tirto.id - 337 juta data milik Direktorat Jenderal Dinas Kependudukan dan Pencatatan Sipil Kementerian Dalam Negeri (Ditjen Dukcapil Kemendagri) bocor. Data itu dijual, beredar di dunia maya. Sebuah akun Twitter mengunggah hasil peretasan itu pada 16 Juli 2023.
Data yang bocor berisi nama, nomor induk kependudukan, nomor kartu keluarga, alamat, nama ayah, nama ibu dan sebagainya. Lalu, 18 Juli 2023, ada juga akun Twitter @DailyDarkWeb yang mengunggah kebocoran data Sistem Informasi Administrasi Kependudukan (SIAK) Terpusat daring yang dijalankan oleh Ditjen Dukcapil Kemendagri.
Ada 217 juta data SIAK yang siap dijual oleh peretas. Data-data itu juga berisi tentang nama, tanggal lahir, tempat lahir, dan sebagainya –yang intinya adalah data pribadi masyarakat Indonesia.
Dirjen Dukcapil Kemendagri, Teguh Setyabudi buka suara perihal dugaan kebocoran 337 juta data tersebut. Ia bilang pihaknya bersama Badan Siber dan Sandi Negara (BSSN) dan pemangku kepentingan terkait telah melaksanakan mitigasi preventif dan audit investigasi secara cepat menyusul dugaan kebocoran data itu.
Hasilnya tidak ditemukan kebocoran data. "Sejauh ini tidak ditemukan jejak kebocoran data pada SIAK Terpusat daring, yang dijalankan oleh Ditjen Dukcapil Kemendagri," kata Teguh saat dikonfirmasi Tirto, Senin, 17 Juli 2023.
Kini pihaknya tengah mengaudit guna mendalami dugaan kebocoran data. Langkah itu ditempuh sekaligus upaya preventif untuk mencegah hal serupa di masa akan datang.
“Proses audit investigasi masih terus berlangsung untuk mendalami dugaan kebocoran, termasuk basis data yang ada di kabupaten/kota, sekaligus mitigasi preventif untuk pencegahan pada masa mendatang," aku Teguh.
Sementara itu, Menkominfo Budi Arie Setiadi merespons, “Kebocoran data, ada 300 juta NIK bocor. Padahal penduduk (Indonesia) cuma 277 juta. Berarti orang Indonesia ada yang (punya) lebih dari dua NIK," ucap dia.
Bukan Sekali Ini Saja
Kebocoran data Dukcapil bukan kali pertama terjadi. Bahkan ada juga pencurian data pribadi yang dilakukan oleh peretas Bjorka pada data paspor Direktorat Jenderal Imigrasi, data pelanggan My Indihome Telkom Indonesia. Ketua Communication & Information System Security Research Centre (Cissrec) Pratama Persadha menjelaskan tentang maraknya pencurian data yang terjadi di Indonesia.
Dunia keamanan siber di Indonesia kerap geger belakangan ini lantaran serangan siber serta pencurian data pribadi dari lembaga pemerintahan maupun korporasi, seperti serangan ransomware yang menyasar Garuda Indonesia dan Bank Syariah Indonesia.
Pratama menyatakan, karena seringnya terjadi kasus kebocoran data pribadi, pemerintah harus lebih serius dalam menerapkan hukum dan regulasi terkait perlindungan data pribadi. "Dalam kasus kebocoran data, pihak-pihak yang harus bertanggung jawab adalah perusahaan sebagai pengendali atau pemroses data, serta pelaku kejahatan siber yang menyebarkan data pribadi ke ruang publik," kata dia dalam keterangannya.
Untuk pihak-pihak yang berdomisili di Indonesia, kata dia, penegak hukum bisa menggunakan Pasal 57 Undang-Undang Nomor 27 tahun 2022 tentang Perlindungan Data Pribadi (UU PDP) sebagai dasar tuntutan. Menurut Pratama, UU PDP bukanlah tidak ampuh, taoi belum bisa diterapkan secara maksimal karena adanya beberapa hambatan.
UU PDP disahkan pada 2022 dan langsung berlaku saat diundangkan, namun DPR dan pemerintah masih memberikan masa transisi 2 tahun agar semua pihak mulai menyesuaikan kebijakan internal sesuai dengan regulasi tersebut, termasuk salah satunya merekrut Petugas Perlindungan Data (Data Protection Officer).
Oktober 2024 adalah batas maksimal diberlakukannya UU PDP secara penuh. Semestinya, kata dia, bisa lebih cepat jika pemerintah sudah membentuk lembaga serta turunan undang-undang.
“Jadi yang perlu secepatnya dilakukan oleh pemerintah adalah segera membentuk Komisi PDP sesuai amanat UU PDP Pasal 58-60. lembaga pengawas PDP ini berada di bawah presiden dan bertanggung jawab kepada Presiden," tutur Pratama.
Karena dengan membentuk lembaga tersebut, proses penegakan hukum serta pemberian sanksi bisa segera diterapkan. Sehingga dengan diterapkan sanksi administratif serta sanksi hukum yang ada di UU PDP, pihak terkait dengan data pribadi lebih perhatian terhadap keamanan data pribadi. Hal ini supaya kebocoran data pribadi dapat diselesaikan dengan baik dan rakyat bisa terlindungi.
Meski ada masa transisi dua tahun setelah pengesahan, prinsip dan norma UU PDP berlaku. Artinya ketentuan pidana dalam UU PDP dapat diterapkan saat ini. Itu juga berkaitan dengan bagaimana penegak hukum bisa memahami konstruksi perkara dalam UU PDP.
Regulasi ini terbit setelah DPR dan pemerintah merespons beragam upaya peretasan dan pencurian data pribadi yang marak pada pertengahan 2022.
Segera Bentuk Komite PDP
Pasal 58 hingga Pasal 61 UU PDP mengatur soal pembentukan lembaga khusus yang mengawal masalah perlindungan data pribadi. Aturan tersebut ihwal bentuk, tugas dan fungsi, serta ketentuan tata cara lembaga yang fokus pada isu perlindungan data pribadi.
Anggota Komisi I DPR RI, Dave Akbarshah Fikarno Laksono berujar, Komite PDP bisa dibentuk untuk mengakomodasi hukum. "Tapi harus ada ketegasan dan kejelasan otoritas dan tanggung jawab lembaga ini apa. Agar tidak hanya menghamburkan anggaran negara, tetapi juga benar-benar bermanfaat," kata dia kepada Tirto, Selasa, 18 Juli 2023.
Perihal kasus kebocoran data yang tidak diusut tuntas, Dave menilai harus ada ketegasan dalam menjalankan protokol pengaman, standarisasi sistem dan perangkat keras, serta penanganan dan penangkalan kebocoran data. Dia menilai belum mengetahui rancangan kerja jangka panjang dalam menangani kebocoran data.
"Saya menantikan cetak biru bagaimana pemerintah membangun keamanan data secara masif yang bisa menjadi paduan kepada semua kementerian, lembaga (negara) dan lembaga swasta yang bertanggung jawab sebagai pengampu data," jelas Dave.
Redaksi Tirto telah berupaya menghubungi pihak Badan Siber dan Sandi Negara, namun hingga artikel ini dirilis tidak ada respons.
Penulis: Adi Briantika
Editor: Abdul Aziz