Pakar Duga Data Pribadi Sebagian Penduduk yang Terekspos Kian Lengkap
Kuantitas dan kualitas kebocoran data pribadi penduduk Indonesia cenderung meningkat beberapa tahun terakhir. Pengesahan RUU Perlindungan Data Pribadi semakin urgen.
Oleh
Kurnia Yunita Rahayu
·5 menit baca
Kompas
Tangkapan layar akun yang menawarkan data pribadi kependudukan
JAKARTA, KOMPAS — Peretasan yang berujung pada penjualan data pribadi penduduk selama lima tahun terakhir terus berulang dan meningkat jumlahnya. Peningkatan itu juga membuat komponen data penduduk yang terekspos ke publik semakin lengkap.
Peretasan yang berlanjut pada penjualan data penduduk yang terbaru mendera dinas kependudukan dan pencatatan sipil (disdukcapil) di empat daerah, yaitu Kabupaten Malang, Kota Bogor, Kabupaten Subang, dan Kabupaten Bekasi. Sampel data yang diklaim berasal dari empat disdukcapil itu dipasarkan di situs forum peretas Raid Forum oleh akun bernama GadiZ. Data mencakup, antara lain, nama lengkap, nomor induk kependudukan (NIK), nomor kartu keluarga (KK), tempat dan tanggal lahir, jenis kelamin, serta alamat.
Praktisi digital forensik Ruby Alamsyah mengatakan, berdasarkan penelusurannya di situs Raid Forum, akun GadiZ masih memasarkan data tersebut hingga Selasa (8/6/2021) malam. Ia menduga, data yang diklaim berasal dari Kota Bogor, Kabupaten Subang, dan Kabupaten Bekasi, identik dengan data yang dikelola disdukcapil. Sebab, data itu mengandung informasi tentang nomor KK, NIK, nama kepala keluarga, dan status hubungan keluarga.
Sementara itu, data yang diklaim berasal dari Kabupaten Malang merupakan perluasan dari data kependudukan. Terdapat sejumlah tambahan informasi, yakni mengenai status disabilitas, serta alamat surat elektronik dan password-nya.
Direktur Jenderal Kependudukan dan Pencatatan Sipil Kementerian Dalam Negeri Zudan Arif Fakrullah, dihubungi dari Jakarta, Selasa, mengonfirmasi adanya peretasan pada server atau peladen empat disdukcapil tersebut. Namun, pihaknya belum bisa memastikan apakah data yang dipasarkan di Raid Forum merupakan data dari keempat lembaga tersebut.
FAJAR RAMADHAN UNTUK KOMPAS
Direktur Jenderal Dukcapil Kemendagri Zudan Arif Fakrulloh.
Zudan menambahkan, untuk mengusut peretasan tersebut, pihaknya akan segera melapor ke kepolisian. Akan tetapi, dia belum bisa merinci kapan laporan tersebut akan dibuat karena tidak diwakili oleh Direktorat Jenderal Kependudukan dan Pencatatan Sipil. ”Dari kabupaten/kota yang akan melaporkan,” ucapnya.
Meningkat
Peretasan dan penjualan data yang diklaim berasal dari disdukcapil di empat wilayah tersebut bukan pertama kali terjadi tahun 2021. Pada Mei lalu, data pribadi yang diduga kuat identik dengan data yang dikelola Badan Penyelenggara Jaminan Sosial (BPJS) Kesehatan juga dipasarkan di situs yang sama. Sebanyak 279 juta data dijual oleh akun bernama Kotz. Hal serupa pernah terjadi pada data 12 juta pengguna platform e-dagang Bukalapak tahun 2019 dan 90 juta data pengguna Tokopedia pada 2020.
Ruby menilai, pencurian data yang terjadi selama tiga tahun terakhir meningkat secara kuantitas, mulai dari belasan juta hingga ratusan juta data penduduk. Selain itu, dari segi kualitas, komponen data pribadi penduduk Indonesia yang bocor kemudian dijual secara ilegal juga kian lengkap.
”Dengan kebocoran data yang kualitas dan kuantitasnya meningkat, jika ada pihak yang mengombinasikan data ini menjadi satu, itu akan saling melengkapi. Dengan kejadian tiga tahun ini, diduga sebagian besar data pribadi penduduk Indonesia sudah telanjur ’telanjang’,” kata Ruby, Selasa malam.
KOMPAS/SHARON PATRICIA
Pengamat teknologi dan digital forensik Ruby Alamsyah.
Berdasarkan catatan kepolisian, pencurian data atau identitas penduduk juga merupakan salah satu jenis kejahatan siber yang jumlahnya terus meningkat beberapa tahun terakhir. Merujuk pada data Direktorat Tindak Pidana Siber Badan Reserse Kriminal Polri yang dipublikasikan di situs www.patrolisiber.id, sebanyak 20 kasus pencurian data dilaporkan pada 2016 dan 47 kasus pada 2017. Peningkatan terjadi dua tahun berturut-turut setelahnya, yaitu 88 laporan pada 2018 dan 143 laporan pada 2019. Sementara itu, dari Januari hingga Juni 2020, laporan pencurian data mencapai 39 kasus.
