(Jangan) Saling Lempar Tanggung Jawab Dugaan Kebocoran Data
Penyelidikan hukum harus ditegakkan. Kasus dugaan kebocoran data registrasi prabayar nomor ponsel dapat menjadi pelajaran bagi pemerintah ataupun swasta.
Oleh
MEDIANA
·5 menit baca
DOKUMENTASI TELKOMSEL
Kebijakan registrasi nomor kartu prabayar.
Lebih dari 48 jam lalu, data registrasi prabayar warga Indonesia bocor dan diterbitkan di Breached Forum (breached.to). Data registrasi kartu seluler prabayar, yang di antaranya nomor ponsel, didaftarkan sejak 2017 sampai Agustus 2022. Selain nomor ponsel, ada pula data nomor induk kependudukan (NIK), tanggal pendaftaran, dan nama operator telekomunikasi seluler. Data tersebut konon didapatkan dari Kementerian Komunikasi dan Informatika.
Anggota forum beridentitas Bjorka ini menyertakan sampel data sebanyak 1.597.830 baris berisi data registrasi prabayar. Mereka juga mencatumkan harga 50.000 dollar AS atau sekitar Rp 750 juta sembari mensyaratkan transaksi menggunakan aset kripto.
Kabar itu segera viral di Twitter. Pada hari yang sama, Kemenkominfo langsung merilis pernyataan melalui laman resminya. Intinya, Kemenkominfo menolak tudingan memiliki aplikasi apa pun untuk menampung data registrasi nomor prabayar dan pascabayar. Kemenkominfo juga menegaskan, berdasarkan pengamatan atas penggalan data yang disebarkan akun Bjorka di breached.to, data tersebut bukan berasal dari Kemenkominfo.
Meski demikian, Kemenkominfo menyatakan siap melakukan penelusuran lebih lanjut terkait sumber data dan hal terkait yang berhubungan dengan dugaan kebocoran data itu. Penelurusan pun sedang berlangsung. Namun, hingga Jumat (2/9/2022), Kemenkominfo belum menyampaikan informasi terbaru kepada media.
Vice President Corporate Communications PT Telekomunikasi Selular (Telkomsel) Saki Hamsat Bramono menyampaikan, berdasarkan hasil pemeriksaan awal oleh tim internal, Telkomsel memastikan bahwa data nomor ponsel yang diperjualbelikan di breached.to bukan berasal dari sistem yang dikelola oleh Telkomsel. Perusahaan memastikan dan menjamin data pelanggan yang tersimpan dalam sistem Telkomsel tetap aman dan terjaga kerahasiaannya sampai sekarang.
”Kami secara konsisten telah menjalankan operasional sistem perlindungan dan keamanan data pelanggan dengan prosedur standar operasi tersertifikasi sesuai dengan ketentuan yang berlaku di industri telekomunikasi di Indonesia. Kami siap berkoordinasi guna memastikan tindak lanjut bersama menangani isu ini,” kata Saki.
Operator telekomunikasi seluler lainnya, seperti Indosat Ooredoo Hutchison, menyampaikan pernyataan serupa. Senior Vice President - Head of Corporate Communications Indosat Ooredoo Hutchison Steve Saerang menegaskan, pihaknya memiliki penyimpanan data pelanggan sendiri dan perusahaan selalu memastikan keamanan data berjalan mengikuti standar ISO 27001.
Sementara itu, Wakil Ketua Umum Asosiasi Penyelenggara Telekomunikasi Seluruh Indonesia (ATSI) Merza Fachys saat dihubungi, mengungkapkan, tidak ada operator telekomunikasi seluler di Indonesia yang memiliki data sebanyak yang disampaikan oleh pelaku di breach.to. Ketika ditanya apakah operator telekomunikasi seluler biasa menyetor data nomor ponsel ke Kemenkominfo untuk kebutuhan pengawasan, dia menjawab operator hanya menyerahkan ringkasan dan bukan nomor per nomor ponsel.
”Ada dasar hukumnya. Untuk menyikapi isu dugaan kebocoran data nomor ponsel, kami sedang mencari tahu,” ujar Merza.
Jika kembali ke lima tahun lalu, mulai 1 Agustus 2017, Kemenkominfo mengeluarkan kebijakan yang berupa mewajibkan seluruh proses registrasi nomor prabayar divalidasi berdasarkan NIK dan nomor kartu keluarga (KK) yang terekam di sistem data tunggal kependudukan. Seluruh sistem registrasi nomor ponsel operator telekomunikasi sudah saling terkoneksi dengan sistem data tunggal kependudukan milik Direktorat Jenderal Kependudukan dan Pencatatan Sipil Kementerian Dalam Negeri sejak awal tahun 2017.
