tirto.id - Pada bulan Agustus 2021, dugaan kebocoran jutaan data pribadi dalam aplikasi untuk pelaju antarprovinsi dan antarnegara di Electronic Health Alert Card (e-HAC) sempat meresahkan masyarakat Indonesia. Data-data yang bocor tidak hanya sekadar data yang dimuat di Kartu Tanda Penduduk (KTP), tetapi juga data hasil tes COVID-19, paspor, dan lain-lain.
Kementerian Kesehatan memang sempat menyangkal adanya kebocoran data e-HAC, meskipun kementerian tersebut juga telah menemukan dan memperbaiki kerentanan tersebut pada platform mitra, menurut keterangan tertulis tertanggal 1 September 2021.
Masalah perlindungan data pribadi di Indonesia memang bukanlah hal baru. Pada 2 tahun terakhir saja, sudah ada beberapa kasus kebocoran data pribadi.
Kasus-kasus terbaru terkait perlindungan data pribadi ini di antaranya adalah kebocoran data 297 juta penduduk yang berasal dari Badan Penyelenggara Jaminan Sosial (BPJS) Kesehatan yang mencuat pada Mei 2021, disusul oleh kebocoran data dua juta nasabah BRI Life pada Juli 2021.
Sebelumnya, pada 2020 lalu, kasus kebocoran data ini juga terjadi, melibatkan data 91 juta pengguna Tokopedia yang mencuat pada Mei 2020, serta 1,2 juta data pengguna Bhinneka.com dan 2,3 juta data pemilih dari Komisi Pemilihan Umum (KPU) Indonesia pada bulan yang sama, seperti dilansir dari CNBC Indonesia.
Bahkan pada Juni 2020, muncul berita bahwa sekitar 230 ribu data pasien COVID-19 di Indonesia bocor dan dijual, seperti dilansir dari CNN Indonesia.
Padahal, perlindungan data pribadi penting untuk mencegah dampak kebocoran data. Direktur Sistem dan Sumber Daya Informasi Universitas Gadjah Mada Widyawan mengatakan bahwa dampak akibat kebocoran data ini cukup banyak, diantaranya terkait masalah privacy yang lebih banyak menyangkut soal data pribadi, seperti informasi alamat, tanggal lahir, kondisi keuangan yang kemungkinan akan terekspos, selain juga bahaya pencurian identitas, mengutip keterangan pers. Kebocoran data juga mengancam reputasi lembaga yang datanya bocor.
Lantas bagaimana tren kejahatan siber dalam 5 tahun terakhir dan apa akar masalahnya? Apa saja yang dilakukan pemerintah untuk memperkuat perlindungan data pribadi?
Cenderung Naik?
Data Patroli Siber Kepolisian Negara Republik Indonesia (Polri) menunjukkan, jumlah aduan yang masuk dan dilaporkan oleh seluruh kepolisian daerah (Polda) terkait serangan siber melonjak hampir dua kali lipat dari 2.609 laporan pada 2015 menjadi 4.586 laporan pada 2019.
Dari sekitar 20 ribu laporan pada medio 2015-2020, kebanyakan melaporkan penipuan online, penyebaran konten provokatif, dan pornografi. Sementara, pencurian data atau identitas seperti dugaan e-HAC ada di peringkat tertinggi keenam.
Sementara itu, ada sekitar 28.000 aduan masyarakat melalui portal Patroli Siber per 20 September 2021. Dari total tersebut, sebagian besar aduan berkaitan dengan penipuan. WhatsApp pun menjadi platform atau kanal paling populer untuk kejahatan siber.
Portal yang sama juga menunjukan bahwa laporan yang masuk ke Polda terkait kejahatan siber ini turun tajam dari 4.586 aduan pada 2019 menjadi 2.259 aduan pada 2020.
Berbeda dengan temuan ini, Badan Siber dan Sandi Negara (BSSN) menemukan bahwa serangan siber pada 2020 justru meningkat dua kali lipat dibandingkan 2019, dari 228,27 juta serangan menjadi 495,33 juta serangan, mengutip siaran pers.
“Oleh sebab itu, perlindungan terhadap Infrastruktur Informasi Kritikal Nasional (IIKN) merupakan hal yang wajib dan mutlak dilakukan, karena serangan siber di sektor ini dapat menyebabkan terganggunya keamanan, keselamatan hingga rusaknya reputasi maupun citra negara di mata publik nasional, bahkan internasional,” ujar Intan Rahayu, Direktur Identifikasi Kerentanan dan Penilaian Risiko IIKN BSSN.
Rancangan peraturan BSSN tentang IIKN menyebut sektor IIKN meliputi penegakan hukum, energi dan sumber daya mineral, transportasi, keuangan dan perbankan, kesehatan, teknologi informasi dan komunikasi, pangan (pertanian), pertahanan dan industri strategis, layanan darurat (sosial), sumber daya air, dan pemerintah.
Ketua Lembaga Riset Communication Information System Security Research Center (CISSReC) Pratama Persadha kepada Tirto, Selasa (21/9/2021), menjelaskan bahwa peretasan, malware (perangkat lunak untuk meretas), dan kesalahan manusia menjadi beberapa penyebab kebocoran data di Tanah Air, ungkap Pratama.
Namun, ia menilai kesalahan pada sistem paling sering menjadi alasan di balik kebocoran data di Indonesia, sehingga sistemnya mudah dieksploitasi oleh pihak luar maupun pihak dalam.
