Kebocoran Terus Berulang, Indonesia Butuh Regulasi Perlindungan Data Pribadi
Insiden kebocoran data pribadi terus terjadi di platfrom layanan jasa digital. RUU Perlindungan Data Pribadi menjadi semakin dibutuhkan masyarakat Indonesia mengingat kejadian kebocoran data terus berulang terjadi.
Oleh
SATRIO PANGARSO WISANGGENI
·4 menit baca
JAKARTA, KOMPAS — Mulai dari dijadikan target pemasaran via pesan teks dan panggilan telepon hingga menjadi korban pencurian identitas untuk tindak kejahatan penipuan adalah ancaman yang dapat menimpa para pengguna layanan digital yang mengalami kebocoran data. Insiden semacam ini di Indonesia kini menjadi banal akibat tidak adanya tindakan yang tegas.
Seperti yang diketahui, basis data pengguna platform perbandingan produk keuangan dan portal pembayaran digital Cermati.com diduga bocor pada pekan lalu. Basis data tersebut diduga berisi data pribadi 2,9 juta penggunanya dari nama lengkap, alamat, hingga nama ibu kandung.
Guru Besar Kriminologi Universitas Indonesia Adrianus Meliala menilai, apabila berdiri sendiri, data-data pribadi yang bocor sebetulnya tidak memiliki arti yang signifikan. Namun, jika informasi data pribadi yang bocor tersebut dapat dikombinasikan, seorang pelaku dapat melakukan profiling dari orang tersebut. Dari situ, pelaku dapat merangkai informasi yang pada ujungnya dapat membobol rekening, misalnya.
”Ketika dikaitkan dengan pola pembelanjaan serta kepemilikan dan isi rekening, bisa lain cerita. Uang nasabah bisa dikuras seketika. Cukup dengan sabar menunggu lalu rajin melihat pola dan kaitan,” kata Adrianus saat dihubungi dari Jakarta, Selasa (3/11/2020).
Deputi Direktur Riset Lembaga Studi dan Advokasi Masyarakat (Elsam) Wahyudi Djafar mengatakan, kemungkinan pemanfaatan data pribadi yang bocor adalah untuk pemasaran yang tertarget. Kedua adalah untuk impersonasi atau penyaruan identitas.
Wahyudi mengatakan, impersonasi ini dapat dimanfaatkan untuk melakukan berbagai tindakan guna mendapatkan keuntungan finansial, seperti pengambilan kredit, skimming kartu kredit, dan penipuan menggunakan identitas palsu.
”Jadi, peluang eksploitasi data pribadi ini bisa bermula dari penambangan data dan datafikasi hingga muaranya yang pada fraud, atau penipuan, yakni kejahatan impersonasi,” kata Wahyudi.
RUU PDP urgen
Baik Adrianus maupun Wahyudi menyayangkan pembahasan rancangan undang-undang pelindungan data pribadi yang tak kunjung diselesaikan di DPR.
”Saya heran dengan komitmen dan politik hukum para anggota parlemen kita. Apa tidak cukup korban jatuh? Mungkin mesti menunggu mereka yang jadi korban, baru kapok dan buru-buru meloloskan RUU tersebut,” ujar Adrianus.
Tidak adanya undang-undang perlindungan data pribadi membuat tidak ada rujukan hukum yang jelas untuk menangani setiap insiden kebocoran data. Hasilnya, setiap insiden kebocoran data tidak bisa menjadi pembelajaran.
”Setiap ada insiden ini, kan, jadinya banal. Jadi, seperti tidak ada dampak apa pun. Kita tidak pernah belajar dari setiap insiden yang terjadi. Tidak pernah ada upaya penuntasan yang menyeluruh. Karena apa? Karena rujukan hukumnya tidak ada,” kata Wahyudi.
Data diperjualbelikan
Seperti yang diketahui, basis data yang berisi informasi pengguna platform teknologi finansial Cermati.com diduga bocor pada akhir pekan lalu.
