- Indonesia telah memiliki beragam payung hukum tentang perlindungan data pribadi tapi semua seperti sia-sia.
- Ketika terjadi kebocoran data, pemilik layanan selalu menempatkan diri sebagai korban sehingga tidak mau disalahkan.
- Banyak pekerjaan rumah yang belum rampung terkait standarisasi keamanan database di Indonesia, terutama milik pemerintah.
Kasus kebocoran data di Indonesia menjelma sebuah “kelumrahan” lantaran terlalu sering terjadi. Beragam payung hukum yang bertujuan melindungi data pribadi masyarakat semacam lancut, tak bertaring menjerat tanggung jawab pelaku dan pemilik layanan. Sia-sia belaka.
Pengalaman Dimas Nurzaman kali ini mungkin mewakili keresahan sebagian besar masyarakat yang berulang kali diganggu panggilan tak dikenal, ditargetkan menjadi korban penipuan lantaran data pribadinya tersebar luas.
Beberapa waktu lalu Dimas menerima sebuah panggilan dengan kode nomor negara Malaysia. Dimas tak curiga, ia pikir itu adalah kolega karena ia tengah bertugas di perbatasan Malaysia-Kalimantan Barat.
Ia mengusap tombol terima panggilan. Suara perempuan terdengar di seberang, menyebut lengkap nama dan domisilinya saat ini.
“Saya dari ekspedisi xxx mau mengirimkan paket yang tertinggal di bea cukai. Silahkan sebutkan Nomor Induk Kewarganegaraan (NIK) agar barang bisa segera dikirim," kata perempuan itu.
Segera otak Dimas memproses kejadian tersebut. Ia hampir saja menjadi korban penipuan data pribadi. Ia menghela napas, merasakan tak ada lagi privasi data baginya sebagai warga negara Indonesia.
Setelah kejadian itu panggilan masuk dari nomor tak dikenal, pesan singkat, bahkan chat WhatsApp bertubi-tubi masuk ke nomornya.
“Dari mana mereka bisa dapat nama lengkap, domisili, dan nomor telepon saya? Mungkin ini salah satu efek dari kebocoran data di berbagai lembaga,” ucap pria berusia 34 tahun tersebut.
Indonesia telah memiliki beragam payung hukum tentang perlindungan data pribadi. Namun semua seperti sia-sia belaka, data-data pribadi dilucuti sampai masyarakat tak tahu lagi mana informasi pribadi yang masih jadi rahasia.
Seolah tak berkaca dari kejadian lalu, pemerintah terus saja kebobolan dan tak menerapkan sanksi tegas pada pemilik layanan. Terakhir dugaan kebocoran data di aplikasi milik PT Bank Central Asia Tbk, MyBCA berupa nomor rekening dan nama lengkap pemilik rekening.
Tapi jangankan memberi sanksi pada pihak swasta, pemerintah sepertinya juga belum mampu mengamankan database di situs negara. Pada semester pertama 2023 saja sudah ada empat kebocoran database resmi milik pemerintah.
Pertama, data BPJS Ketenagakerjaan yang bocor pada 12 Maret 2023. Sebanyak 19,5 juta data pengguna BPJS Ketenagakerjaan dijual di forum gelap seharga Rp153 juta. Peretas alias hacker Bjorka membagikan 100 ribu sampel data berisi NIK, nama lengkap, tanggal lahir, alamat, nomor ponsel, alamat email, jenis pekerjaan dan nama perusahaan di BreachForums.
Berselang satu bulan, pada Mei 2023 lalu menyusul kebocoran data milik Bank Syariah Indonesia (BSI). BSI mendapat serangan siber modus pemerasan alias ransomware oleh peretas LockBit.
Total data yang dicuri mencapai 1,5 TB, termasuk 15 juta data pengguna lengkap dengan password untuk akses internal dan layanan, data pribadi nasabah serta informasi pinjaman.
LockBit sempat meminta tebusan kepada BSI sebagai kompensasi agar data tak disebar. Namun, negosiasi gagal dan LockBit menyebar data-data tersebut. Di antaranya terdapat dua tangkapan layar bertuliskan Index of/Bank_BSI/ berisi dokumen berjudul Berkas Rumah Dinas BSI, Dokumen Syarat Akad_19 Apr 2022 dan ID CARD TAD BSM.
