Jakarta, CNN Indonesia --
Kebocoran data pribadi masih jadi salah satu sumber keresahan masyarakat di dunia siber di masa sembilan tahun kepemimpinan Presiden Joko Widodo (Jokowi). Keseriusan perlindungan pun dipertanyakan.
Insiden bocor data ini makin mencuat saat pembocor data Bjorka menyebarkan data-data pejabat dan warga Indonesia. Hingga beberapa bulan terakhir, kebocoran data dengan aktor berbeda terjadi. Kebanyakan dibantah oleh pemilik data.
Tahun lalu, Jokowi menyebut potensi kerugian atas kejahatan siber terhadap ekonomi dunia bisa mencapai US$5 triliun atau Rp78.096 triliun pada 2024 mendatang.
ADVERTISEMENT
SCROLL TO CONTINUE WITH CONTENT
"Kebocoran data akibat kejahatan siber berpotensi mengakibatkan kerugian ekonomi hingga US$5 triliun pada 2024," kata Jokowi saat membuka sesi tiga KTT G20 di Nusa Dua, Bali beberapa waktu lalu.
Salah satu jurus pemerintah dalam menangani masalah ini adalah dengan mengesahkan Rancangan Undang-undang Perlindungan Data Pribadi (PDP).
Pembahasan mengenai regulasi ini berjalan alot di DPR. Sudah dibahas sejak 2016, UU PDP baru disahkan pada 20 September 2022. Artinya, butuh waktu sekitar enam tahun bagi pemerintah untuk benar-benar serius melindungi data pribadi rakyatnya.
Kehadiran UU PDP pun tak langsung mengurangi kasus-kasus kebocoran data. Pada tahun lalu, sedikitnya ada 10 kasus kebocoran data yang membuat heboh publik.
Hacker Bjorka 'mencuri panggung' dengan membocorkan sejumlah surat rahasia untuk Presiden Jokowi, termasuk dari Badan Intelijen Negara (BIN) hingga data-data pribadi pejabat pemerintahan.
Hal tersebut diungkap Bjorka di BreachForums pada September 2022. Dalam keterangannya, dokumen yang dicuri pada September itu terdiri dari 679.180 data dengan kapasitas 40 MB (compressed) dan 189 MB (uncompressed).
Bjorka juga mengumbar data pribadi alias doxing sejumlah pejabat negara. Salah satu korbannya adalah mantan Menteri Komunikasi dan Informatika (Menkominfo) Johnny G. Plate.
Bjorka melakukan doxing dengan melampirkan sejumlah data-data pribadi yang diduga milik Plate, seperti NIK, nomor Kartu Keluarga, alamat, nomor telepon, nama anggota keluarga, hingga nomor vaksin.
Eks Gubernur DKI Jakarta Anies Baswedan turut menjadi korban pembocoran data pribadi oleh Bjorka.
Lewat grup Telegramnya, pengguna BreachForums itu membocorkan data pribadi Anies antara lain berupa nama lengkap, Nomor Induk Kependudukan (NIK), alamat rumah, dan sejumlah nomor telepon.
Selain itu ada Puan Maharani; Mendagri, Tito Karnavian; dan Menko Maritim dan Investasi, Luhut Binsar Pandjaitan yang telah menjadi sasaran Bjorka mena jangi data pribadi.
Merespons situasi tersebut, Jokowi langsung menggelar rapat terbatas di Istana Kepresidenan. Rapat itu turut menyimpulkan ada kebocoran data di instansi pemerintah, tapi membantah bahwa data yang bocor merupakan data rahasia.
UU PDP macan kertas
Tak lama setelah diobrak-abrik oleh Bjorka, pemerintah dan DPR akhirnya mengesahkan RUU PDP. Namun begitu, pengesahan aturan ini ternyata dianggap belum mampu menangani masalah tersebut.
Lembaga Studi & Advokasi Masyarakat (ELSAM) mengatakan Undang-undang Perlindungan Data Pribadi (UU PDP) berpotensi menjadi macan kertas.
"Meski telah mengakomodasi berbagai standar dan memberikan garansi perlindungan bagi subyek data, akan tetapi implementasi dari undang-undang ini berpotensi problematis, hanya menjadi macan kertas, lemah dalam penegakkannya," ujar Wahyudi Djafar Direktur Eksekutif ELSAM.
