diketahui sedari awal. Injeksi SQL merupakan teknik injeksi kode yang digunakan untuk menyerang aplikasi berbasis data.
Langkah antisipasi kedua yakni dengan menerapkan perimeter-perimeter security seperti web aplication firewall, Intrusion Prevention System (IPS). Jika perlu, bisa menggunakan cloud security atau Content Delivery Network (CDN).
