tirto.id - Kasus kebocoran data dan penjualan data pribadi di forum marak dalam beberapa hari terakhir. Setidaknya ada dua kasus lain yang berkaitan dengan kebocoran data hingga penjualan data pribadi antara lain isu kebocoran data 26 juta pelanggan Indihome diduga bocor dan 17 juta data pengguna PLN juga bocor.
Kementerian Komunikasi dan Informasi (Kominfo) pun langsung merespons kabar tersebut. Pada kasus PLN, Kominfo sudah menerima laporan bahwa PLN tengah mengevaluasi keamanan siber dan peningkatan sistem keamanan mereka.
"Pihak PLN melaporkan bahwa saat ini sedang dilakukan evaluasi berkelanjutan terhadap sistem keamanan siber PLN, dan di saat bersamaan PLN juga melakukan peningkatan sistem perlindungan data pribadi pelanggan PLN," kata Dirjen Aptika Kominfo Semuel A. Pangerapan dalam keterangan, Minggu (21/8/2022).
Pihak PLN menyebut bahwa sistem operasional teknologi informasi perusahaan pelat merah itu masih aman dan pelayanan berjalan dengan baik. Kominfo pun telah menyampaikan rekomendasi dalam peningkatan perlindungan data pribadi. Kominfo juga akan terus mengkaji ulang pemenuhan kewajiban PLN dalam ketentuan perlindungan data pribadi yang berlaku serta kewajiban lain sesuai aturan yang berlaku.
PT Telkom Indonesia (Persero) Tbk (Telkom) mengklaim tidak menemukan kebocoran data pengguna layanan IndiHome. SVP Corporate Communication & Investor Relation Telkom, Ahmad Reza menjelaskan pihaknya sudah melakukan investigasi dan penelusuran terkait dugaan kebocoran data pelanggan dan histori browsing.
"Setelah kami lakukan penelusuran dan investigasi menyeluruh, kami meyakini dan memastikan bahwa tidak ada kebocoran data pelanggan di sistem kami dan ini 100% merupakan data yang difabrikasi oleh pihak maupun oknum yang ingin memojokkan Telkom," katanya dalam keterangan tertulis, Selasa (23/8/2022).
"Keseluruhan data pelanggan, kami simpan di dalam sebuah sistem keamanan siber yang terintegrasi dan dikelola berdasarkan peraturan serta perundang-undangan yang berlaku,” tambahnya.
Reza menegaskan pihaknya tidak ada niatan buruk untuk mengambil data pribadi pelanggan.
Sebagai perusahaan terbuka yang dual listing, Telkom mematuhi etika bisnis, compliance dan tata kelola perusahaan sesuai peraturan perundangan yang berlaku.
"Tidak ada niat Telkom untuk mematai-matai atau mengambil manfaat dari data historis maupun data pribadi pelanggan,” tambah Ahmad Reza.
Sementara itu, VP Network/IT Strategy, Technology & Architecture Telkom, Rizal Akbar mengatakan data yang beredar saat ini mencantumkan nomor IndiHome yang tidak valid, baik dari jumlah digit maupun format penomoran. Adapun terkait data browsing history.
Pada kasus PT Telkom Indonesia (Persero), Kominfo tengah melakukan pendalaman dalam dugaan masalah data pribadi tersebut. Kominfo juga akan melakukan pemanggilan terhadap manajemen Telkom serta akan mengeluarkan rekomendasi teknis untuk perlindungan data pribadi Telkom.
"Kementerian Kominfo juga akan segera melakukan pemanggilan terhadap manajemen Telkom untuk mendapatkan laporan dan langkah tindak lanjut Telkom terkait dengan dugaan insiden," kata Semuel, Minggu (21/8/2022).
Mereka juga akan berkoordinasi dengan Badan Siber dan Sandi Negara (BSSN) untuk pembahasan rekomendasi teknis peningkatan perlindungan data pribadi Telkom.
Kemudian, ada juga informasi bahwa data berupa data agen hingga proyek Badan Intelijen Negara (BIN) tersebar ke publik. Pihak BIN lewat Juru Bicara BIN Wawan Hari Purwanto membantah klaim tersebut.
"Itu hoaks, mas. Data BIN aman-aman saja. Data diri dan agen semua samaran. Jadi Data BIN tidak bocor," kata Wawan, Senin (22/8/2022).
Menteri Komunikasi dan Informatika (Menkominfo) Johnny G Plate meminta penyelenggara sistem elektronik (PSE) yang mengalami kebocoran data untuk segera memperbaiki masalah kebocoran data. Ia berharap imbauan tersebut bisa dijalankan semua PSE.
"Saya sudah berulang kali mengingatkan bagi para penyelenggara sistem elektronik yang di dalamnya ada sistem elektronik tolong dijaga dengan benar. Tolong dijaga betul. Apabila sudah mendengar tolong dilaksanakan," kata Johnny di Gedung DPP Partai Nasdem pada Senin (22/8/20220.