 Deret ‘Prestasi’ Bjorka (Foto: Basith Subastian/CNNIndonesia) |
Alasan kebocoran data terus terjadi di halaman selanjutnya...
Dalam Undang-undang PDP, tertuang berbagai kewajiban pengendali dan pemroses data, aturan tentang akses ilegal, hingga sanksi dan denda atas pelanggaran data pribadi.
UU PDP juga memuat definisi data pribadi, jangkauan material yang berlaku mengikat bagi badan publik dan sektor privat, perlindungan khusus bagi data spesifik, adopsi prinsip-prinsip pemrosesan data pribadi, batasan dasar hukum pemrosesan data pribadi, serta perlindungan hak subjek data.
Kendati begitu, ELSAM menjelaskan ada beberapa masalah yang mungkin terjadi dalam penegakan UU PDP akibat ketidaksolidan dalam perumusan pasal-pasalnya.
"Situasi tersebut (penegakan yang lemah) hampir pasti terjadi, akibat ketidaksolidan dalam perumusan pasal-pasal terkait dengan prosedur penegakan hukum, sebagai imbas kuatnya kompromi politik, khususnya berkaitan dengan Lembaga Pengawas Pelindungan Data Pribadi," ujar Wahyudi.
Menurutnya, kunci implementasi UU PDP ada pada otoritas perlindungan data sebagai lembaga pengawas yang akan memastikan kepatuhan pengendali dan pemroses data, serta menjamin pemenuhan hak-hak subjek data.
Masih terjadi kebocoran data
Kehadiran UU PDP nyatanya tak langsung berdampak signifikan dalam melindungi data pribadi. Sejumlah insiden kebocoran data besar terjadi di saat Indonesia memiliki aturan tersebut.
Pada Juli 2023, blog yang mengklaim sebagai pembocor data Bjorka mengunggah data 34.900.867 paspor WNI dengan sampel terkompresi 1GB.
Masih dalam bulan yang sama, Teguh Aprianto, pendiri Ethical Hacker Indonesia, mengunggah kebocoran data di BreachForums berupa 337 juta data di Direktorat Jenderal Kependudukan dan Pencatatan Sipil (Dukcapil) Kementerian Dalam Negeri.
Ia menyebut 337 juta data yang bocor itu terdiri dari nama, Nomor Induk Kependudukan (NIK), nomor Kartu Keluarga (KK), tanggal lahir, alamat, nama ayah, nama ibu, NIK ibu, nomor akta lahir, nomor akta nikah dan lainnya.
Menurut ELSAM kejadian ini diduga kuat karena masih dalam periode transisi implementasi UU PDP.
"Periode transisi implementasi UU PDP memang menjadi masa kritis dalam hal kepatuhan pengendali data untuk memastikan penerapan standar pelindungan data pribadi, termasuk risiko pembiaran jika terjadi insiden kebocoran data pribadi," tulis ELSAM.
ELSAM menilai badan-badan publik yang bertindak sebagai pengendali data belum siap "untuk memastikan pemenuhan seluruh kewajiban sebagai pengendali data, sebagaimana diatur dalam UU No.27/2022 tentang Perlindungan Data Pribadi"
Di dalam UU PDP, badan yang bertindak sebagai pengendali data wajib menjaga kerahasiaan, dan keamanan pemrosesan data. Selain itu, badan tersebut juga harus memberitahu pemilik data jika terjadi kebocoran.
"Setiap pengendali/pemroses data juga harus menerapkan langkah-langkah teknis dan organisasi untuk memastikan tingkat keamanan yang tinggi dalam pemrosesan data pribadi yang dilakukannya," tulis ELSAM.
ELSAM mengakui periode transisi saat UU PDP menjadi rentan karena keharusan penyesuaian berbagai regulasi terkait perlindungan data pribadi dengan UU PDP.
Kekosongan hukum perlindungan data di halaman berikutnya...
Keseriusan pemerintah menangani masalah kebocoran data pribadi jadi pertanyaan. Sejumlah pakar keamanan siber menilai pemerintah Indonesia belum serius menangani masalah kebocoran data yang marak dalam beberapa tahun terakhir.
