Kebocoran data masih rentan terjadi di instansi swasta dan pemerintah. RUU Perlindungan Data Pribadi mengatur pengelola data mesti memiliki petugas perlindungan data.
Oleh
RINI KUSTIASIH/DIAN DEWI PURNAMASARI/NIKOLAUS HARBOWO
·5 menit baca
JAKARTA, KOMPAS - Belum semua instansi pemerintah ataupun swasta di Tanah Air memiliki sistem manajemen dan pengamanan data yang kuat. Akibatnya, kasus kebocoran data rentan terjadi. Regulasi lebih kuat dalam perlindungan data pribadi yang tengah dibahas di Dewan Perwakilan Rakyat diyakini bisa mengubah hal tersebut.
National Cyber Security Index (NCSI) 2020 yang disusun E-Governance Academy Foundation menempatkan Indonesia di peringkat ke-76 dari 160 negara yang dikaji. Indeks ini mengukur kesiapan negara dalam mencegah ancaman siber dan mengelola insiden siber. Untuk Indonesia, dari 12 indikator indeks, perlindungan data pribadi termasuk yang mendapat skor rendah, yakni 1 dari maksimal 4 poin.
Kajian ini juga menunjukkan komunitas digital di Indonesia lebih maju ketimbang bidang pengamanan siber.
Lemahnya perlindungan data pribadi dapat membuat data yang disimpan institusi rentan dieksploitasi, baik untuk keperluan ekonomi maupun kepentingan lainnya.
Pendiri Ethical Hacker Indonesia, Teguh Aprianto, Sabtu (20/3/2021) di Jakarta, mengungkapkan, karena pengamanan lemah, hacker biasanya cukup mencari celah keamanan bug. Setelah ketemu, titik itu dieksploitasi, lalu mereka biasanya membajak tampilan situs tersebut.
”Kalau mereka sudah bisa melakukan defacement, data apa pun bisa diambil, termasuk data pribadi,” katanya.
Menurut Teguh, situs institusi pemerintah yang keamanan sibernya lemah paling rentan diterobos. Bahkan, untuk membajak situs institusi pemerintah tidak diperlukan hacker (peretas) canggih, cukup pemula.
”Yang biasanya membajak instansi pemerintah itu hacker-hacker baru yang masih butuh eksistensi. Data pribadi yang berhasil dikumpulkan hacker ini juga ditampilkan di situs jual beli data untuk para hacker, yaitu Raidforums,” ujar Teguh.
Sebagian hasil peretasan juga ”dipamerkan” di laman daring Zone-h. Di laman itu, pada Maret 2021, setidaknya ada 25 data peretasan. Beberapa laman yang diretas, misalnya, berasal dari pengadilan negeri, pengadilan agama, dan kejaksaan negeri. Jenis serangan terhadap situs pemerintah antara lain pembajakan, pencurian alamat dan lokasi IP (internet protocol), serta pembajakan situs penting (special defacement).
”Sampai sekarang mungkin sudah ribuan situs pemerintah yang datanya berhasil dijebol dan diarsipkan di situ,” ucap Teguh.
Di pihak swasta, kata Teguh, setelah beberapa kali ada insiden kebocoran data, baru kemudian banyak perusahaan rintisan lebih memperhatikan sistem keamanan digitalnya.
Perbaiki tata kelola
Data Badan Siber dan Sandi Negara (BSSN) menunjukkan, sepanjang 2020 ada 475 juta serangan siber di Indonesia. Angka ini naik tiga kali lipat dari tahun 2019. Secara umum ada tiga jenis serangan siber terkait data, yaitu e-mail phising, data breach, dan web defacement.
Pada 2020, BSSN mencatat 2.549 kasus e-mail phising atau pencurian informasi melalui e-mail dengan tujuan kejahatan. Selain itu, ada 79.439 akun yang datanya dibobol dan ada 9.749 kasus web defacement. Selain mengubah tampilan web, peretasan jenis ini juga bisa mengubah konten suatu situs.
Kepala BSSN Letnan Jenderal (Purn) Hinsa Siburian mengatakan, maraknya serangan siber, terutama pencurian data pribadi, harus diatasi dengan perbaikan tata kelola infrastruktur siber yang memadai. Selain itu, regulasi yang khusus mengatur perlindungan data pribadi menjadi krusial. BSSN mendorong RUU Perlindungan Data Pribadi (PDP) yang kini sedang dibahas di DPR dapat segera dituntaskan.
