Berulangnya Kebocoran Data dan Urgensi Pengesahan RUU PDP

Warta Ekonomi, Jakarta -

Sekitar dua juta data nasabah PT Asuransi BRI Life diduga bocor dan dijual secara daring seharga US$7 ribu (sekitar Rp101 juta). Informasi ini diunggah pertama kali di Twitter pada Selasa (27/7/2021).

Kepala Divisi Sekretariat Perusahaan BRI Life Ade Ahmad Nasution memaparkan hasil investigasi internal atas kejadian ini bahwa sang pelaku kejahatan siber melakukan instrusi ke dalam sistem BRI Life Syariah, di mana sistem ini terpisah dari pusat sistem BRI Life.

"Pada sistem tersebut terdapat tidak lebih dari 25 ribu pemegang polis syariah individu, di mana data tersebut tidak berkaitan dengan data BRI Life maupun BRI Group lainnya," jelas dia melalui siaran persnya, Kamis (29/7/2021).

Baca Juga: Data BRI Life Diduga Bocor, Direksi Sampaikan Adanya Dugaan Celah Keamanan

Dia pun memastikan bahwa saat ini link awal di forum jual beli yang sempat viral di media sosial sudah tidak dapat ditemukan lagi. BRI Life telah melakukan respons terhadap insiden ini dan tindakan cepat dengan berkoordinasi ke pihak-pihak terkait, seperti Otoritas Jasa Keuangan (OJK) dan Kementerian Komunikasi dan Informatika (Kemenkominfo).

Lalu, perusahaan juga berkoordinasi dengan Direktorat Cyber Crime Bareskrim Polri dan Badan Sandi dan Siber Negara (BSSN). Ade juga bilang bahwa data pemegang polis tidak berubah dengan data awal yang ada di sistem.

"BRI Life akan berkoordinasi dengan pemegang polis syariah untuk memastikan layanan kepada pemegang polis tetap dapat dilakukan sesuai dengan manfaat polisnya," tandasnya.

Kebocoran data nasabah BRI Life ini pun telah dilaporkan kepada Bareskrim Polri untuk ditindaklanjuti. Pelapor tersebut disebut dari karyawan swasta.

"Kami baru menerima satu laporan terjadi tindakan upaya masuk secara ilegal ke dalam sistem informasi perusahaan, yang lapor karyawan swasta," kata Kepala Biro Penerangan Masyarakat Divisi Humas Polri Brigjen Pol Rusdi Hartono seperti dilansir dari Antara, Minggu (1/8/2021).

Polri akan mendalami laporan tersebut dan membuka kerja sama dengan pihak BRI Life yang telah melakukan investigasi awal.

Mengapa Kebocoran Data Terjadi?

Kasus ini menambah daftar hitam kebocoran data pribadi di Indonesia. Pasalnya, insiden ini bukan kali pertama atau kedua terjadi dalam kurun waktu singkat.

Mengutip data Kemenkominfo, dalam tiga tahun terakhir terdapat 29 lembaga yang datanya bobol. Dua bulan lalu atau tepatnya pada Mei 2021, sebuah akun di situs RaidForums mengaku memiliki sekitar 279 juta data penduduk Indonesia yang diduga milik BPJS Kesehatan. Data tersebut dijual di Raid Forums seharga 0,15 Bitcoin atau setara Rp87,1 juta.

Beberapa perusahaan teknologi juga pernah mengalami hal yang sama. Sebanyak 91 juta data pengguna Tokopedia, termasuk 7 juta data merchant, pernah dijual oleh peretas seharga US$5 ribu (sekitar Rp71 juta) di situs gelap Empire Market. E-commerce lain, Bukalapak, bahkan dua kali mengalami kebocoran data, Maret 2019 dan Mei 2020.

Ketua Indonesia Cyber Security Forum (ICSF) Ardi Sutedja meyakini faktor utama maraknya terjadi kebocoran data ialah karena kualitas sumber daya manusia (SDM) yang belum memadai. SDM yang dipercayakan untuk mengolah data belum diberikan pengetahuan yang cukup perihal tata cara menyimpan dan mengamankan data, sementara sistem teknologi yang dimiliki sudah terlampau jauh dibanding kualitas SDM.

Terlebih, lanjutnya, ia melihat kebanyakan instansi pengelola data terlalu memercayai teknologi pengamanan yang mereka miliki.

