Selain mengejar pelaku peretasan, pengusutan tuntas penting untuk mencari penyebab mudahnya jaringan internal Polri diterobos peretas. Dengan begitu, kasus serupa tak terulang kembali.
JAKARTA, KOMPAS — Badan Siber dan Sandi Negara, Kepolisian Negara Republik Indonesia, bersama Kementerian Komunikasi dan Informatika harus segera menginvestigasi kasus peretasan yang menyasar jaringan internal Polri. Selain mengejar pelaku, investigasi ini penting untuk mencari penyebab jaringan internal Polri dengan mudah diterobos peretas. Dengan begitu, kasus serupa tak terulang kembali.
Pada Rabu (17/11/2021), jaringan internal Polri diduga kembali dibobol peretas. Peretas ditengarai mencuri data personel Polri. Padahal, dari kasus peretasan jaringan Polri sebelumnya, sudah banyak data personel yang terekspose, bahkan ada yang dijual di dunia maya.
Direktur Eksekutif Lembaga Studi dan Advokasi Masyarakat (Elsam) Wahyudi Djafar melalui keterangan tertulis, Jumat (19/11/2021), mengatakan, kasus peretasan pada jaringan internal Polri harus diinvestigasi secara tuntas dan akuntabel. Ini bertujuan untuk mengetahui penyebab dan risiko kebocoran, besaran kebocoran, serta langkah mitigasi yang harus dilakukan untuk mencegah kebocoran serupa.
”Proses pidana dapat dilakukan jika dari hasil investigasi ditemukan adanya dugaan unsur tindak pidana,” ujar Wahyudi.
Dalam insiden ini, peretas membagikan banyak informasi penting berupa data pribadi personel Polri, misalnya nama, pangkat, satuan kerja, jabatan, alamat, golongan darah, surat elektronik, dan nomor telepon. Selain itu, ada kemungkinan data lain yang dibocorkan adalah pelanggaran yang pernah dilakukan oleh personel Polri.
Wahyudi menilai, data tersebut sangat sensitif. Kebocoran data ini sangat berisiko bagi subyek data. Namun, sayangnya, regulasi sektoral terkait perlindungan data saat ini belum secara baik mengatur jaminan perlindungan hak-hak subyek data serta belum mengatur detail kewajiban pengendali data dan pemroses data jika terjadi insiden kebocoran data pribadi.
Dari kasus ini, lanjut Wahyudi, Rancangan Undang-Undang (RUU) Perlindungan Data Pribadi (PDP) menjadi sangat mendesak untuk disahkan. UU tersebut diperlukan untuk mengatur tingkat perlindungan (gravity of protection) terhadap setiap jenis data pribadi. Apalagi, berkaitan dengan data penegakan hukum di berbagai negara itu masuk dalam kategori khusus, yang pengolahannya disamakan dengan data sensitif.
”Artinya, dalam pemrosesan data terkait penegakan hukum, mulai dari pengumpulan, penyimpanan, hingga pemusnahan, juga harus diterapkan sistem keamanan yang lebih tinggi mengingat risikonya yang juga besar bagi subyek datanya,” ucap Wahyudi.
Keberadaan UU PDP ini juga diharapkan mampu menghadirkan otoritas perlindungan data pribadi yang independen. Lembaga tersebut akan menjadi kunci efektivitas implementasi undang-undang, terutama dalam memastikan perlindungan hak-hak subyek data.
Susah dicabut
Terkait informasi mengenai adanya data personel Polri yang disebut dijual di forum internet, RaidForums, Direktur Operasi Keamanan Siber Nasional BSSN Ferdinand Mahulette mengatakan, data itu susah dicabut dari peredaran. Namun, ia tak menjelaskan detail alasannya.
Ia hanya menyampaikan, BSSN sejauh ini telah memberikan notifikasi kepada seluruh pemangku kepentingan agar waspada dengan serangan siber. Terhadap insiden peretasan di jaringan internal Polri, pihaknya pun telah berkoordinasi dengan kepolisian untuk menelusuri pelaku. ”Kami berbagi informasi dengan pihak kepolisian untuk melakukan penelusuran pelaku,” tambahnya.
Pada Kamis (18/11/2021), Chairman Communication and Information System Security Research Center (CISSReC) Pratama Persadha menyebutkan, data personel Polri terekspose tak hanya dari kejadian peretasan jaringan internal Polri terbaru, tetapi juga dari kejadian peretasan sebelumnya (Kompas, 19/11/2021). Bahkan, sebagian data ada yang dijual di RaidForums oleh pelaku yang mempunyai nama akun Stars12n. Parahnya lagi, dalam forum tersebut juga diberikan sampel data untuk bisa mengunggahnya secara gratis.
