tirto.id - Pemerintah Indonesia berupaya tidak kelihatan kebakaran jenggot menanggapi isu kebocoran data yang menimpa sejumlah instansi yang dilakukan oleh peretas dengan nama akun Bjorka. Berulang kali juga pemerintah meyakini tidak ada data yang bocor.
Menariknya, atau mungkin lucunya, pemerintah malah berupaya menjerat Bjorka dengan UU ITE karena dianggap menipu. Salah satu ketentuan di UU ITE memang mengatur tentang penyebaran berita bohong dalam transaksi elektronik. Aturan itu termaktub dalam Pasal 28 ayat (1) UU ITE yang berbunyi: setiap orang dengan sengaja dan tanpa hak menyebarkan berita bohong dan menyesatkan yang mengakibatkan kerugian konsumen dalam Transaksi Elektronik.”
“Perlu saya tegaskan, itu (kabar dari Bjorka) sudah melanggar hukum UU ITE. Saya rasa pihak penegak hukum akan memproses secara hukum dan mencari pelakunya,” kata Kepala Sekretariat Presiden (Kasetpres) Heru Budi Hartono menanggapi informasi kebocoran surat Presiden Joko Widodo oleh peretas dengan akun Bjorka.
Namun dalam penjelasannya, I Nyoman Ngurah Suwarnatha dari Pusat Penelitian Sekretariat Jenderal dan Badan Keahlian DPR RI mencatat bahwa tidak dapat dilakukan pemidanaan, "apabila tidak terjadi kerugian konsumen di dalam transaksi elektronik.”
Artinya, dalam kasus Bjorka, tugas lain dari pemerintah adalah harus membuktikan adanya kerugian “konsumen” dari data-data yang dijual Bjorka.
Perkara lainnya, data yang dijual Bjorka sebenarnya berasal dari situs gelap yang tidak bisa diakses begitu saja dengan provider internet Indonesia. Seapes-apesnya, bisa jadi orang yang menjadi pembeli terkena pelanggaran hukum pula. Karena, masih seperti catatan Nyoman, pasal ini termasuk pasal karet yang bisa dipersempit atau diperluas maknanya, terutama di bagian “konsumen” itu sendiri.
Jika tidak menggunakan Pasal 28 ayat (1), dalam UU ITE sebenarnya ada ketentuan lain soal pencurian data, yakni Pasal 30 ayat (1). Isinya: “Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum mengakses Komputer dan/atau Sistem Elektronik milik Orang lain dengan cara apa pun.”
Ketua lembaga riset siber Communication & Information System Security Research Center (CISSReC), Pratama Persadha sepakat bahwa Bjorka bisa dijerat dengan UU ITE, tetapi masalah penegak hukum tinggal bagaimana melacak dan menangkapnya.
Hanya saja, untuk menjerat Bjorka dengan Pasal 30 ayat (1) pemerintah harus mengakui satu hal: keamanan data penduduk Indonesia telah dijebol, bahkan sudah berulang kali. Kejadian Bjorka ini bukan kasus kebocoran data yang pertama.
Lalu, pertanyaan yang harus dijawab adalah siapa orang ataupun institusi yang tidak mampu menjaga keamanan data pribadi masyarakat? Sampai sekarang, pemerintah masih mengaku lembaga mereka aman dan melakukan investigasi terkait kebocoran tersebut dari pihak lain macam IndiHome.
Salah Penyelesaian?
Untuk masalah serangan Bjorka, pemerintah jelas saling lempar tanggung jawab. Awalnya, masyarakat mencerca Kemenkominfo karena dianggap tidak melaksanakan tugas untuk menjaga data keamanan data pribadi masyarakat. Namun, Menkominfo Johnny G. Plate kemudian mengungkap bahwa berdasar aturan PP Nomor 71/2019, tugas penanganan serangan siber itu ada di bawah kendali Badan Siber dan Sandi Negara (BSSN).
Yang dilempar bola panas kemudian menegaskan bahwa keamanan siber adalah tanggung jawab bersama. Tapi dalam keterangannya yang lain, keamanan itu dititikberatkan kepada Penyelenggara Sistem Elektronik (PSE) masing-masing.
"BSSN memberikan dukungan teknis dan meminta seluruh PSE untuk memastikan keamanan Sistem Elektronik di lingkungan masing-masing," kata Juru Bicara BSSN, Ariandi Putra melalui keterangan tertulisnya, Sabtu (10/8/2022).
Di negara demokrasi lain seperti Amerika Serikat, sebenarnya ini adalah hal yang lumrah. Dahulu, Facebook pernah kebobolan data pengguna. Pengambilan data itu dilakukan oleh analis data Cambridge Analytica sejak tahun 2010. Data-data ini kemudian digunakan untuk kepentingan kampanye Pilpres AS 2016.
Perbedaannya adalah pada pertanggungjawaban PSE.
Otoritas dan DPR AS langsung melakukan investigasi termasuk sidang untuk menentukan pertanggungjawaban perusahaan yang dipimpin oleh Mark Zuckerberg tersebut. Kasus ini terungkap pada tahun 2018 dan diselesaikan setahun kemudian.
Federal Trade Commission (FTC) akhirnya menjatuhkan denda senilai USD5 miliar dolar atau setara dengan Rp70 triliun. Ini adalah denda tertinggi dalam sejarah penyelesaian kebocoran data pribadi. Sanksi ini dijatuhkan setelah pengambilan suara tiga regulator asal Partai Republik menyatakan Facebook bersalah dan harus didenda, sedangkan hanya dua regulator Partai Demokrat menyatakan sebaliknya.
Tidak hanya itu, Facebook juga diharuskan untuk melakukan restrukturisasi terkait kebijakan privasi dan mengkaji ulang keamanan perusahaannya. Keputusan ini tentunya juga didukung oleh Departemen Kehakiman AS.
