Peluang Lembaga Negara Disanksi Ratusan Miliar Rupiah jika Data Bocor
Data pengguna mulai dari Tokopedia, Bhinneka hingga pasien terinfeksi Covid-19 disebut-sebut bocor sejak awal tahun ini. Meski begitu, lembaga negara hingga swasta belum bisa dituntut miliaran rupiah akibat kebocoran data, karena tidak adanya Undang-undang Perlindungan Data Pribadi (UU PDP).
Padahal, lembaga negara maupun swasta di Eropa bisa dituntut hingga 20 juta euro atau US$ 22,5 juta (Rp 319,7 miliar) jika ada kebocoran data pengguna. Ini tertuang dalam General Data Protection Regulation (GDPR).
Indonesia memang sudah mengkaji GDPR untuk kemudian diterapkan lewat UU PDP. Dalam draf rancangan UU PDP pun disebutkan bahwa penyalahgunaan data pribadi bisa didenda hingga Rp 100 miliar. Namun, hingga saat ini aturan itu masih dikaji.
"Tak ada UU PDP, jadi kewajiban macam apa yang memaksa negara dan swasta melindungi data masyarakat? Sama sekali tidak ada," kata Peneliti Keamanan Siber Communication Information System Security Research Center (CISSReC) Pratama Persadha kepada Katadata.co.id, Senin (22/6).
(Baca: Kabar Data Pasien Corona Dicuri, DPR Ingin UU PDP Segera Rampung)
Kini, 230 ribu data pasien terinfeksi virus corona di Indonesia justru dikabarkan bocor dan dijual di situs para peretas (hacker) atau dark web. Walaupun Kementerian Komunikasi dan Informatika (Kominfo) serta Badan Siber dan Sandi Negara (BSSN) membantah kabar ini.
Belum lagi, data Komisi Pemilihan Umun (KPU) sempat dikabarkan bocor. “Semua data masyarakat tidak dienkripsi. Ini terjadi karena tidak ada perangkat hukum yang memaksa negara dan swasta untuk melindungi data warganya,” katanya.
Kendati begitu, pemerintah maupun swasta semestinya wajib melakukan langkah antisipasi. Pertama, penetration test (pentest) ke seluruh sistem aplikasi yang terkoneksi, sehingga dapat menemukan titik kelemahan dan segera memperbaikinya sejak awal.
Pentest yaitu metode evaluasi terhadap keamanan dari sebuah sistem dan jaringan komputer. Evaluasi dilakukan dengan cara melakukan simulasi serangan (attack).
(Baca: Bila UU PDP Dirilis, Tokopedia-Bhinneka Bisa Didenda jika Data Bocor)
Pratama menduga, kebocoran data pasien terinfeksi Covid-19 berasal dari injeksi SQL injection vulnerability, yang seharusnya dapat diketahui sedari awal. Injeksi SQL merupakan teknik injeksi kode yang digunakan untuk menyerang aplikasi berbasis data.
Langkah antisipasi kedua yakni dengan menerapkan perimeter-perimeter security seperti web aplication firewall, Intrusion Prevention System (IPS). Jika perlu, bisa menggunakan cloud security atau Content Delivery Network (CDN).
"Selalu lakukan pengawasan secara berkelanjutan terhadap seluruh trafik dari dan menuju sistem," kata dia. (Baca: DPR Khawatir Data Warga yang Ikut Rapid Test dan PCR Disalahgunakan)
Apabila sudah terlanjur data terbuka dan dijual di forum internet, perlu dilakukan investigasi dan digital forensik. Ini untuk mengetahui apakah hacker sudah menanam backdoor atau belum. Jika sudah, maka penambahan perimeter security tidak akan berjalan dengan efektif.
Terakhir, Pratama menyarankan untuk melakukan back up data secara periodik. "Maka akan ketahuan, apakah data itu asli atau sudah dimodifikasi," kata Pratama.
Ketua Cyber Law Center Fakultas Hukum Universitas Padjajaran (Unpad) Sinta Dewi Rosadi juga sempat mengatakan, regulasi yang ada saat ini hanya mengatur sanksi administrasi jika ada kebocoran data. “Kalau di RUU PDP ada denda dan pidana kalau itu sampai ada indikasi pidananya,” kata dia kepada Katadata.co.id, Mei lalu (13/5).
Pihak yang memalsukan ataupun menjual data pengguna ke pihak lain bisa disanksi denda dan pidana. “Di negara manapun kebocoran data pasti dendanya besar," ujar Sinta.
(Baca: 1,2 Juta Data Pengguna Bhinneka Dikabarkan Diretas)
Sedangkan pada draf RUU PDP yang diajukan awal tahun ini, penyalahgunaan data pribadi bisa dituntut Rp 100 miliar. Pada pasal 58 berbunyi ‘”pengendali dan prosesor data pribadi dilarang melakukan pemrosesan data pribadi untuk tujuan komersial dan/atau pemrofilan kecuali atas persetujuan pemilik.”
Lalu, pada pasal 73 disebutkan bahwa bagi yang pelanggar pasal 58 akan didenda maksimal Rp 100 miliar. (Baca: Surati Pengguna, CEO Tokopedia Akui Pihak Ketiga Mencuri Data)
Saat ini, 132 negara sudah memiliki regulasi terkait perlindungan data pribadi. Beberapa negara di ASEAN pun sudah mempunyai aturan ini, sementara Indonesia belum.
Rencananya, RUU PDP dibahas setelah omnibus law dan ditarget selesai pada akhir tahun ini. Namun, karena pandemi corona, pembahasan regulasi ini mundur. “Dengan adanya Covid-19, awal tahun depan semoga selesai,” katanya.
(Baca: Cara Tokopedia, Lazada, Bhinneka dan Bukalapak Cegah Kebocoran Data)