Analisis

Marak Data Bocor, Butuh Taji UU Data Pribadi

CNN Indonesia | Kamis, 09/07/2020 06:57 WIB
dangerous hacker stealing data -concept Ilustrasi (Istockphoto/ Gangis_Khan)
Jakarta, CNN Indonesia --

Penggiat media sosial, Denny Siregar menjadi sorotan setelah dirinya mengakui mengalami kebocoran data. Denny pribadinya mengungkap data pribadinya dibeberkan akun @Opposite6891 melalui Twitter.

Denny menyebut penyebaran data pribadinya terjadi berdasarkan data registrasi SIM di Telkomsel. Dalam unggahannya @Opposite6891 menampilkan data yang terdiri dari nama, alamat, NIK, KK, IMEI, OS, hingga jenis perangkat yang digunakan Denny.

Buntutnya akun @Opposite6891 mengalami doxing alias pembongkaran identitas privasi korban di Internet.  Akun @xdigeembok menjadi akun yang bertanggung jawab atas hal tersebut.


Akun @xdigeembok mengungkap orang yang berada di kaum @Opposite6891. Ia juga membongkar tim akun @Opposite6891. Lebih lanjut, ia juga mengungkap akun instagram, hingga anak dari @Opposite6891.

Kebocoran data yang dialami Denny bukan baru kali ini saja terjadi, beberapa e-commerce terkenal seperti Tokopedia, Bhinneka, hingga Bukalapak sempat mengalami kebocoran data.

Deputi Direktur Riset ELSAM Wahyudi Djafar mengatakan kebocoran-kebocoran data yang terjadi beberapa waktu kebelakang menandakan urgensi Pembahasan RUU Perlindungan Data Pribadi (RUU PDP).

Wahyudi menjelaskan akselerasi proses pembahasan RUU Perlindungan Data Pribadi penting agar Indonesia segera memiliki instrumen perlindungan data pribadi yang kuat, guna memastikan pemenuhan dan perlindungan hak-hak privasi warganya.

ELSAM mengatakan ketiadaaan UU Perlindungan Data Pribadi yang kuat dan komprehensif berakibat pada munculnya sejumlah persoalan dalam penanganan insiden kebocoran data.

Peretasan TokopediaKebocoran data tak hanya terjadi pada pribadi tapi juga perusahaan seperti yang menimpa Tokopedia, Bukalapak, hingga Bhinekka. (screenshot Raid Forums)

"Mulai dari ketidakjelasan proses notifikasi, ketidakjelasan proses penanganan, ketidakjelasan proses investigasi, ketidakjelasan pembagian tanggung jawab dalam penanganan, ketidakjelasan mekanisme komplain, dan ketidakjelasan proses penyelesaian," tutur Wahyudi kepada CNNIndonesia.com.

Wahyudi percaya penyalahgunaan data pribadi bisa terkontrol dengan adanya Aturan Perlindungan data pribadi.  Aturan Perlindungan Data Pribadi mampu menjawab segala persoalan yang ia sebutkan. Mulai dari definisi data pribadi, proses hukum, pembagian tanggung jawab, hingga proses penyelesaian.

"Kebocoran data sensitif lebih mengkhawatirkan, sebab data ini mengidentifikasi seseorang seumur hidupnya, dan kerap menjadi sumber permasalahan stigmatisasi, diskriminasi, dan eksklusivisme," kata Wahyudi.

Doxing dan perang intelejen

Pengamat TIK dari ICT Institute, Heru Sutadi mengatakan praktik doxing dan kebocoran data pribadi ini melanggar kaidah-kaidah aturan perlindungan data pribadi karena termasuk penyalahgunaan data pribadi.

Heru mengatakan apabila dibiarkan, praktik doxing akan menjadi sebuah perang intelijen yang saling mengungkap identitas dan data privasi satu sama lain.

"Bukan hanya soal telepon tapi istri, anak, orang tua, dipublikasikan semua. Sudah tidak sehat," kata Heru saat dihubungi CNNIndonesia.com, Selasa (7/7).

Heru mengatakan praktik tersebut akan mengarah pada bentuk buka-bukaan aib yang berdasarkan data pribadi. Misalnya, aib dalam kesehatan medis, mengancam keamanan karena alamatnya sudah diungkap, hingga soal SARA.

Cyber attack or computer crime hacking password on a dark background.Doxing atau mengumbar data pribadi seseorang kepada publik di internet menjadi ancaman yang nyata saat ini (Istockphoto/ipopba).

"Dan ini bukan sekadar peretasan tapi sudah ke arah intelijen. Jadi nanti arahnya perang intelijen. Buka-bukaan data pribadi, aib dan bahkan sampai ancaman ke kantor atau rumah," kata Heru.

