Penyebab Dugaan Kebocoran Data Registrasi Belum Ada Titik Terang
Inti masalah kasus dugaan kebocoran data pribadi yang selama ini adalah tidak ada tindak lanjut secara hukum. Padahal, aparat penegak hukum dan pemerintah bisa menelusuri dan melacak asal muasal peretasan.
Oleh
MEDIANA
·4 menit baca
JAKARTA, KOMPAS — Dugaan kasus kebocoran data registrasi prabayar layanan telekomunikasi seluler warga Indonesia belum kunjung terungkap penyebabnya. Sejauh ini, Kementerian Komunikasi dan Informatika baru menggelar koordinasi dengan operator telekomunikasi seluler, Direktorat Jenderal Kependudukan dan Pencatatan Sipil Kementerian Dalam Negeri, Badan Sandi dan Siber Negara, serta Direktorat Tindak Pidana Siber Bareskrim Polri.
Rapat koordinasi itu, menurut Direktur Jenderal Aplikasi dan Informatika Kementerian Komunikasi dan Informatika (Kemkominfo) Semuel Abrijani Pangerapan, telah berlangsung Senin (5/9/2022) pagi, di Jakarta. Koordinasi tersebut menghasilkan kesepakatan parapihak untuk bersama-sama menggelar investigasi.
”Belum teridentifikasi sumber (kebocoran data) dari mana. Masih diperdalam letak sumber kebocoran. Sejauh ini, dari total sampel yang diberikan anggota forum Breached.to bernama Bjorka, rata-rata tingkat kecocokan atau validitas mencapai 15-20 persen,” ujar Semuel dalam konferensi pers.
Sesuai Pasal 169 Peraturan Menteri Komunikasi dan Informatika Nomor 5 Tahun 2021 tentang Penyelenggaraan Telekomunikasi, penyelenggara jasa telekomunikasi wajib menyampaikan laporan data pelanggan perseorangan prabayar layanan telekomunikasi seluler yang aktif kepada Kemkominfo. Pelaporan ini dilakukan setiap tiga bulan sekali. Isi laporan, yaitu identitas pelanggan yang melakukan registrasi dan nomor telepon seluler atau ponsel (mobile subscriber integrated services digital network/MSISDN). Semuel menegaskan, data yang dilaporkan sesuai ketentuan itu hanya berupa data agregat.
”Kami tidak mengumpulkan data pelanggan sama sekali. Itu (pengendalian dan perlindungan data pribadi) tanggung jawab penyelenggara yang terlibat dalam rantai proses registrasi prabayar (operator telekomunikasi seluler dan Direktorat Jenderal Kependudukan dan Pencatatan Sipil),” kata Semuel.
Semuel menekankan bahwa kasus kebocoran data pribadi merupakan pelanggaran administrasi dan tindak pidana. Setiap upaya memperoleh data pribadi secara ilegal masuk dalam ranah tindak pidana.
Oleh karena itu, lanjut dia, pelaku yang membocorkan data pribadi akan dikenai sanksi pidana. Untuk lembaga penyelenggara sistem elektronik (PSE) akan dikenakan sanksi administratif. Hanya, dirinya tidak menyampaikan lebih lanjut soal bagaimana penerapan sanksi untuk kasus dugaan kebocoran data registrasi kartu prabayar.
Sebelumnya, data registrasi kartu prabayar warga Indonesia bocor dan diterbitkan di forum Breached (Breached.to). Data registrasi prabayar, yang di antaranya nomor ponsel yang didaftarkan sejak 2017 sampai Agustus 2022. Selain nomor ponsel, ada pula data nomor induk kependudukan (NIK), tanggal pendaftaran, dan nama operator telekomunikasi. Data itu, konon, diperoleh dari Kemenkominfo.
Anggota forum beridentitas Bjorka ini menyertakan sampel data sebanyak 1.597.830 baris berisi data registrasi nomor kartu seluler prabayar. Mereka juga mencantumkan harga 50.000 dollar AS atau sekitar Rp 750 juta sembari mensyaratkan transaksi menggunakan aset kripto (Kompas, 3/9/2022).
Penegakan lemah
Praktisi hukum teknologi di firma hukum Trifida, Ariehta Eleison Sembiring, berpendapat, inti masalah kasus dugaan kebocoran data pribadi yang selama ini terjadi di Indonesia adalah tidak ada tindak lanjut secara hukum. Padahal, aparat penegak hukum dan pemerintah sebenarnya bisa menelusuri dan melacak asal muasal peretasan.
”Warga sebagai subyek data bisa menggugat penyelenggara sistem elektronik (PSE) yang diduga mengalami peretasan dan kebocoran data pribadi. Namun, ini membutuhkan kesadaran publik yang kuat. Warga juga harus berani memperjuangkan gugatan sampai ke pengadilan dan ini akan membutuhkan usaha ekstra,” kata Ariehta.
Menurut Ariehta, Peraturan Menteri Kominfo Nomor 5/2020 tentang Penyelenggara Sistem Elektronik Lingkup Privat menghapus kewajiban PSE publik. Meski demikian, dia memandang hal itu tidak lantas menghilangkan kewajiban PSE publik agar melindungi data pribadi warga.
”PSE privat dan PSE publik harus melindungi data pribadi warga. Apabila terjadi kasus dugaan kebocoran data pribadi di keduanya, pemerintah jangan sampai mengatakan tidak ada ketentuan hukum (pengenaan sanksi atas PSE). Ekstensifikasi hukum tetap berlaku, seperti pakai ketentuan ilegal akses di Kitab Undang-Undang Hukum Pidana (KUHP),” imbuhnya.
Chairman Indonesia Cyber Security Forum (ICSF) Ardi Sutedja berpandangan senada. Penegakkan hukum atas kasus dugaan kebocoran data pribadi masih lemah dan tidak transparan. Sejauh ini, berdasarkan pengamatannya, kasus diberitakan oleh media, lalu terjadi penyangkalan dan lempar tanggung jawab. PSE yang menjadi tempat kejadian kebocoran data sempat dipanggil oleh pemerintah ataupun aparat penegak hukum. Setelah itu, perkembangan penanganan tidak ada kabarnya.
Kasus kebocoran data, menurut Ardi, bisa disebabkan oleh teknologi dan faktor manusia. Adapun PSE memiliki sistem keamanan siber yang memadai, tersertifikasi, dan sumber daya manusia yang andal. Ia mengatakan, hal - hal seperti ini perlu dipastikan sejauh mana PSE publik ataupun privat telah memenuhi standar keamanan tersebut.
“Kasus dugaan kebocoran data, termasuk registrasi prabayar layanan telekomunikasi seluler, merupakan benang kusut. Ini seperti puncak gunung es,” kata Ardi.