Mereka beranggapan belum ada sanksi tegas yang bisa menjerat pengelola yang mengalami kebocoran data.
Deputy of Operation CSIRT.id Muhammad Salahuddien Manggalany menyebut ketidakseriusan pemerintah itu terlihat dari belum ada sanksi tegas bagi pengelola yang mengalami kebocoran data.
"Kalau enggak ada sanksinya, berarti enggak serius. Sekarang ini, semua kejadian itu mau yang skalanya paling sedikit kebocoran data sampai yang sudah 330 juta tapi enggak diakui, kan enggak ada sanksinya," ujar Salahuddien dalam sebuah konferensi beberapa waktu lalu.
Pemberian sanksi tegas dapat menjadi parameter seberapa serius pemerintah dalam menangani masalah ini.
Salahuddien mengatakan pemberian sanksi itu bisa berupa denda bagi pengelola data yang mengalami kebocoran hingga memecat pejabat terkait.
"Ini kan enggak ada, jadi enggak punya parameter mana [insiden kebocoran data] yang penting, mana yang gawat," ungkap dia.
Ketua Asosiasi Penyelenggara Jasa Internet Indonesia (APJII) Muhammad Arif Angga mengatakan dengan semakin meningkatnya pertumbuhan pengguna internet di dalam negeri, keamanan siber harus menjadi salah satu fokus bagi pemerintah.
Pihaknya sudah berulang kali menyampaikan bahwa masalah kebocoran data ini tidak bisa disepelekan. Menurut Arief pengesahan UU PDP harus menjadi pintu masuk agar ada sanksi tegas dari pemerintah.
Tanpa sanksi itu, akan ada banyak lembaga yang mengalami kebocoran data cuma mengelak atau sekadar meminta maaf jika insiden itu terjadi.
Sementara, dengan pemberian sanksi diyakini bakal memberi efek jera bagi pengelola data.
Tak dianggap masalah serius
Ketua Forum Keamanan Siber dan Informasi (FORMASI) Gildas Arvin Deograt menyebutkan saat ini sejumlah pengelola belum menganggap masalah kebocoran data sebagai masalah serius. Pasalnya, kejadian kebocoran data kerap berulang, tapi tak ada perbaikan.
"Kalau dari sudut pandang pihak yang mengelola data-data kita kemudian bocor, itu sepertinya tidak dianggap serius, karena kan berulang terus. tapi dari sisi kita sebagai yang korban sesungguhnya karena data kita bocor, menurut saya ini sangat serius," ujar Gildas.
Gildas kemudian menyoroti kasus 407 warga di Garut yang dicatut identitasnya untuk berutang ke pinjaman online (pinjol). Ratusan warga itu kaget karena selama ini merasa tidak pernah berutang ke pinjol.
[Gambas:Infografis CNN]
Perwakilan Tata Kelola Perlindungan Data Pribadi Ditjen Aplikasi Informatika (Aptika) Kementerian Komunikasi dan Informatika Arief Wahyudi mengakui bahwa masih ada kekosongan hukum dalam menangani masalah kebocoran data.
Pasalnya, UU PDP yang disahkan tahun lalu baru efektif pada 2024.
"Di situ terjadi kekosongan. Dari sisi lembaga pengawas PDP juga belum terbentuk, masih tunggu perpres. di situ juga masih terjadi kekosongan," kata Arief.
Namun begitu, menurut Arief, sebetulnya ada aturan-aturan eksisting yang bisa berlaku seperti Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PSTE) maupun UU Nomor 19 Tahun 2016 tentang Informasi dan Transaksi Elektronik (ITE).
Kendati demikian, Arief mengakui dalam aturan tersebut pemberian sanksi mengenai kebocoran data baru sebatas pemberian sanksi administratif atau teguran tertulis.
"Yang perbuatan non-comply, itu sanksinya di PP 71 teguran tertulis, dan sebagainya. Sedangkan kalau kriminal melawan hukum bisa ke UU ITE yang seharusnya UU ITE ini ke arah situ, bukan ke pasal-pasal yang itu-itu aja yang heboh," ujar dia.
[Gambas:Video CNN]