Plate mendesak pelaku PSE untuk selalu memutakhirkan sistem keamanan mereka demi mencegah serangan siber yang menyasar pada data pengguna. Ia ingin agar sistem keamanan terbaru, pengembangan SDM hingga manajemen tata kelola dalam pengelolaan teknologi harus diperkuat. Jika tidak, pemerintah akan menjatuhkan sanksi bagi PSE yang lalai mengelola data, terutama data pribadi hingga bocor ke publik. Sanksi yang dijatuhkan pun sesuai regulasi yang berlaku.
"Nanti, pertama, bila ada kebocoran akan dikenakan sanksi administrasi kemudian rekomendasi dari tiga poin yang sudah saya sampaikan sebelumnya," jelasnya.
Selain menjatuhkan sanksi, Kominfo juga akan melakukan audit, mengenai ukuran serangan yang menimpa PSE. "Sehingga nanti rekomendasi sanksi yang diberikan akan berdasarkan pada dasar audit," ungkapnya.
Bila PSE tidak melaksanakan apa yang diperintahkan dalam sanksi administrasi. Maka Kominfo tak segan memberikan sanksi tambahan kepada PSE.
"Kami melihat apakah PSE melakukan rekomendasi apa yang kami berikan. Namun, sebagian besar melaksanakan karena risikonya terlalu besar bila tidak melaksanakan. Seperti akan ada serangan baru dan menimbulkan ketidakpercayaan publik," ujarnya.
Saat disinggung soal urgensi Undang-Undang Perlindungan Data Pribadi (UU PDP), Plate malah menjawab regulasi tersebut berbeda konsep.
"RUU PDP hanya untuk data pribadi. Sedangkan ini kebocoran data juga terkait data negara seperti ekonomi, politik dan lainnya," ungkapnya.
Pengesahan UU PDP jadi Solusi Berulangnya Kebocoran Data Pribadi
Direktur Eksekutif ELSAM Wahyudi Djafar mengakui bahwa Indonesia sudah memiliki mekanisme penindakan kebocoran data sesuai PP 71 tahun 2019 maupun Permenkominfo 20 tahun 2016.
Apabila mengacu dua regulasi tersebut, Kominfo bisa melakukan investigasi dugaan kebocoran data dan informasi pribadi. Investigasi itu berupa pengecekan apakah PSE menerapkan sistem keamanan yang kuat, mengenkripsi data-data yang diperoleh hingga memetakan potensi pidana dari kebocoran tersebut.
Ketika ditemukan ada unsur pidana, Kominfo bisa melaporkan kepada penegak hukum untuk memroses pidana sesuai Undang-Undang Informasi dan Transaksi Elektronik (UU ITE) pasal 30. Di sisi lain, konsumen data bisa meminta pemulihan atas dampak kebocoran data akibat kelalaian pengelola data oleh PSE.
"Sayangnya, memang kan meskipun tadi ada beberapa aturan yang sudah tersedia bisa dikatakan hari ini regulator itu belum secara konsisten menerapkan beberapa aturan itu. Termasuk, misalnya, ketentuan-ketentuan yang ada di dalam Undang-undang ITE sendiri ketika betul bahwa itu terjadi praktik peretasan oleh pihak luar terhadap suatu sistem elektronik yang dikelola oleh PSE tadi," jelas Wahyudi kepada reporter Tirto, Senin (22/8/2022).
Ia mencontohkan bagaimana pemenuhan hak konsumen untuk dimediasi dengan PSE yang mengalami kebocoran data. Hal tersebut tidak dilakukan Kominfo meski regulasi sudah berlaku saat ini.
Wahyudi beranggapan, Indonesia masih kekurangan regulasi dari hulu sampai hilir dalam masalah perlindungan data pribadi. Meski sudah ada PP 71 tahun 2019 maupun Permenkominfo 20 tahun 2016 dalam pengelolaan data pribadi, Wahyudi menganggap perlu ada pengaturan spesifik soal hal yang harus dilakukan PSE sebagai pengendali data. Hal itu dilakukan demi menjamin PSE patuh dalam ketentuan data pribadi.
Oleh karena itu, pengesahan Undang-Undang Perlindungan Data Pribadi (UU PDP) menjadi krusial karena aturan kewajiban dalam perlindungan data pribadi diatur di UU PDP.
Kedua, UU PDP juga akan mengatur lembaga yang punya otoritas dalam pengelolaan data pribadi. Otoritas ini harus mampu dan kuat dalam memastikan kepatuhan PSE dalam melaksanakan regulasi perlindungan data pribadi sesuai UU PDP.
Sepengetahuan Wahyudi, pembahasan UU PDP akan memasuki tahap akhir untuk disahkan sebagai undang-undang. Namun, pembahasan masih mengalami kebuntuan salah satunya karena DPR ingin otoritas PDP berdiri otonom sementara pemerintah ingin otoritas tersebut berada di bawah Kominfo. Ia lebih sepakat otoritas tersebut berdiri otonom karena otoritas yang mengawasi PDP tidak hanya swasta, tetapi juga instansi pemerintahan.