Saat dihubungi Warta Ekonomi, Sabtu (31/7/2021), Ardi bilang, "mereka tidak berpikir yang namanya teknologi itu tidak menjamin 100% bahwa data yang mereka simpan bisa diproteksi oleh teknologi. Kita sudah tahu di Amerika saja yang kapitalisasinya triliun dolar saja bisa jebol kok."

Karenanya, Kepala Lembaga Riset Siber CISSReC Pratama Persadha menyarankan instasi pemerintah maupun swasta sebaiknya meningkatkan penguatan sistem, SDM, serta adopsi teknologi untuk pengamanan data. Pasalnya, peretasan rawan terjadi di Indonesia, ditambah lagi kesadaran kemanan siber oleh masyarakat yang masih tergolong rendah.

"Seluruh instansi pemerintah maupun swasta bisa bekerja sama dengan BSSN (Badan Siber dan Sandi Negara) untuk melakukan audit digital forensik dan mengetahui lubang-lubang keamanan mana saja yang ada. Langkah ini sangat perlu dilakukan untuk menghindari pencurian data di masa yang akan datang," kata Pratama kepada Warta Ekonomi, Jumat (30/7/2021).

Selain itu, lanjut Pratama, pemerintah wajib melakukan pengujian sistem atau penetration test (pentest) minimal secara berkala kepada seluruh sistem lembaga negara.

"Ini adalah prinsip keamanan siber dan langkah preventif sehingga dari awal dapat ditemukan kelemahan yang harus diperbaiki segera," imbuhnya.

UU PDP Semakin Urgen

Pratama menilai, kasus kebocoran data di Indonesia sudah tergolong dalam kategori kritis. Ia memandang seharusnya pemerintah dan DPR bisa secepatnya menyepakati Rancangan Undang-Undang Perlindungan Data Pribadi (RUU PDP).

"Tanpa UU PDP yang kuat, para pengelola data pribadi, baik lembaga negara maupun swasta, tidak akan bisa dimintai pertanggungjawaban lebih jauh dan tidak akan bisa memaksa mereka untuk meningkatkan teknologi, SDM dan keamanan sistem informasinya," tegas Pratama.

Pratama menggarisbawahi kehadiran UU PDP yang hingga saat ini belum disepakati oleh pemerintah dan DPR merupakan aspek penting yang dibutuhkan di Tanah Air karena banyak peretasan besar yang menyasar pencurian data pribadi.

"Yang terpenting dibutuhkan UU PDP yang isinya tegas dan ketat seperti di Eropa. Tentu kita tidak ingin kejadian ini berulang. Karena itu, UU PDP sangat diperlukan kehadirannya, asalkan mempunyai pasal yang benar-benar kuat dan bertujuan mengamankan data masyarakat," tegasnya.

Mengamini pandangan Pratama, Ardi juga menekankan kehadiran UU PDP sebagai payung hukum yang akan melindungi perlindungan data pribadi masyarakat maupun pelaku usaha merupakan langkah penting yang harus segera diselesaikan. Pasalnya, kehadiran aturan perlindungan data pribadi yang tercantum dalam bentuk peraturan lain masih belum kuat untuk melindungi keamanan data masyarakat.

"Dunia usaha, masyarakat itu memerlukan paling tidak ada suatu langkah-langkah hukum yang bisa melindungi sebagian pada dampak daripada kebocoran data. Nah sekarang ini kan tidak ada. Ada yang sifatnya administratif dalam bentuk peraturan pemerintah, surat keputusan menteri, tapi itu tidak kuat," paparnya.

Bahaya RUU PDP Tak Segera Disahkan

Ardi menilai lambatnya progres pembahasan RUU PDP akan membahayakan berbagai pihak, tidak hanya masyarakat, tetapi juga pemerintah itu sendiri. Terlebih, situasi pandemi mendorong transformasi digital bergerak sangat cepat tanpa memberikan ruang yang cukup bagi masyarakat untuk mempersiapkan diri menghadapi perubahan ke arah digitalisasi.

Ia meyakini banyak masyarakat yang belum memahami risiko-risiko yang bisa terjadi dari percepatan digitalisasi tersebut.

"Kalau tidak ada perlindungan, ini sama saja kita masuk ke jurang tanpa memahami kenapa kita bisa masuk jurang. Ini akan berbahaya sekali buat kita semua, masyarakat, pemerintah juga. Teman-teman di pemerintah juga adalah bagian dari masyarakat yang memiliki data. Ini akan menjadi persoalan nantinya," katanya.