ELSAM mengingatkan insiden tersebut seperti melengkapi rentetan insiden kebocoran data yang terjadi sebelumnya. Pada 17 April 2020, Tokopedia mengalami kebocoran data pribadi penggunanya, setidaknya terhadap 12.115.583 akun.

Tidak lama setelah insiden itu, kembali terjadi kebocoran data yang dialami oleh Bhinneka.com. Sekelompok peretas ShinyHunters mengklaim memiliki 1,2 juta data pengguna Bhinneka.com.

Data tersebut dijual senilai US$ 12 ribu atau setara dengan Rp17,8 juta  Beberapa waktu sebelumnya, insiden kebocoran data juga dialami oleh platform e-commerce lainnya, Bukalapak. Tercatat 12.957.573 akun pengguna platform tersebut diperjualbelikan.

Registrasi kartu SIM rawan bocor data

Lebih lanjut, Wahyudi sempat mengingatkan adanya potensi kebocoran data dalam registrasi kartu SIM  tanpa adanya aturan Perlindungan Data Pribadi pada 2017 silam.  Sebab masyarakat harus menyerahkan data pribadinya kepada pemerintah.

Sistem registrasi kartu SIM yang membutuhkan Nomor Induk Kependudukan (NIK) dan nomor Kartu Keluarga (KK), melalui pesan pendek (SMS).

Nomor kartu prabayar dari berbagai operator telekomunikasi ditawarkan di salah satu pusat perbelanjaan. Jakarta, Kamis, 26 April 2018. Kementrian Komunikasi dan Informatika (Kemenkominfo) bersama Badan Regulasi Telekomunikasi Indonesia (BRTI) dan Asosiasi Penyelenggara Telekomunikasi Seluruh Indonesia (ATSI) terus melakukan pembersihan nomor prabayar teregistrasi data kependudukan. Hingga kini, ada 328 juta kartu prabayar yang teregistrasi dengan menggunakan kartu kependudukan yang benar.Registrasi kartu prabayar dikhawatirkan menjadi celah pencurian data (CNN Indonesia/Adhi Wicaksono)

Pemerintah terkesan tak lindungi korban

Menurut Pratama, di Indonesia, pemerintah justru terkesan melindungi penyelenggara sistem yang mengalami kebocoran data. Bukan orang yang mengalami kebocoran data.

"Di sana lah letak negara dalam melindungi data warga nya. Di sini, bocor saja penyelenggaranya masih dianggap sebagai korban. Semangatnya beda, melindungi korporasi bukan melindungi data warga negara," tutur Pratama.

Selain itu, Wahyudi mengingatkan Indonesia sangat tertinggal dibandingkan negara-negara lain di Asia Tenggara terkait keberadaan aturan PDP yang komprehensif. Negara-negara  di Asia Tenggara telah memberlakukan RUU PDP.

"Katakanlah Malaysia, Singapura, Filipina, Laos dan Thailand terakhir sudah mengesahkan dan berlaku  pada awal 2020. Artinya mereka sudah ada panduan rujukan hukum memadai ketika terjadi kasus kasus dugaan kebocoran data pribadi," kata Wahyudi.

Kekosongan ini membuat pemerintah Indonesia tak dapat melakukan apa-apa untuk menegakkan dugaan kebocoran data tersebut. Di sisi lain, Malaysia bisa melakukan investigasi dengan adanya Komisioner Proteksi Data.

Aturan PDP perlu segera

Dihubungi terpisah, Komisioner BRTI Agung Harsoyo mengatakan ada dua hal yang sangat terkait dalam aturan Perlindungan Data Pribadi. Satu terkait perlindungan data, aspek keamanan data.  Kedua terkait privasi data.

Agung mengatakan Aturan Perlindungan Data Pribadi ini akan menjadi payung hukum ketika terjadi kebocoran data hingga penyalahgunaan data pribadi.

Agung berharap agar PDP bisa segera dibahas, mengingat semakin banyak transaksi melalui media elektronik, baik transaksi nasional maupun internasional.

Di sisi lain, Heru mengatakan Heru meminta agar RUU PDP bisa melibatkan banyak kalangan agar bisa mengatur praktik-praktik kebocoran data  terbaru.

"Padahal RUU PDP harus diperkuat dengan memasukkan semua skenario yang sudah dan mungkin akan muncul terkait perlindungan data pribadi," kata Heru.

Lebih lanjut,  Pakar keamanan siber sekaligus Kepala Lembaga Riset CISSReC, Pratama Persadha mengatakan tanpa aturan yang tegas, tidak akan ada tekanan kepada setiap penyelenggara sistem elektronik baik negara maupun swasta untuk membuat sistem dan maintenance terbaik.

Urgensi UU Perlindungan Data Pribadi, bisa memberikan jalan untuk menuntut penyelenggara sistem elektronik, baik negara maupun swasta kalau terbukti abai dalam menjalankan sistem elektronik tersebut.

(jnp/eks)

[Gambas:Video CNN]