Bisnis.com, JAKARTA - Kehadiran era digital justru menghadirkan ironi baru bagi data pribadi yang kini justru sukar untuk dijaga kerahasiaannya seiring dengan masifnya peristiwa kebocoran data.
Data pribadi yang mafhum diberikan sebagai pelengkap syarat secara sukarela justru menjadi barang yang mudah berpindah tangan kepada pihak yang tidak bertanggung jawab. Publik menjadi tidak punya kendali terhadap kerahasiaan dan keamanan data-data pribadi mereka.
Pada awal 2022, setidaknya sudah ada dua dugaan kebocoran data yang mengemuka yaitu data diduga milik Kementerian Kesehatan (Kemenkes) dan pelamar anak perusahaan Pertamina.
Pada 6 Januari 2022, data pasien diduga milik Kemenkes bocor dan dijual di raid forum atau situs yang kerap menjual data pribadi. Jumlah pasien yang datanya ditemukan bocor mencapai 6 juta pasien dengan ukuran mencapai 720GB. Tidak hanya data pribadi, data yang dijual bebas di situs itu juga meliputi rekam medis pasien yang dikumpulkan dari berbagai rumah sakit.
Selang beberapa hari, sebanyak 160.000 data pelamar kerja di perusahaan Pertamina juga dibagi secara cuma-cuma di forum tersebut.
Jauh sebelum itu tepatnya pada 2019, terjadi insiden bocornya data pengguna Bukalapak sebanyak 12,9 juta data, lalu data seluruh pengguna Tokopedia sebanyak 91 juta data juga bocor di Mei 2020. Kebocoran data juga terjadi di platform online kecil dan e-commerce kecil dengan data yang bocor berkisar 1 juta.
Kejadian tersebut belum seberapa dibanding kejadian pelanggaran data yang terjadi di sistem IT BPJS Kesehatan. Sebanyak 272 juta data WNI bocor dan diperjual belikan di forum online.
Indonesia Cyber Security Forum (ICSF) menyebut saat ini Indonesia bukan lagi memasuki era digital tapi sudah dalam suasana perang siber skala global. Sayangnya, upaya peningkatan keamanan data dan siber saat ini masih bersifat normatif alias hal-hal yang biasa dan sudah diketahui para hacker.
Ketua ICSF Ardi Sutedja lantas mempertanyakan kelanjutan pembahasan Rencana Undang-Undang (RUU) Pelindungan Data Pribadi (PDP).
Sebab menurutnya, Indonesia masih dalam tahap belajar memahami segala bentuk kejahatan siber, sehingga selalu berada di urutan pertama sebagai negara yang mengalami kebocoran data di tingkat Kementerian dan Lembaga.
"Sebagai gambaran, bisa kita lihat dari berbagai data posisi kita sangatlah lemah dan ini juga bisa kita maklumi bahwasanya kita baru masuk tahap belajar sadar siber belum lama," ujarnya kepada Bisnis.com, Minggu (6/3/2022).
Dia menyebut, upaya bersama dari pemerintah dan industri dengan mempromosikan RUU PDP sudah bisa menjadi semacam barometer keberpihakan terhadap perlindungan data dan privasi. Artinya, kedua hal tersebut sudah dianggap sebagai sesuatu yang wajib dilindungi berdasarkan UU-nya.
Sayangnya lagi, kata Ardi, kelambanan pemerintah mengesahkan RUU PDP menjadi UU juga telah meruntuhkan kepercayaan dan persepsi publik terhadap masa depan perlindungan hukum atas perlindungan data dan privasi. Padahal, intensitas peretasan dan kebocoran data semakin hari semakin intens.
"Kita harus paham bahwa kita sangat rentan di bidang keamanan siber. Amerika Serikat saja sudah kewalahan menghadapi serangan siber yang bertubi-tubi dalam kurun waktu 5-6 tahun terakhir. Lantas apa kehebatan Indonesia menghadapi ancaman siber terlebih tahun lalu sudah ada 10 kementerian dan lembaga pemerintah yang menjadi korban peretasan termasuk BIN dan BSSN, dan yang terakhir Bank Sentra dan Ditjen Pajak," tegasnya.
Menurut Ardi, persepsi tentang kebocoran data ini masih keliru di masyarakat. Kebanyakan orang mengingat bahwa bila terjadi kebocoran data, artinya peretas sudah memasuki rumah dan menguasai isi rumah dan terserah mereka mau berbuat apa selanjutnya. Padahal, para peretas adalah kelompok manusia yang sangat sabar dan bergerak perlahan.
Di sisi lain, ujar dia, pemerintah juga tidak paham konstelasi besar ancaman siber sebagai ancaman terhadap keamanan nasional yang bisa berdampak kepada hajat hidup orang banyak.
"Namun juga harus disadari bahwa RUU PDP bukan obat mujarab perlindungan data dan privasi karena belum semua menyadari pentingnya masalah perlindungan data dan privasi terutama di kalangan pejabat dan kementerian/lembaga pemerintah," tuturnya.