Padahal, kasus kebocoran data semakin marak terjadi belakangan ini. Tak hanya pencurian data yang menyerang instansi besar, kejahatan pelanggaran data juga menyasar langsung masyarakat secara individual seperti misalnya melalui penipuan dan pemalsuan identitas.

Namun, hingga saat ini, RUU PDP masih menemui jalan buntu (deadlock) lantaran perbedaan pendapat antara Komisi I DPR dan Kemenkominfo terkait letak struktur komisi perlindungan data pribadi nantinya. DPR menginginkan agar lembaga bersifat independen, sementara Kemenkominfo meminta lembaga tersebut berada di bawah naungannya.

"Data bocor, dimanfaatkan pihak ketiga, itu kan sama saja pemanfaatan data curian kan, nah itu tidak dibahas. Dampaknya apa pada masyarakat data curian itu? Tidak ada dibahas. Jadi kita stuck hanya di dalam perdebatan pendapat antara pemerintah-DPR, tapi tidak memikirkan masalah yang lebih besar," jelasnya.

Apabila kasus kebocoran ini terus terjadi tanpa dilindungi oleh payung hukum yang jelas, pada akhirnya orang-orang akan menganggap kasus ini sebagai suatu hal yang lumrah.

"Lama kelamaan kita tidak akan punya payung hukum sehingga kerawanan semakin meningkat, kebocoran data akan terjadi hampir setiap hari, dan orang akan menganggap ini sebagai suatu hal yang lumrah, akan bocor terus," kritiknya.

Selain itu, maraknya kasus kebocoran data juga akan menghilangkan kepercayaan investor menanamkan investasi di Indonesia. Investor akan menimbang kemampuan Indonesia mengelola dan mengamankan data pribadi sebelum menaruh investasinya. Dengan demikian, ketiadaan payung hukum yang bersifat melindungi keamanan data akan berimbas pada runtuhnya kepercayaan publik berinvestasi di negeri ini.

"Kalau tidak ada kepastian hukum dalam perlindungan data, tentunya ini akan berimbas orang tidak akan mau menanamkan investasi di sini, karena itu risiko yang cukup besar," tutur Ardi.

Oleh karena itu, ia meminta para pihak yang terlibat dalam pembahasan RUU PDP untuk segera mengakhiri perselisihannya dan menentukan titik temu agar rancangan tersebut dapat disahkan menjadi undang-undang secepat mungkin.

"Andaikan para pihak yang sekarang ini memiliki perbedaan pendapat menyadari gambaran besarnya, the big picture-nya, melihat semua ini dari helikopter, seharusnya segera dicarikan titik temu, segera diundang-undangkan. Karena taruhannya terlalu besar buat kita bangsa Indonesia dan potensi investasi yang datang, itu risikonya besar sekali," tutupnya.

Negeri Singa Punya PDPA

Tak seperti Indonesia, Singapura sudah punya payung hukum yang menangani data pribadi. Bernama Personal data Protection Act (PDPA), aturan ini memberikan masyarakat hak terhadap data pribadi dan penggunaanya. PDPA juga memperkuat komitmen organisasi untuk melindungi data masyarakat dari peretasan dan kebocoran data.

Dengan payung hukum tersebut, setiap perusahaan di Singapura yang mengalami kebocoran data diwajibkan membayar denda yang tidak sedikit. Misalnya pada tahun 2018, seperti dikutip dari The Straits Times, sebanyak 1,5 juta data pasien institusi kesehatan terbesar di Singapura, SingHealth, diakses dan disalin secara ilegal. Data tersebut terdiri dari nama, alamat, jenis kelamin, ras, dan tanggal lahir, sedangkan diagnosis dan catatan kesehatan pasien tidak diretas.

SingHealth kemudian menghubungi seluruh pasien yang telah menggunakan fasilitas dan layanannya untuk menginformasikan soal kebocoran data mereka.

Akibat kasus ini, SingHealth harus membayar denda sebesar S$250 ribu atau sekitar Rp2-3 miliar sebagai pemilik data pasien yang bobol. Bahkan, Integrated Health Information System (IHIS) sebagai pengelola sistem informasi sektor kesehatan Singapura didenda lebih besar lagi, yakni S$750 ribu atau sekira Rp8-9 miliar. Denda ini merupakan kewajiiban dan konsekuensi organisasi yang diatur dalam PDPA.