Peringatan Tidak Pernah Ditindaklanjuti
BSSN menyebutkan telah menyampaikan kepada pemerintah terkait penyebab kebocoran data. Masalah ini mesti diatasi dengan regulasi yang kuat dan SDM yang mumpuni.
Deretan nomor kartu SIM telepon seluler baru dari berbagai operator yang ditawarkan di salah satu gerai di pusat perbelanjaan seluler di kawasan Cideng, Gambir, Jakarta Pusat, Minggu (4/9/2022). Dugaan kebocoran data kartu SIM prabayar dari berbagai operator menambah daftar kebocoran data pribadi warga.
JAKARTA, KOMPAS — Kurang optimalnya sumber daya manusia, teknologi, dan tata kelola menjadi penyebab terjadinya peretasan serta kebocoran data pada seluruh instansi pemerintah. Badan Siber dan Sandi Negara menyebutkan, kelemahan itu telah berulang kali disampaikan, tetapi tak pernah ada tindak lanjutnya dari tiap instansi terkait.
Hingga kini, peretasan dan kebocoran data pada instansi pemerintah, begitu juga di institusi swasta, terus terjadi. Kondisi ini menjadi perhatian khusus Presiden Joko Widodo yang meminta untuk mengungkap penyebab terjadinya kebocoran data itu.
Di dunia, menurut laporan Global Data Breach Stats (Surfshark) triwulan III-2022, Indonesia menempati peringkat ketiga sebagai negara yang paling banyak mengalami peretasan data, setelah Rusia dan Perancis. Laporan itu menyebutkan, selama Juli-September 2022 terjadi 12,7 juta aksi peretasan data di Indonesia. Di Rusia terjadi 14,7 juta aksi peretasan data dan di Perancis terjadi 12,9 juta aksi peretasan.
Kepala Badan Siber dan Sandi Negara (BSSN) Hinsa Siburian mengatakan, pembangunan keamanan siber tidak bisa terlepas dari tiga hal pokok, yakni sumber daya manusia, prosedur yang menyangkut peraturan tata kelola, serta penggunaan teknologi. Secara umum, tiga hal ini masih belum optimal diterapkan oleh seluruh instansi pemerintah. Tidak bisa dimungkiri, ketidakoptimalan tiga aspek itu juga yang menjadi sumber kerentanan sistem keamanan siber di setiap instansi.
Akibatnya, kebocoran data yang dikelola oleh penyelenggara sistem elektronik (PSE) terus berulang. Tidak terkecuali dugaan kebocoran yang terjadi dalam sepekan terakhir. Sejumlah data pribadi warga, pejabat publik, bahkan informasi surat keluar masuk dan dokumen kepada presiden yang dikirim dari Badan Intelijen Negara (BIN) dan berlabel rahasia, dipasarkan di situs daring breached.to oleh akun ”Bjorka”.
”(Sumber daya manusia, peraturan tata kelola, dan teknologi) perlu (dioptimalkan), jujur saja. Apalagi, untuk masalah digitalisasi saat ini, karena didorong oleh pandemi Covid-19, kita secara masif masuk ke ruang siber,” kata Hinsa saat ditemui di kantor BSSN, Depok, Jawa Barat, Selasa (13/9/2022).
Baca juga: Peringatan BSSN Tak Pernah Ditanggapi Serius
Kepala Badan Siber dan Sandi Negara (BSSN) Letjen TNI (Purn) Hinsa Siburian
Ia menambahkan, BSSN telah memantau dan melakukan evaluasi tahunan untuk tiga aspek dasar keamanan siber tersebut. Laporan hasil evaluasi pun dikirimkan kepada setiap PSE secara berkala.
Tak hanya itu, pihaknya juga memantau kerentanan dari sistem keamanan siber di PSE. Ketika ditemukan upaya mencurigakan yang bertujuan untuk menginfeksi sistem keamanan siber atau anomali trafik internet, BSSN akan mengirimkan notifikasi ke PSE. Merujuk Laporan Tahunan Monitoring Keamanan Siber Tahun 2021 yang dikeluarkan BSSN, terjadi 1,6 miliar anomali trafik sepanjang 2021. Namun, notifikasi yang dikirimkan ke PSE belum pernah ditindaklanjuti secara signifikan.
Selama ini kewenangan tidak cukup kuat untuk mendorong PSE menutup kerentanan sistem keamanan siber yang dilaporkan.
Masih lemah
Juru Bicara BSSN Ariandi Putra membenarkan, upaya untuk memantau sistem keamanan dan mengirimkan pemberitahuan anomali trafik ke setiap PSE terus dilakukan. Langkah itu sesuai dengan kewenangan BSSN yang tertera dalam Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik. Akan tetapi, selama ini kewenangan tidak cukup kuat untuk mendorong PSE menutup kerentanan sistem keamanan siber yang dilaporkan.