Kini, ia berharap agar pemerintahan segera menyusun UU PDP sesuai kebutuhan dan belajar dari pengalaman negara lain. Bagi Wahyudi, UU PDP penting untuk menegakkan perlindungan data pribadi yang kerap kali bermasalah di Indonesia.
"Iya (perbaikan regulasi) dengan melalui undang-undang PDP termasuk nantinya keberadaan dari otoritas PDP itu kira-kira otoritas itu nantinya bisa enggak secara efektif menegakkan hukum perlindungan data pribadi itu sendiri," kata Wahyudi.
Mengapa Serangan Siber Terjadi Berulang?
Ahli keamanan siber dari CISSReC (Communication & Information System Security Research Center) Pratama Dahlian Persadha tidak memungkiri bahwa kebocoran data di Indonesia cukup intens meski sudah lama terjadi. Ia menyebut kegiatan bekerja dari rumah atau work from home (WFH) ikut mempengaruhi tingginya upaya peretasan, pencurian data yang berujung penjualan data pribadi.
"Banyaknya kebocoran data ini hadir sejak pandemi COVID, meskipun kebocoran data itu sendiri sudah terjadi sejak lama. Namun dengan adanya WFH selama pandemi, ini meningkatkan risiko kebocoran data," kata Pratama kepada reporter Tirto, Senin (22/8/2022).
Berdasarkan catatan BSSN yang dikutip Pratama, anomaly traffic di Indonesia naik dari 2020 sebanyak 800-an juta menjadi 1,6 milliar pada 2021. Anomaly traffic yang dimaksud dapat diartikan sebagai serangan dan lalu lintas data yang tidak biasa seperti serangan DDoS. Risiko kebocoran data pun menguat karena kegiatan work from home (WFH). WFH membuat para pekerja berpotensi mengakses jaringan yang tidak aman.
"Kondisi ini secara langsung meningkatkan risiko terutama bila pegawai melakukan akses lewat jaringan yang tidak aman seperti di kafe maupun dengan wifi gratisan di lokasi terbuka," kata pria yang juga dosen di Sekolah Tinggi Intelijen Negara ini.
Ia pun menilai pemerintah tidak bisa bertindak banyak selain memberikan sanksi administratif sesuai Permenkominfo No.20 tahun 2016 tentang perlindungan data pribadi. Kondisi di Indonesia diperparah dengan belum adanya UU Perlindungan Data Pribadi, sehingga tidak ada upaya memaksa dari negara kepada penyelenggara sistem elektronik (PSE) untuk bisa mengamankan data dan sistem yang mereka kelola dengan maksimal atau dengan standar tertentu.
"Akibatnya banyak terjadi kebocoran data, namun tidak ada yang bertanggung jawab, semua merasa menjadi korban. Padahal soal ancaman peretasan ini sudah diketahui luas, seharusnya PSE melakukan pengamanan maksimal, meski belum ada UU PDP, minimal melakukan pengamanan maksimal demi nama baik lembaga atau perusahaan," kata Pratama.
"Semua bisa menjadi target peretasan dan pencurian data. Pencurian data bisa dilakukan lewat aksi offline maupun peretasan online," tegas Pratama.
Pratama menuturkan, BSSN sebenarnya sudah hadir dengan program CSIRT atau computer security incident response team. Kini CSIRT mulai banyak dibentuk di Kementerian maupun lembaga negara lainnya. BUMN pun seharusnya memiliki CSIRT sendiri.
Menurut Pratama, keberadaan CSIRT atau tim yang serupa ini dapat melakukan pencegahan maupun langkah mitigasi. Dengan banyaknya kejadian seperti saat ini, pemerintah seharusnya mendorong lembaga dan perusahaan besar untuk serius memperhatikan keamanan data dan sistem yang mereka kelola.
Ia mengakui bahwa siapapun bisa menjadi target pencurian data. Namun, bila ini terus-menerus terjadi di lembaga negara dan BUMN besar, maka ini menjadi tanda tanya, sejauh mana keseriusan negara dalam mengamankan aset digital, sistem dan data pribadi masyarakat yang dikelola.
"Untuk mengurangi dan mencegah kebocoran data dari sisi negara, dalam hal ini Kominfo dan DPR, harus segera menyelesaikan UU PDP. Dengan UU ini, semua PSE dipaksa melakukan pengamanan secara maksimal, sehingga bila ada kebocoran data dan mereka terbukti lalai tidak melakukan sebagaimana mestinya amanat UU PDP, maka ada hukuman denda yang menanti. Di Uni Eropa denda bisa mencapai 20 juta Euro untuk setiap kasus penyalahgunaan dan kebocoran data pribadi masyarakat," jelas Pratama.
Dari sisi pelaku bisnis, harus mau pro aktif melakukan pengamanan pada lembaga mereka. Saat ini, sepengetahuan Pratama, sektor swasta usaha sudah berupaya meningkatkan keamanan siber pada lembaga masing-masing.
Namun, ekosistem siber Indonesia belum optimal seperti belum dipayungi UU PDP dan perangkat lainnya sehingga pelaku bisnis masih menghadapi ancaman yang beraneka ragam.
Penulis: Andrian Pratama Taher
Editor: Maya Saputri