“Dalam berbagai kasus kebocoran data, misalnya, ternyata enkripsi ini tidak diimplementasikan pada data masyarakat. Akibatnya, setelah bocor, data mudah saja dijual dan disebarluaskan,” jelas Pratama.
Sementara itu, Direktur Eksekutif Information and Communication Technology (ICT) Institute Heru Sutadi bahwa ketiadaan Undang-Udang (UU) yang kuat dalam memberikan perlindungan data pribadi, termasuk sanksi bagi para pelanggarnya, menjadi salah satu akar masalah lemahnya perlindungan data pribadi di Indonesia.
“Kemudian, karena seperti tidak [ada] aturan, banyak yang menganggap perlindungan data pribadi tidak penting dan baru bergerak bilamana ada data yang bocor atau sistem diterobos,” ungkap Heru.
RUU Perlindungan Data Pribadi?
Pemerintah dan Dewan Perwakilan Rakyat kini tengah menyelesaikan Rancangan Undang-Undang Perlindungan Data Pribadi (RUU PDP) untuk melindungi data pribadi dalam ranah digital.
Menteri Komunikasi dan Informatika (Kominfo) Johnny G. Plate mengungkap, sudah ada 136 negara dari 200 lebih negara di dunia yang memiliki General Data Protection Regulation atau regulasi yang mengatur perlindungan data pribadi, mengutip siaran pers. Indonesia pun akan menjadi negara ke-5 di ASEAN jika sudah mengesahkan RUU tersebut.
“Padahal Indonesia ini salah satu negara terbesar jumlah penduduknya di ASEAN, sehingga kita memang udah sangat mendesak harus mempunyai UU PDP," tutur Johnny pada 29 Juni 2020, melalui keterangan pers yang sama.
Siaran pers itu menyebut bahwa RUU PDP memiliki empat unsur penting, yaitu pemilik data atau data owner, pengguna data atau data user, flow data dan keamanan data.
Memang, Indonesia memiliki aturan soal perlindungan data pribadi melalui Peraturan Menteri Nomor 20 Tahun 2016 tentang Perlindungan Data Pribadi. Namun, belum ada payung hukum setingkat undang-undang yang secara spesifik mengatur tentang perlindungan data pribadi.
Kendati cita-cita tersebut, RUU ini masih mandek hingga saat ini. Anggota Komisi I DPR RI Muhammad Iqbal melalui keterangan tertulis menyebut pada 31 Agustus 2021 bahwa masih ada perbedaan tanggapan mengenai pembentukan otoritas pengawas data pribadi.
Seluruh Fraksi di Komisi I DPR menginginkan agar lembaga pengawas perlindungan data pribadi bersifat independen dan bertanggung jawab langsung kepada Presiden, ucap Iqbal. Akan tetapi, pemerintah menginginkan kewenangan tersebut berada di naungan Kominfo.
"Ada perbedaan pandangan dalam pembahasan RUU PDP ini, tetapi saya yakin, masa sidang ini, kita sama-sama berharap perbedaan pandangan itu bisa kita satukan, kemudian RUU ini bisa menjadi UU," tandas Iqbal.
Selain RUU PDP, RUU tentang Keamanan dan Ketahanan Siber juga dalam Program Legislasi Nasional 2020-2024. Namun, RUU ini sampai saat ini belum sampai tahap penyusunan, menukil situs DPR, meskipun naskah akademiknya sudah disusun.
Langkah Berikutnya?
Ketua CISSReC Pratama Persadha mendorong pemerintah untuk segera menyelesaikan RUU PDP dan RUU tentang Keamanan dan Ketahanan Siber guna melengkapi perundangan yang menaungi wilayah siber.
Menurut Pratama, Indonesia membutuhkan RUU PDP untuk memaksa lembaga negara maupun swasta agar mau menerapkan keamanan siber tingkat tinggi pada sistemnya, sehingga mengurangi kemungkinan kebocoran data.
“Yang terpenting dibutuhkan UU PDP yang isinya tegas dan ketat seperti di Eropa,” ungkap Pratama Persadha.
Pemerintah pun perlu mengedukasi masyarakat terkait perlindungan data pribadi, termasuk terkait RUU PDP. Pembuat kebijakan dapat melakukan hal tersebut lewat kurikulum pendidikan ataupun edukasi ke masyarakat yang sudah berusia lanjut lewat infrastruktur kelurahan atau lembaga di bawahnya.
Hal ini penting mengingat bahwa masyarakat dan para pengambil kebijakan berada dalam “ancaman” berbagai UU jika melakukan tindakan melanggar hukum di wilayah siber.
“Karena itu masyarakat harus di edukasi, jangan hanya diberikan ‘pukulan’ lewat berbagai perangkat UU yang mengancam hak hidupnya,” kata Pratama.
Lembaga negara maupun swasta juga dapat bekerjasama dengan BSSN untuk melakukan audit forensik digital guna mendeteksi “lubang-lubang” keamanan yang ada. Pemerintah juga wajib melakukan Penetration Test (simulasi serangan siber) secara berkala untuk mendeteksi kelemahan yang harus diperbaiki segera, tegas Pratama.
Pratama berharap, berbagai pendekatan tersebut akan mampu menginternalisasi budaya keamanan siber dan data pribadi di lingkungan masyarakat maupun para pengambil kebijakan, sehingga Indonesia dapat menghasilkan berbagai kebijakan yang pro keamanan siber dan perlindungan data pribadi.
Editor: Farida Susanty