“Departemen Kehakiman berkomitmen untuk melindungi privasi data konsumen dan memastikan media sosial macam Facebook tidak menggunakan data pribadi konsumen seenaknya,” kata Asisten Jaksa Agung Jody Hunt. “Penyelesaian bersejarah dan persyaratan kepatuhan ini akan menguntungkan warga Amerika dan Departemen Kehakiman berharap Facebook memberlakukan kebijakan privasinya dengan serius.”
Dalam perkara ini, AS punya lembaga dan aturan hukum yang cukup untuk menghukum PSE yang lalai dalam menjaga keamanan data konsumen. Kendati keamanan data memang diserahkan kepada PSE masing-masing, tapi negara tidak lepas tangan terhadap kelalaian tersebut dengan setidaknya menjatuhkan denda yang dialokasikan ke pemasukan negara.
Hal ini berbeda dengan kebocoran data, misalkan, Tokopedia pada tahun 2020. Sebanyak 91 juta data akun pengguna Tokopedia sempat bocor kala itu. Yang dilakukan Kemenkominfo saat itu adalah memanggil Tokopedia dan melakukan investigasi. Namun hasilnya nihil. Penyelidikan tidak pernah diungkap ke publik dan kesimpulan yang didapat adalah data pengguna di Tokopedia masih aman. Kendati ada data yang tersebar, menurut Tokopedia itu tidak berpengaruh ke data finansial.
Saat itu justru Komunitas Konsumen Indonesia yang menggugat Menkominfo dan Tokopedia ke Pengadilan Negeri Jakarta Pusat demi mengejar tanggungjawab PSE yang dianggap lalai menjaga data pengguna. Namun gugatan Nomor 235/Pdt.G/2020/PN.Jkt.Pst ini mental begitu saja. Beberapa sebabnya, antara lain, karena KKI tidak dapat menjabarkan secara detail kerugian dari kebocoran data tersebut. Selain itu, masalah ini harusnya diselesaikan di Pengadilan Tata Usaha Negara.
Dalam aturan Rancangan Undang-undang Perlindungan Data Pribadi (RUU PDP) yang rencananya akan segera disahkan, memang ada beberapa larangan yang terlihat melindungi masalah kebocoran data pribadi masyarakat. Misalnya saja, siapapun yang mengungkap data pribadi orang lain akan dikenai pidana 2 tahun penjara dan denda paling banyak Rp50 miliar, atau mereka yang menggunakan data pribadi orang lain bisa dipenjara 7 tahun dan denda paling banyak Rp 70 miliar.
Namun tidak ada aturan bagi PSE yang mengalami kebocoran data. Kemenkominfo mengaku denda terhadap PSE tersebut tertuang dalam Rumusan Denda Administratif terhadap Pelanggaran Prinsip Pelindungan Data Pribadi, yang merupakan bagian dari draf Rancangan Peraturan Pemerintah tentang Penerimaan Negara Bukan Pajak (RPP PNBP) terkait Kementerian Kominfo. Ketentuan itu, sampai sekarang, setelah setidaknya tiga bulan lebih dicanangkan, masih belum ada.
Padahal dalam naskah akademik penyusunan RUU PDP telah dijelaskan bahwa “Pada umumnya Hukum Perlindungan Data menghendaki dibentuknya otoritas pengawas atau Data Protection Authorities (DPAs). Struktur pertanggungjawaban yang jelas adalah kunci bagi dimungkinkannya warga negara atau pelanggan untuk mendapatkan keadilan (pemulihan).”
Tugas komisi pengawas di Indonesia bisa direalisasikan lewat dua cara: membentuk lembaga baru independen atau membebankan tugas ke lembaga yang sudah ada seperti Komisi Informasi Pusat (KIP). Dalam naskah akademik yang sama juga disebutkan, “Peraturan yang kuat tetap tidak akan efektif jika tidak didukung oleh kewenangan penegakan yang kuat dan prosedur ganti rugi yang pantas walaupun kemampuan regulator untuk memberikan hukuman masih terbatas.”
Untuk merespons penyebaran data-data pribadi oleh Bjorka, pemerintah membentuk emergency respons team yang terdiri dari BSSN, Kemenkominfo, Polri, dan BIN. Langkah untuk mengejar pelaku ini tentu tidak keliru, tapi sebagian orang menganggapnya kurang tepat. Penangkapan Bjorka tidak menutup kemungkinan akan ada peretas lainnya yang bisa bermunculan.
Belum lagi kesulitan yang muncul untuk menangkap Bjorka. Pengalaman Indonesia dalam mencari pelanggar UU ITE di luar negeri memang tidak baik. Dalam kasus UU ITE, Indonesia pernah digegerkan oleh sosok Joseph Paul Zhang yang dianggap menista agama Islam. Meski dengan bantuan Interpol (international Police) sosok Zhang yang nama dan wajahnya sudah diketahui saja sulit untuk ditangkap, apalagi sosok anonim seperti Bjorka. Yang ada bisa-bisa polisi salah tangkap orang.
Yanuar Nugroho, pendiri dari Centre for Innovation Policy and Governance (CIPG), melalui akun Twitter pribadinya @yanuarnugroho beranggapan bahwa perburuan Bjorka adalah “pendekatan yang salah.” Yang bisa dilakukan pemerintah seharusnya fokus perbaikan tata kelola siber dan membenahi perlindungan data pribadi dan negara.
Membentuk tim khusus untuk membenahi masalah ini boleh-boleh saja, tetapi jika tidak fokus membenahi masalah hulu perkara siber dalam negeri, pengejaran Bjorka “...malah mempermalukan diri sendiri.”
Editor: Nuran Wibisono