”Secara konsep, perpindahan data adalah sesuatu yang tidak dapat dihindari. Yang perlu jadi catatan ialah perpindahan data itu telah mendapat persetujuan pemilik data. RUU PDP diharapkan dapat menyediakan framework yang disepakati mengenai bagaimana data itu mengalir. RUU PDP diharapkan dapat membentuk ekosistem informasi yang aman dan tepercaya,” papar Hinsa.
Sejauh ini, tingkat kesiapan pengamanan data pribadi instansi pemerintah dan swasta juga bervariasi. Ada yang sudah serius, tetapi ada yang belum memenuhi standar keamanan ISO 27001. Hal ini dinilai dapat diatasi dengan perangkat peraturan dan penegakan hukum.
Director of Cyber Security Binder Dijker Otte (BDO) Indonesia M Novel Ariyadi mengatakan, dalam General Data Protection Regulation (GDPR) Uni Eropa, yang menjadi acuan DPR dan pemerintah dalam penyusunan RUU PDP, diatur bahwa setiap penyelenggara sistem elektronik harus memiliki data protection officer (DPO). Mereka bertanggung jawab terhadap perlindungan data pribadi pengguna.
Kehadiran DPO krusial dalam menjaga data pribadi pengguna sistem elektronik. Sejauh ini, menurut Novel, belum semua perusahaan memiliki DPO karena tidak mudah menemukan SDM yang memenuhi klasifikasi dan kompetensi DPO.
Anggota Komisi I DPR, Christina Aryani, mengatakan, RUU PDP juga menganggap penting kewajiban bagi pengelola data untuk menyediakan DPO. Bahkan, ada sanksi bagi pengelola data yang lalai atau tidak menyiapkan mekanisme perlindungan data.
Namun, ketentuan tentang DPO masih akan dibicarakan dalam pembahasan lebih lanjut. Misalnya, DPO diusulkan untuk dikecualikan bagi usaha mikro, kecil, dan menengah lantaran pengadaan badan teknis khusus seperti DPO ini memerlukan biaya tidak murah.
“Di dalam RUU PDP juga sudah diatur mengenai perlunya persetujuan dari subyek atau pemilik data dalam pengelolaan datanya. Konsen atau pemberian persetujuan ini jangan ambigu, dan betul-betul diatur terkait apa saja yang diberikan oleh subyek data untuk dilakukan pengelolaan oleh pengendali dan prosesor data,” katanya.
Tunggu Prolegnas Prioritas
Wakil Ketua Komisi I DPR Abdul Kharis Almasyhari mengatakan, pembahasan RUU PDP kini hanya menunggu pengesahan Program Legislasi Nasional (Prolegnas) Prioritas 2021. Dia menegaskan, RUU itu juga menjadi perhatian DPR lantaran arti pentingnya bagi perlindungan data saat ini.
Direktur Jenderal Aplikasi Informatika Kementerian Komunikasi dan Informatika Semuel Abrijani berharap RUU PDP dapat disahkan menjadi UU pada tahun ini. ”Kami tentu ingin membahas secepatnya. Namun, karena belum ada informasi kapan rapat dimulai lagi, pemerintah tidak bisa memaksakan pembahasan. Kami masih menunggu jadwal rapat dari DPR,” katanya.
Semuel mengatakan, pada prinsipnya perlindungan data pribadi warga negara menjadi perhatian pemerintah. RUU PDP disusun untuk mengatur hak perlindungan data warga. RUU itu juga mengatur hak dan kewajiban pengendali atau pengelola data. Dalam RUU itu dipaparkan jenis-jenis data pribadi yang dilindungi negara, termasuk data spesifik yang memerlukan perlindungan khusus.
Dalam pembahasan terakhir, pemerintah dan DPR masih belum sepakat mengenai kedudukan lembaga pengawas pengendali atau pengelola data. Pemerintah menginginkan agar lembaga pengawas dan pengendali itu berada di bawah pemerintahan, baik itu di bawah Kominfo, atau badan atau lembaga yang sudah ada. Adapun DPR menginginkan agar lembaga itu bersifat independen.
“Ya memang itu yang masih menjadi tarik-ulur dalam pembahasan, dan kami harus sepakati dulu bagaimana posisinya lembaga pengawas itu. Selain soal lembaga pengawas itu masih banyak hal lain yang harus kami bahas bersama,” ucapnya.