Peningkatan laporan pencurian data atau identitas itu sejalan dengan meningkatnya tren laporan kasus kejahatan siber pada periode yang sama. Jumlah laporan kejahatan siber berturut-turut adalah 3.110 laporan (2016), 3.109 (2017), 4.360 (2018), dan 4.586 laporan (2019). Adapun pada Januari-Juni 2020, kejahatan siber yang sudah dilaporkan mencapai 2.259 laporan.
Namun, dalam periode waktu yang sama, jumlah kasus yang selesai ditangani kepolisian tidak pernah sama dengan kasus yang dilaporkan. Pada 2016, misalnya, dari 3.110 laporan, hanya ada 908 kasus yang selesai. Pada 2017, 1.610 kasus yang diselesaikan dari total 3.109 laporan. Adapun pada 2018, ada 2.273 kasus yang selesai dari 4.360 laporan, sedangkan pada 2019 dari total 4.586 laporan, polisi menuntaskan 2.284 kasus. Sementara itu, pada enam bulan pertama 2020, dari 2.259 total laporan, ada 527 kasus yang telah diselesaikan.
Keamanan lemah
Menurut Ruby, peningkatan pencurian data penduduk memperlihatkan bahwa sistem keamanan yang dibangun pengelola data belum optimal, baik oleh pihak swasta maupun instansi pemerintah. Padahal, kedua pihak itu semestinya mengoptimalkan sumber daya manusia dan finansial untuk mengelola data milik publik.
Ketua Forum Keamanan Siber Indonesia (Indonesia Cyber Security Forum) Ardi Sutedja mengatakan, sejak beberapa tahun lalu, desain sistem pengelolaan data di instansi pemerintah tidak dilengkapi sistem pengamanan dan petugas audit keamanan yang layak. Hampir semua teknologi pengamanan yang digunakan adalah produk dari luar negeri. Karena itu, Indonesia sebagai pengguna tidak bisa sepenuhnya memahami celah keamanan dari teknologi yang digunakan.
Dalam konteks itu, baik Ruby maupun Ardi mengatakan, urgensi pengesahan Undang-Undang Perlindungan Data Pribadi semakin mendesak. UU diperlukan untuk mendesak pihak pengelola data untuk memberikan perlindungan secara optimal terhadap data penduduk yang dikelola dan memberikan keuntungan bagi mereka. ”Jangan sampai UU terbit ketika kondisinya sudah tidak relevan karena semua data penduduk sudah bocor,” kata Ardi.
Ia mengingatkan, kebocoran data adalah pintu gerbang tindakan kejahatan berikutnya yang tidak bisa diprediksi. Hal itu dimungkinkan karena ada pihak yang telah memiliki semua informasi tentang warga Indonesia. ”Ini sudah menjadi masalah ancaman keamanan nasional,” ujar Ardi.
Kompas
Urgensi UU Perlindungan Data Pribadi
Atensi Polri
Kepala Biro Penerangan Masyarakat Divisi Humas Polri Brigadir Jenderal (Pol) Rusdi Hartono mengatakan belum menerima laporan terkait peretasan dan penjualan data Disdukcapil Kabupaten Malang, Kota Bogor, Kabupaten Subang, dan Kabupaten Bekasi. Akan tetapi, persoalan ini tengah menjadi perhatian kepolisian. ”Sampai saat ini belum ada laporan. Namun, Polri tetap atensi masalah kebocoran data kependudukan,” katanya.
Selain itu, Direktorat Tindak Pidana Siber Bareskrim Polri juga masih mengusut dugaan kebocoran data peserta BPJS Kesehatan. Hingga saat ini, sudah ada sejumlah saksi yang diperiksa. Mereka adalah dua pejabat BPJS Kesehatan, dua perwakilan Badan Siber dan Sandi Negara (BSSN), serta perwakilan dari lima vendor penyedia jasa teknologi informasi untuk BPJS Kesehatan.
Pemeriksaan tidak berhenti pada pihak-pihak tersebut. ”Kemungkinan besar masih (akan ada pihak yang diperiksa). Jika ada pihak yang diyakini penyidik untuk memberikan informasi sehingga memperjelas permasalahan yang ada, tentu akan dimintai keterangan,” kata Rusdi.
Kompas
Kepala Biro Penerangan Masyarakat Brigjen (Pol) Rusdi Hartono.
Rusdi tidak memungkiri, kebocoran data sudah terjadi berkali-kali. Oleh karena itu, Polri bersinergi dengan BSSN serta Kementerian Komunikasi dan Informatika untuk menyelesaikan dan mengantisipasi terjadinya masalah tersebut.
/https%3A%2F%2Fkompas.id%2Fwp-content%2Fuploads%2F2019%2F05%2FWhatsApp-Image-2019-05-27-at-10.40.53-PM-1_1558971810.jpeg){kind=logo}