Senada dengan Ardi, ahli keamanan siber dari CISSReC Pratama Persadha juga menyebut perbaikan regulasi dari segi UU maupun teknis sangat dibutuhkan seiring dengan masalah keamanan siber di Indonesia yang selalu menjadi sorotan.
Serangan siber, kata dia, tidak hanya terjadi di sistem milik lembaga pemerintahan, tetapi juga di perusahaan swasta dengan segala lini bisnis. Belum lagi berbagai kasus penyalahgunaan data pribadi masyarakat lantaran tidak ada pembekalan pengetahuan apa yang boleh dan tidak boleh dilakukan di internet.
"Akibatnya banyak juga [masyarakat] yang menjadi korban peretasan, phising maupun social engineering," ucap Pratama.
Dia memerinci, sejak pandemi Covid-19, semakin banyak kasus kebocoran data pribadi di Tanah Air, mulai dari Tokopedia, BRI Life, Dukcapil, BPJS, KPU, Polri, BI bahkan BSSN. Tren ini akan terus menerus terjadi bila belum ada perbaikan dari sisi regulasi UU maupun teknis.
Keamanan siber, lanjut Pratama, adalah soal berbagai upaya untuk menghalau, deteksi dan juga mitigasi mengingat selalu ada lubang baru atau tools baru yang bisa digunakan untuk meretas sistem sekuat apapun.
Adapun baginya, solusi dari permasalahan ini adalah dengan menyelesaikan segera RUU PDP sehingga ada paksaan atau amanat dari UU tersebut untuk memaksa semua lembaga negara dan swasta melakukan perbaikan infrastruktur IT, sumber daya manusia, bahkan adopsi regulasi yang pro pengamanan siber.
"Tanpa UU PDP, kejadian peretasan seperti situs pemerintah ataupun swasta akan terus berulang. Dalam dunia keamanan siber, tidak ada sistem informasi yang benar-benar aman 100 persen sebab keamanan sistem informasi itu proses, bukan hasil. Artinya hari ini aman, belum tentu besok aman dan seterusnya," imbuhnya.
Pengamat teknologi informasi (TI) sekaligus pakar forensik digital Ruby Alamsyah turut menambahkan bahwa belum adanya UU PDP di Indonesia membuat kesan bahwa industri dan instansi pemerintah yang menyimpan dan mengolah data masyarakat tidak akan disanksi dalam bentuk pidana maupun perdata bila terjadi kesalahan di sistem mereka.
Menurut dia, negara tidak hanya membutuhkan Sumber Daya Manusia (SDM) yang berkualitas dan teknologi mumpuni untuk mengatasi masalah kebocoran data, tapi dibutuhkan juga kemauan yang kuat dari top level management serta implementasi yang tepat di level operasionalnya.
"Melihat kejadian kebobolan data selama tiga tahun terakhir dan dari modus serta teknik yang digunakan pelaku, seharusnya industri dan instansi pemerintah bisa mendapatkan pelajaran yang luar biasa banyak dan dapat mengimplementasikan keamanan yang lebih baik agar terhindar dari kejadian serupa," keluh dia.
Sementara itu, sebelumnya, Menteri Komunikasi dan Informatika (Menkominfo) Johnny G Plate mengatakan terdapat 35 kasus kegagalan perlindungan data pribadi yang ditangani Kementerian Kominfo sejak 2019 hingga Juli 2021.
Kasus kegagalan perlindungan data pribadi itu menunjukkan perlunya peningkatan teknologi keamanan data.
"Memperhatikan kebocoran data yang cukup masif tidak ada pilihan lain, selain dengan meningkatkan teknologi keamanan atas semua penyelenggara sistem elektronik sebagai pemangku pemangku data," tegas Johnny dikutip dari akun Youtube Kemenkominfo, Minggu (6/3/2022).
Juru Bicara Kemenkominfo Dedy Permadi juga mengaku akan terus mengupayakan RUU PDP selesai dibahas tahun ini, setelah tertunda hampir dua tahun. Dia menyebut proses pembahasannya berkejaran dengan waktu mengingat hampir masuk masa reses DPR RI.
"Regulasi mengenai perlindungan data pribadi menjadi semakin penting untuk dimiliki karena salah satu isu utama dalam Digital Economy Working Group [DEWG] G20 mengenai arus data lintas negara yang terpercaya," ujarnya dalam sebuah webinar, pekan lalu.
Undang-Undang Pelindungan Data Pribadi, tambah Dedy, juga akan memperkuat regulasi tentang data, yang selama ini masih tersebar di berbagai sektor. Meskipun belum memiliki regulasi primer untuk perlindungan data pribadi, selama ini perlindungan terhadap data tetap berjalan dengan aturan yang sudah ada.
Adapun aturan yang saat ini memuat perlindungan data pribadi antara lain adalah UU No. 19/2016 tentang Perubahan Atas UU No. 11/2008 tentang Informasi dan Transaksi Elektronik (UU ITE) dan Peraturan Pemerintah No. 71/2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik.
Pada sektor Kemenkominfo sendiri, terdapat juga Peraturan Menteri yang berkaitan dengan tata kelola data pribadi, yaitu Permenkominfo No. 5/2020 tentang Penyelenggara Sistem Elektronik Lingkup Privat.