Pengamat Pertanyakan Keseriusan Negara Amankan Data Pribadi Masyarakat Indonesia

Tidak sembarangan, laporan insiden dugaan kebocoran data dialami oleh Perusahaan Listrik Negara (PLN), kemudian disusul data riwayat penelusuran pelanggan IndiHome. Keduanya merupakan perusahaan badan usaha milik negara (BUMN).

Bila melihat ke belakang, kasus kebocoran data di Indonesia juga sudah beberapa kali terjadi dan terus berulang.

Misalnya, data milik 279 juta penduduk Indonesia di situs Badan Penyelenggara Jaminan Sosial (BPJS), data 1,3 juta masyarakat Indonesia yang tersimpan di aplikasi e-HAC buatan Kementerian Kesehatan (Kemenkes), hingga 28.000 informasi anggota di database Polri diduga bocor pada tahun 2021.

Pengamat keamanan siber sekaligus Chairman lembaga riset siber CISSReC (Communication & Information System Security Research Center), Pratama Persadha, angkat bicara soal insiden dugaan kebocoran data yang kerap terjadi di Indonesia.

Menurut Pratama, instansi, lembaga, atau siapapun bisa menjadi target peretasan dan pencurian data. Setelah dicuri, data hasil curian itu berpotensi untuk dijual oleh peretas (hacker) atau dibocorkan ke publik secara cuma-cuma alias gratis.

"Namun, bila ini (kebocoran data) terus menerus terjadi di lembaga negara dan BUMN besar, maka ini menjadi tanda tanya. 'Sejauh mana keseriusan negara dalam mengamankan aset digital, sistem dan data pribadi masyarakat yang dikelola?'" kata Pratama melalui pesan singkat kepada KompasTekno, Senin (22/8/2022).

Pratama menjelaskan, Indonesia sebenarnya sudah memiliki lembaga khusus yang bertugas melaksanakan keamanan siber di dalam negeri, yaitu Badan Siber dan Sandi Negara (BSSN).

BSSN memiliki program Computer Security Incident Response Team (CSIRT) untuk melakukan pencegahan maupun langkah mitigasi saat ada serangan siber, termasuk peretasan dan kebocoran data.

"CSIRT mulai banyak dibentuk di Kementrian maupun lembaga negara lainnya. Bahkan sebenarnya BUMN dengan dana melimpah juga mempunyai tim serupa seharusnya," kata Pratama.

Dengan banyaknya insiden kebocoran data seperti sekarang ini, kata Pratama, seharusnya mendorong lembaga negara dan perusahaan besar untuk lebih serius memperhatikan keamanan data dan sistem yang mereka kelola.

"Sehingga tidak ada upaya memaksa dari negara kepada penyelenggara sistem elekntronik (PSE) untuk bisa mengamankan data dan sistem yang mereka kelola dengan maksimal atau dengan standar tertentu," kata Pratama.

Ia melanjutkan, absennya UU PDP inilah yang menyebabkan banyak terjadi insiden kebocoran data di Indonesia.

Masalahnya, ketika kebocoran data terjadi, tidak ada yang bertanggung jawab. Sebab, kata Pratama, semua pihak merasa menjadi korban. Padahal, ancaman peretasan sudah diketahui luas.

"Jadi, seharusnya PSE melakukan pengamanan maksimal. Meski belum ada UU PDP, minimal melakukan pengamanan maksimal demi nama baik lembaga atau perusahaan," kata Pratama.

Tiga hal untuk tekan kasus kebocoran data

Biasanya, ketika insiden dugaan kebocoran data terjadi, ada beberapa langkah "default" yang dilakukan pemerintah.

Kementerian Komunikasi dan Informatika (Kominfo) biasanya akan memanggil manajemen/direksi perusahaan. Selanjutnya, perusahaan mengaku akan melakukan investigasi, biasanya dengan berkoordinasi atau bekerja sama dengan Kominfo dan BSSN.

Setelah itu, insiden kebocoran data meredup begitu saja. Sebab, hasil investigasi itu tidak pernah dibuka ke publik.

Sehingga masyarakat tidak mengetahui kebenaran soal dugaan kebocoran data yang terjadi di Indonesia, termasuk kesimpulan apakah perusahaan benar lalai dalam menjadi data masyarakat.

Lantas, apa yang harus dilakukan untuk menekan insiden kebocoran data di Indonesia?

Ada beberapa hal yang bisa dilakukan. Pertama, Pratama menegaskan bahwa Kominfo dan DPR RI harus segera menyelesaikan dan mengesahkan UU PDP.

"Dengan UU PDP ini, semua PSE dipaksa melakukan pengamanan secara maksimal, sehingga bila ada kebocoran data dan mereka terbukti lalai tidak melakukan sebagaimana mestinya amanat UU PDP, maka ada hukuman denda yang menanti," kata Pratama.

Ia mencontohkan, di Uni Eropa, denda untuk setiap kasus penyalahgunaan dan kebocoran data pribadi masyarakat bisa mencapai 20 juta Euro atau setara Rp 296 miliar.

Kedua, penyelenggara sistem elektronik dan pelaku bisnis juga harus pro-aktif melakukan pengamanan data masyarakat yang mereka kelola. Menurut Pratama, upaya meningkatkan keamanan siber pada masing-masing lembaga atau perusahaan sebenarnya sudah ada.

"Namun, karena ekosistem sibernya belum dipayungi UU PDP dan perangkat lainnya, maka seringkali mereka masih harus menghadapi tantangan yang beraneka ragam," kata Pratama.

Misalnya, tantangan berupa sumber daya manusia yang kurang terlatih hingga mitra/vendor perusahaan yang menjadi sumber distribusi malware dan kebocoran data.

Ketiga, Indonesia bisa memasukkan keamanan siber ke kurikulum pendidikan.

"Dengan keamanan siber masuk dalam kurikulum pendidikan dasar, ini penting agar dalam jangka panjang, semua pengambil kebijakan punya bekal cukup terkait keamanan siber," kata Pratama.