Kemudian 5 Juli 2023 lalu Bjorka kembali mengunggah data 34.900.867 paspor WNI dengan sampel terkompresi 1 GB. Data yang bocor adalah nomor paspor, tanggal berlaku paspor, nama lengkap, tanggal lahir, jenis kelamin dan lain sebagainya.
Meski baru terpublikasi pada Juli, Direktur Jenderal Imigrasi, Silmy Karim mengakui kebocoran data sudah terjadi pada Januari 2022.
Sebelumnya juga ada dugaan kebocoran data 34 juta data paspor warga Indonesia. Bjorka menjual data tersebut seharga US$10 juta atau sekitar Rp150 juta untuk data yang telah diformat CSV berukuran 4 GB.
Terakhir, data kependudukan dan catatan sipil (Dukcapil) yang bobol pada 16 Juli 2023 lalu. Kebocoran tersebut melibatkan 337 juta data Dukcapil Kementerian Dalam Negeri (Kemendagri) yang terpublikasi di forum hacker BreachForums.
Data yang bocor terdiri dari nama, nomor induk kependudukan (NIK), nomor Kartu Keluarga, tanggal lahir, alamat, nama ayah, nama ibu, NIK ibu, nomor akta lahir, nomor akta nikah dan lainnya.
Masyarakat Muskil Menuntut
Anehnya, meskipun kebocoran data sudah sering terjadi di Indonesia, tak ada langkah serius pemilik layanan untuk memperbaiki layanan keamanan mereka. Saat terjadi kebocoran, masyarakat juga tak pernah diberi informasi rinci soal data siapa dan apa saja yang bocor.
Padahal jika informasi tersebut diketahui, pemilik layanan, pemerintah, dan masyarakat bisa bersama-sama bisa melakukan langkah perlindungan data lain. Misalnya, mengganti cara otentikasi dan otorisasi bukan dengan menyebut nama ibu kandung atau pemerintah memfasilitasi penggantian NIK.
Sayang, selama ini ketika terjadi kebocoran data pemilik layanan selalu menempatkan diri sebagai korban. Mereka tak pernah mau disalahkan apalagi dituntut pertanggung jawaban, meskipun masalah kebocoran data adalah tanggung jawab pemilik layanan akibat sistem perlindungan data yang lemah.
Sejatinya ketika ketika menjadi korban kebocoran data, masyarakat dapat menuntut dan melakukan pengaduan. Hak tersebut tertuang dalam Peraturan Menteri Komunikasi dan Informatika Nomor 20 Tahun 2016 tentang Perlindungan Data Pribadi Dalam Sistem Elektronik TEU.
Pasca mendapat informasi kebocoran data pribadi di sistem elektronik, masyarakat dapat melakukan pengaduan ke Kominfo sebagai lembaga pengawas Penyelenggara Sistem Elektronik (PSE). Aturan ini kemudian dikuatkan oleh Pasal 46 Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP).
Subjek data harus mendapat informasi kebocoran data dari pemilik layanan dalam jangka waktu tiga kali 24 jam untuk proses penyelesaian sengketa. Tapi nyatanya hal tersebut tak pernah dilakukan oleh PSE saat terjadi kebocoran data.
Sementara itu, gugatan secara perdata juga muskil dilakukan. Undang-Undang (UU) Nomor 19 Tahun 2016 tentang Perubahan atas UU Nomor 11 Tahun 2008 (UU ITE) menyebut, gugatan kebocoran data harus menyertakan bukti konkret terkait kebocoran tersebut.
“Ini sangat sulit karena harus masuk sistem informasi pihak lain. Salah-salah malah kena pidana,” ungkap Direktur Eksekutif Lembaga Studi dan Advokasi Masyarakat (ELSAM), Wahyudi Djafar kepada Katadata.co.id, Jumat, (28/7).
Pada Mei 2020 lalu gugatan kepada Tokopedia dan Menteri Komunikasi dan Informatika pernah dilayangkan oleh Komunitas Konsumen Indonesia (KKI). Mereka meminta kompensasi Rp100 miliar atas kelalaian Tokopedia yang membikin 91 juta data pengguna bocor.
Hasilnya bisa kita tebak, gugatan tersebut gagal karena sulitnya pembuktian kerugian perdata dari insiden ini.
Musabab Kebocoran Data yang Berulang
Pada Juni lalu, Kementerian Komunikasi dan Informatika (Kemenkominfo) mengungkapkan dalam periode empat tahun (2019-2023) terdapat 94 kasus kebocoran data di Indonesia, dan 35 di antaranya terjadi pada 2023.