Sementara itu, Kepala Bagian Penerangan Umum Divisi Humas Polri Komisaris Besar Ahmad Ramadhan menolak memberikan jawaban ketika ditanya wartawan dalam jumpa pers mengenai dugaan peretasan terhadap jaringan Polri. ”Kasus yang lain saja. Isu yang lain saja,” ujarnya.
Demikian pula Kepala Biro Penerangan Masyarakat Divisi Humas Polri Brigjen (Pol) Rusdi Hartono tidak merespons pertanyaan yang diajukan Kompas mengenai hal tersebut.
Penyelesaian regulasi
Anggota Komisi I DPR dari Fraksi Partai Demokrasi Indonesia Perjuangan (PDI-P), Irine Yusiana Roba Putri, mengatakan, kebocoran data server milik Polri kembali mengingatkan tentang pentingnya pengesahan RUU PDP serta RUU Keamanan dan Ketahanan Siber (Kamsiber).
Terkait RUU PDP, menurut dia, pembahasan belum dilanjutkan karena masih menunggu perpanjangan waktu pembahasan RUU PDP melalui Rapat Paripurna DPR. Selain itu, penyelesaian RUU terhambat karena masih ada silang pendapat antara pemerintah dan DPR terkait status otoritas perlindungan data pribadi. Pemerintah menginginkan otoritas itu di bawah Kementerian Komunikasi dan Informatika, sedangkan DPR meminta lembaga tersebut independen.
Kebocoran data server milik negara atau pemerintah bukan kali ini saja terjadi. Sebelumnya, BSSN juga diretas oleh hacker. Beberapa situs yang dikelola pemerintah juga sempat bocor, seperti aplikasi E-HAC yang dikelola oleh Kementerian Kesehatan.
Irine mengatakan, regulasi perlindungan data pribadi dan keamanan siber adalah dua hal yang saling melengkapi dan idealnya berjalan bersamaan. Kedua RUU itu sebaiknya memang dibahas bersamaan sehingga dapat merespons situasi yang saat ini berkembang.
”Idealnya, dua RUU itu dibahas bersamaan supaya bisa terintegrasi, jangan sampai tumpang tindih atau ada isu yang belum diatur. Keduanya satu paket, yang melibatkan terutama Kemenkominfo, BSSN, dan otoritas PDP. Keamanan data adalah salah satu tantangan terbesar era digital. Negara kita masih jauh dari kondisi perlindungan data digital yang memadai,” kata Irine.
Mengenai kapan RUU PDP kembali dibahas, melihat perkembangan yang ada, Irine memperkirakan, di masa persidangan DPR saat ini atau hingga pertengahan Desember mendatang, hal itu sulit direalisasikan.
Seandainya RUU PDP dan RUU Kamsiber bisa disahkan sekarang pun, menurut Irine, masih ada proses panjang supaya bisa diimplementasikan secara baik, mulai dari membangun otoritas PDP yang independen, menyusun panduan teknisnya, hingga penganggarannya.
”Ada banyak sekali pekerjaan rumah dalam perlindungan dan keamanan data digital ini. Target utamanya adalah Indonesia bisa memiliki seperangkat regulasi dan regulator yang kompeten sehingga data warga dan institusi negara sungguh terlindungi. Jika terjadi kebocoran pun, bisa segera diambil langkah dan evaluasi yang cepat sesuai standar,” kata Irine.
Anggota Komisi I DPR dari Fraksi Partai Golkar, Bobby Adhityo Rizaldi, mengatakan, pembahasan antara RUU PDP dan RUU Kamsiber memang seharusnya paralel. Namun, dalam pembahasan kedua RUU ini, ia melihat masih ada ego sektoral antarlembaga negara sehingga payung hukum koordinasi ini terhambat.
Menurut Bobby, Indonesia harus mulai serius memikirkan soal keamanan siber. Hal itu dapat dimulai dengan memberikan payung hukum yang jelas, siapa koordinator keamanan siber lembaga negara, karena BSSN dibentuk hanya dengan payung hukum peraturan presiden. Selain itu, perlu menggabungkan lembaga sandi negara dan fungsi keamanan siber di direktorat setiap kementerian.
”Payung hukum perlu agar koordinasi dengan lembaga publik lain efektif. Kedua, perlu keseriusan dilihat dari besarnya anggaran BSSN saat ini. BSSN tidak bisa berfungsi dengan efektif sehingga seolah seperti ada keengganan memperkuat kelembagaan ini,” ujarnya.