Segera Atur Sanksi Berat bagi Para Pihak yang Terlibat Kebocoran Data Pribadi Warga
Tak pernah ada penyebab tunggal pada kebocoran data. Peretasan sistem biasanya sudah dilakukan jauh hari. Karena itu, pengelola sistem elektronik harus ikut bertanggung jawab. Perlu ada sanksi atas semua pihak terlibat.
Oleh
Kurnia Yunita Rahayu
·4 menit baca
JAKARTA, KOMPAS — Kebocoran data pribadi yang diduga terjadi pada Badan Penyelenggara Jaminan Sosial Kesehatan memperlihatkan bahwa pengesahan Rancangan Undang-Undang Perlindungan Data Pribadi semakin mendesak. Regulasi itu diharapkan menjadi dasar memberikan sanksi berat bagi peretas ataupun pengelola data yang memungkinkan peretasan terjadi.
Ketua Forum Keamanan Siber Indonesia (Indonesia Cyber Security Forum/ICSF) Ardi Sutedja dihubungi dari Jakarta, Rabu (26/5/2021), meminta pemerintah dan DPR segera menuntaskan pembahasan dan mengesahkan Rancangan Undang-Undang Perlindungan Data Pribadi (RUU PDP). Tanpa UU PDP, pengusutan kasus tidak bisa memberikan efek jera kepada semua pihak yang terlibat.
Sejauh ini, pidana peretasan data mengacu pada Undang-Undang Nomor 19 Tahun 2016 tentang Perubahan atas Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (ITE), Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik, serta sejumlah pasal di Kitab Undang-Undang Hukum Pidana. Namun, ketiga produk hukum itu baru mengatur pidana untuk peretas, belum untuk pengelola data atau penyelenggara sistem elektronik (PSE).
Padahal, menurut Ardi, tidak pernah ada penyebab tunggal dalam kebocoran data. Peretasan sistem biasanya sudah dilakukan sejak jauh hari. Dimulai dengan mempelajari kelemahan sistem hingga mencari jalan masuk, baik dengan rekayasa sosial (social engineering) maupun bekerja sama dengan salah satu pihak terkait.
Hal itu menunjukkan ada kelalaian dari pihak pengelola data. Oleh karenanya, manajemen PSE harus ikut bertanggung jawab. Perlu ada ketentuan yang mengatur pemberian sanksi untuk mereka.
”Sekarang dibutuhkan efek jera. Selain pidana, perlu juga sanksi administrasi dan denda yang besar untuk pengelola data atau PSE agar mereka punya tanggung jawab sosial,” kata Ardi menegaskan.
Oleh karena itu, ia berharap RUU PDP masih mempertahankan draf yang mengandung poin pemberian sanksi kepada PSE. Dalam draf itu, PSE yang terbukti lalai terancam pidana. Selain itu, mereka juga harus membayar denda puluhan miliar rupiah.
Ardi menambahkan, pengesahan RUU PDP semakin mendesak karena menyangkut kepentingan publik. Kebocoran data bisa mendera seluruh warga, di mana pun dan dari kalangan apa pun. Pemanfaatan data tersebut untuk kejahatan tinggal menunggu waktu. Untuk itu, ia meminta pemerintah dan DPR menyingkirkan ego sektoral demi kepentingan bersama.
”Kebocoran data adalah pintu gerbang pada tindakan kejahatan berikutnya yang tidak bisa kita bayangkan. Dengan kebocoran data publik, kita harus berpikir bahwa mereka (peretas) memiliki semua informasi tentang diri kita. ini merupakan ancaman keamanan nasional,” tutur Ardi.
Investigasi
Diberitakan sebelumnya, akun bernama Kotz mengklaim memiliki data pribadi 279 juta penduduk Indonesia. Ia juga menjualnya di situs forum peretas bernama Raids Forum.
Hasil investigasi Kementerian Komunikasi dan Informatika, data yang dimaksud diduga kuat identik dengan data pribadi yang dikelola Badan Penyelenggara Jaminan Sosial (BPJS) Kesehatan. Data sampel yang ditemukan berjumlah 100.002 data berbeda dengan klaim Kotz. Dalam hal ini, Kotz berperan sebagai pembeli dan penjual atau reseller data pribadi.
Direktur Utama BPJS Kesehatan Ali Ghufron Mukti mengatakan, pihaknya telah berkoordinasi dengan beberapa lembaga untuk memastikan kebenaran informasi penjualan data di forum daring yang menyerupai data BPJS Kesehatan. Pihaknya juga telah melaporkan kasus ini kepada Badan Reserse Kriminal (Bareskrim) Polri karena ada dugaan pelanggaran hukum dan merugikan institusinya (Kompas.id, 26/5/2021).
Dikonfirmasi terpisah, Kepala Biro Penerangan Masyarakat Divisi Hubungan Masyarakat Polri Brigadir Jenderal (Pol) Rusdi Hartono membenarkan, Bareskrim Polri tengah menginvestigasi kebocoran data yang diduga milik BPJS Kesehatan. Penyidik telah memanggil seorang pejabat yang bertanggung jawab atas operasionalisasi teknologi informasi di BPJS Kesehatan pada Senin (24/5).
Dari pejabat tersebut, penyidik meminta klarifikasi terkait beberapa hal. ”Polri perlu mengetahui bagaimana sistem informasi manajemen kepesertaan di BPJS Kesehatan, kemudian juga aplikasi-aplikasi apa saja yang ada di sana,” kata Rusdi.
Selain itu, Bareskrim Polri juga menyelenggarakan rapat koordinasi dengan Badan Siber dan Sandi Negara (BSSN) yang diwakili Kepala Pusat Operasi Keamanan Siber Nasional Brigadir Jenderal Ferdinand Mahulette. Namun, Rusdi tidak menjelaskan isi pertemuan tersebut.
Rusdi juga belum bisa menjelaskan pihak mana lagi yang akan dipanggil Bareskrim untuk dimintai keterangan. Ia hanya membenarkan bahwa investigasi ini masih terus berlanjut. ”Benar (investigasi masih berlanjut),” kata dia melalui pesan singkat.