Saking seringnya kebocoran data terjadi di Indonesia, ada satu pertanyaan yang jadi teka teki, kenapa hal tersebut bisa terjadi?
Direktur Jenderal Informasi dan Komunikasi Publik (IKP) Kemenkominfo Usman Kansong menjawab pertanyaan sejuta umat. Sejauh ini, kasus dugaan kebocoran data pribadi terjadi karena pengamanan data lemah.
"Memang karena security kebanyakan. Untuk penyalahgunaan, katakanlah menjual datanya, belum kami terima. Itu juga karena kelalaian pengendali data karena mungkin tidak melakukan tes penetrasi secara berkala, tidak memperbaharui teknologinya,” kata Usman dalam diskusi bertajuk “Data Warga Siapa yang Salah?” pada 22 Juli lalu.
Wahyudi menyebut, sejatinya sudah ada aturan yang membuat standarisasi keamanan database milik pemerintah, tercantum dalam Peraturan Presiden (PERPRES) Nomor 95 Tahun 2018 tentang Sistem Pemerintahan Berbasis Elektronik.
Selain itu terdapat juga Peraturan Badan Siber dan Sandi Negara Nomor 4 Tahun 2021 Tentang Pedoman Manajemen Keamanan Informasi Sistem Pemerintahan Berbasis Elektronik dan Standar Teknis dan Prosedur Keamanan Sistem Pemerintahan Berbasis Elektronik
Namun, ia melihat selama ini terdapat banyak pekerjaan rumah yang belum rampung terkait standarisasi keamanan database di Indonesia, terutama milik pemerintah.
“Kita tidak pernah tahu, apakah semua persyaratan itu sudah diikuti secara konsisten. Selama ini mereka katakan sudah audit keamanan, tapi apakah berkala, atau cuma sekali saat pengembangan sistem, sehingga jadi jalan kebocoran data,” kata Wahyudi.
Anekdotnya, pada Oktober 2021 Pusat Malware Nasional milik BSSN sebagai salah satu lembaga yang punya wewenang teknis berkaitan keamanan di semua penyelenggara sistem elektronik nasional malah ikut kena retas oleh hacker. Si peretas bahkan sampai menampilkan kalimat hinaan soal betapa mudahnya aksi peretasan itu dilakukan.
Kasus kebocoran data ini akhirnya menarik perhatian Presiden Joko Widodo. Tahun lalu, tepatnya 17 Oktober 2022, ia membuat langkah preventif dengan menandatangani UU PDP.
Aturan ini memberi kekuasaan kepada pemerintah untuk mengawasi tata kelola data pribadi yang dilakukan penyelenggara sistem elektronik (PSE) oleh badan publik, swasta hingga organisasi internasional di wilayah Indonesia.
Jika lalai menjaga data, mereka mesti bersiap menerima sejumlah sanksi, mulai dari administratif hingga pidana, seperti sanksi enam tahun penjara dan denda Rp 6 miliar. Namun, ketentuan ini baru bisa diterapkan pada Oktober tahun depan, dua tahun sejak undang-undang disahkan.
Selama masa peralihan ini, Kemenkominfo dan Badan Siber dan Sandi Negara (BSSN) tetap harus bertanggung jawab sebagai pengendali. Mereka harus menyelesaikan kasus kebocoran data secara tuntas, bukan cuma menyangkal dan berdalih seolah menjadi korban.
“Langkah selanjutnya bentuk lembaga pengawas data yang independen,” kata Wahyudi.
Lembaga pengawas tersebut, usulnya, tidak diisi oleh jajaran pemerintahan agar punya legitimasi kuat dan independen menjalankan fungsi pengawasan. “Jika diisi pemerintah dan mereka tak bisa menyelesaikan persoalan ini secara akuntabel, masalah ke depan juga tak akan berbeda dengan sekarang," ujarnya.
Korea Selatan bisa menjadi contoh negara yang memiliki otoritas khusus perlindungan data, yakni Personal Information Protection Commission (PIPC). PIPC berwenang melakukan investigasi apabila terjadi insiden terkait dengan data di Korea Selatan.
PIPC pernah menjatuhkan denda kepada Facebook sebanyak US$ 6,1 juta pada November 2020 karena pelanggaran data pribadi penggunanya. Kemudian pada September 2022 lembaga ini kembali memberi denda US$ 50 juta kepada Google dan US$ 22 juta kepada Meta karena pelanggaran regulasi kerahasiaan data pribadi Korea Selatan.