Peneliti keamanan siber, Teguh Aprianto, melalui akun Twitternya mengatakan bahwa data pengguna Cermati.com sebesar 2,9 juta pengguna telah bocor dan kini diperjualbelikan di internet.
Data yang bocor tersebut mengandung keterangan, seperti nama lengkap, nomor induk kependidikan (NIK), nomor pokok wajib pajak (NPWP), alamat, surel, nomor ponsel, besaran pendapatan, nomor rekening, pekerjaan, dan nama ibu kandung.
”Salah satu sumber saya menginfokan bahwa 2,9 juta data tersebut dijual seharga 2.200 dollar AS atau sekitar Rp 32 juta,” tulisnya.
Tidak adanya undang-undang perlindungan data pribadi membuat tidak ada rujukan hukum yang jelas untuk menangani setiap insiden kebocoran data. Hasilnya, setiap insiden kebocoran data tidak bisa menjadi pembelajaran.
Juru bicara Otoritas Jasa Keuangan (OJK), Sekar Putih Djarot, mengatakan bahwa OJK telah meminta pihak Cermati.com untuk menjelaskan respons insiden kebocoran tersebut. Sekar mengatakan, Cermati.com masih dalam tahap regulatory sandbox, OJK melakukan pengujian untuk proses keandalan proses bisnis, model bisnis, instrumen keuangan, teknologi, dan tata kelola penyelenggaraannya. Tahapan ini juga akan menentukan apakah penyelenggara IKD dapat direkomendasikan untuk ke tahap perizinan.
”Dalam proses ini, OJK telah memerintahkan Cermati.com untuk segera memperbaiki security-nya dan kami akan monitor perkembangannya sebagai pertimbangan kelayakannya untuk dilanjutkan ke tahap berikutnya atau tidak,” kata Sekar.
Terkait dengan perlindungan konsumen, OJK juga mengimbau masyarakat untuk segera melaporkan jika mengalami kerugian oleh lembaga jasa keuangan yang diawasi OJK. Jika terbukti melakukan pelanggaran, OJK dapat mengenakan sanksi yang mengacu pada aturan perlindungan konsumen, di antaranya Peraturan OJK Nomor 1/POJK.07/2013.
Sekar juga mengatakan bahwa urgensi RUU PDP menjadi kian penting. ”Keberadaan UU Perlindungan Data Pribadi yang masih dibahas oleh Pemerintah dan DPR sangatlah penting agar dapat menjadi rujukan utama dan ada sanksi pidananya,” ujarnya.
Kepala Departemen Komunikasi Bank Indonesia Onny Widjanarko mengatakan, pihaknya masih meneliti insiden kebocoran data yang dialami Cermati.com. ”Saya imbau penyelenggara terus mengupayakan data nasabah,” kata Onny.
Cermati.com merupakan layanan jasa keuangan yang terdaftar di Bank Indonesia dan OJK. Di OJK, Cermati.com terdaftar dengan nomor No. S-85/MS.72/2019. Pihak Cermati.com pun, sebagaimana diberitakan berbagai media, telah memberikan informasi kepada penggunanya melalui surel, yang membenarkan bahwa ada akses ilegal terhadap sistem tersebut.
Cermati.com juga menyampaikan bahwa kode sandi disimpan dalam bentuk terenkripsi. Namun, pengguna tetap diminta menggunakan password yang berbeda untuk setiap akun layanan digital yang dimiliki. Pengguna juga diminta mengaktifkan fitur keamanan dua faktor (two-factor authentication/2FA).
Cermati.com juga meminta penggunanya tidak membangikan kode sandi sekali pakai (one time password/OTP) dan kode CVV pada kartu kredit kepada siapa pun. Mereka mengatakan akan menginvestigasi insiden tersebut dengan menggandeng Badan Siber dan Sandi Negara (BSSN).
Secara terpisah, Direktur Proteksi Ekonomi Digital BSSN Anton Setiyawan mengonfirmasi hal ini. ”Tim Cermati.com sudah berkoordinasi dengan tim Deputi Penanggulangan dan Pemulihan BSSN,” kata Anton.