Validasi data calon pelanggan dan pelanggan lama nomor prabayar berdasarkan NIK dan nomor KK yang terekam di sistem data tunggal Direktorat Jenderal Kependudukan dan Pencatatan Sipil. Registrasi bisa dilakukan secara mandiri dengan mengirimkan pesan pendek ke 4444 dengan format NIK#NomorKK#. Proses validasi dan verifikasi selama 1 x 24 jam, baru nomor prabayar aktif.
KOMPAS/WAWAN H PRABOWO (WAK)
Menteri Komunikasi dan Informatika Johnny G Plate menghadiri rapat bersama Komisi I DPR di Kompleks Parlemen, Senayan, Jakarta, Selasa (25/2/2020). Rapat membahas Rancangan Undang-Undang tentang Perlindungan Data Pribadi. RUU Perlindungan Data Pribadi masuk dalam Program Legislasi Nasional (Prolegnas) prioritas tahun 2020. RUU Perlindungan Data Pribadi ini ditujukan untuk menjamin hak warga negara atas perlindungan pribadi dan menumbuhkan kesadaran masyarakat serta menjamin pengakuan dan kehormatan atas pentingnya perlindungan data pribadi.
Apabila mengikuti mekanisme registrasi seperti itu, warga memasukkan data nomor ponsel, NIK, dan nomor KK. Lalu, data ini masuk ke sistem operator telekomunikasi seluler. Sistem operator langsung mengkoneksikan ke sistem data tunggal kependudukan milik Direktorat Jenderal Kependudukan dan Pencatatan Sipil untuk verifikasi dan validasi. Sistem direktorat akan memberikan jawaban iya atau tidak tervalidasi. Kemudian, nomor aktif dan datanya disimpan di sistem operator telekomunikasi seluler.
”Data yang disebar oleh pelaku merupakan milik semua operator telekomunikasi seluler. Logikanya, tidak masuk akal jika sistem data semua operator dibobol bersamaan. Apalagi, kondisi sistem keamanan mereka berbeda-beda,” ujar pakar digital forensik, Ruby Alamsyah.
Menurut Ruby, Direktorat Jenderal Kependudukan dan Pencatatan Sipil juga tidak menyimpan data registrasi prabayar yang terdiri dari nomor ponsel, NIK, dan nomor KK. Instansi pemerintahan ini menyimpan database kependudukan secara nasional yang biasanya dipakai oleh swasta dan instansi pemerintahan untuk keperluan verifikasi ataupun validasi biodata.
Ruby menerka, kebocoran data registrasi prabayar itu bersumber dari satu tempat. Jika Kemenkominfo pun ikut membatah punya aplikasi yang menyimpan data registrasi prabayar, ini berarti ada instansi yang menyimpan secara ilegal.
”Hal yang masih sumir, yaitu apakah operator telekomunikasi seluler menyerahkan data ke Kemenkominfo atau tidak. Sebab, sejauh ini, data yang bocor itu confirm data registrasi prabayar dan confirm nomor ponsel seluruh operator telekomunikasi seluler,” ujar Ruby.
Menurut Ruby, belakangan banyak warga mengeluhkan menerima spam pesan baik melalui SMS dan Whatsapp. Pelakunya bisa benar-benar pelaku kejahatan ataupun jenama bisnis. Mereka menggunakan teknik broadcast pesan. Data nomor ponsel yang digunakan bisa berasal dari data yang bocor dan bisa pula pelakunya cuma random memencet nomor ponsel.
Dosen Sekolah Teknik Elektro dan Informatika Institut Teknologi Bandung, Agung Harsoyo, berpendapat, selain penyelidikan hukum harus ditegakkan, kasus dugaan kebocoran data registrasi prabayar nomor ponsel dapat menjadi pelajaran bagi pemerintah ataupun swasta. Pelajaran pertama, instansi bisnis swasta apa pun sebaiknya tidak menyimpan data pelanggan yang tidak relevan dengan inti keperluan mereka. Kedua, pembahasan Rancangan Undang-Undang Perlindungan Data Pribadi mendesak segera diselesaikan oleh pemerintah dan DPR.
”Kalau ada Undang-Undang Perlindungan Data Pribadi, aksi kebocoran data memiliki sanksi tegas dan berlaku ke instansi apapun yang menyimpan dan mengelola data,” kata Agung.
/https%3A%2F%2Fasset.kgnewsroom.com%2Fphoto%2Fpre%2F2020%2F02%2F25%2Fe8a936cb-44a6-4475-bcb8-c6be1f7f64e5_jpg.jpg){kind=logo}