Oleh karena itu, pihaknya mendukung agar Rancangan Undang-Undang Perlindungan Data Pribadi (RUU PDP) segera disahkan menjadi UU. Sebab, RUU mengatur soal kewajiban PSE secara spesifik, juga pertanggungjawaban dalam perlindungan data yang diproses atau dikelola. ”Dalam beberapa pasal di RUU PDP ada kewenangan yang bisa membantu BSSN mendapatkan kewenangan yang lebih dibandingkan PP No 71/2019,” kata Ariandi.
Baca juga : Kebocoran Data Pribadi Jadi Atensi Presiden Jokowi
Juru Bicara BSSN Ariandi Putra
Merujuk draf RUU PDP hasil tim perumus dan dan tim sinkronisasi pada 29-30 Agustus 2022, definisi PSE yang dimaksud dalam PP No 71/2019 sejalan dengan definisi pengendali data pribadi. Adapun dalam Pasal 1 Ayat (4) disebutkan, pengendali data pribadi adalah setiap orang, badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam menentukan tujuan dan mengendalikan pemrosesan data.
RUU mengatur kewajiban pengendali data yang dijabarkan dalam 30 pasal, yakni Pasal 20-50. Kewajiban yang dimaksud di antaranya terkait dengan dasar pemrosesan data, persetujuan pemrosesan data, pemrosesan data secara terbatas, spesifik, sah secara hukum, dan transparan, serta pemrosesan data yang sesuai dengan tujuan.
RUU juga mengatur kewajiban pengendali data untuk menolak pemberian akses perubahan data, penilaian dampak perlindungan data dalam pemrosesan yang berpotensi risiko tinggi, serta melindungi dan memastikan keamanan data yang diproses. Selain itu, pengendali data juga wajib menjaga kerahasiaan data, mengawasi setiap pihak yang terlibat dalam pemrosesan data, dan melindungi data dari pemrosesan yang tidak sah.
RUU ini telah tuntas dibahas di Komisi I DPR. Untuk selanjutnya, tinggal menunggu jadwal masuk ke pembicaraan tingkat II di rapat paripurna DPR untuk disahkan menjadi UU.
Baca juga: Gelombang Peretasan Data Pribadi Sinyal untuk Darurat Kedaulatan Siber
Anggota Komisi I DPR dari Fraksi Partai Demokrat, Rizki Aulia Rahman Natakusumah
Anggota Komisi I DPR dari Fraksi Partai Demokrat, Rizki Aulia Rahman Natakusumah, mengatakan, RUU PDP yang akan segera disahkan menjadi UU berperan sebagai payung hukum spesifik atas perlindungan data pribadi yang menjadi dasar jaminan rasa aman masyarakat. RUU salah satunya mengatur agar pengendali data, baik dari pihak swasta maupun badan publik atau pemerintah mempersiapkan infrastruktur dan sistem keamanan yang benar-benar bisa terjaga.
”Jika sampai tidak sesuai dengan apa yang diamanatkan oleh UU itu, artinya mereka berpotensi melanggar UU tersebut,” katanya.
Menurut dia, kehadiran UU PDP nantinya memang merupakan awal yang baik. Akan tetapi, regulasi tersebut tidak bisa menyelesaikan seluruh permasalahan yang terkait dengan peretasan dan kebocoran data. Diperlukan kesadaran dari semua pihak untuk meningkatkan literasi dan peran masing-masing dalam menjaga data pribadi.
UU PDP nantinya akan memberikan kekuasaan atau otoritas yang kuat bagi pemerintah untuk melakukan pengamanan data. Namun, itu tidak berarti persoalan kebocoran data akan serta merta berakhir.
Hal senada diungkapkan anggota Komisi I DPR dari Fraksi Partai Golkar, Dave Akbarshah Fikarno. Menurut dia, tuntasnya pembahasan RUU PDP merupakan kemajuan besar karena RUU ini sudah mulai dibahas sejak dua tahun lalu dan sempat menghadapi kebuntuan. UU PDP nantinya akan memberikan kekuasaan atau otoritas yang kuat bagi pemerintah untuk melakukan pengamanan data. Namun, itu tidak berarti persoalan kebocoran data akan serta merta berakhir jika tidak diiringi dengan pembaruan dan pembangunan sistem keamanan siber serta sumber daya manusia yang lebih kuat, baik di kementerian/lembaga maupun di instansi swasta yang berperan sebagai PSE.
”Selama aturannya atau program pemerintahnya tidak dibuat sejalan dengan perkembangan teknologi terkini, pemerintah tidak bersinergi dengan kementerian/lembaga atau instansi pendidikan untuk merekrut dan menciptakan sumber daya manusia yang baru, menciptakan sistem baru, ya pasti kebocoran masih akan terus terjadi,” kata Dave.
Baca juga: Bjorka Sebut Muchdi PR di Balik Pembunuhan Munir, Berkarya: Terbukti Tidak Terlibat
Anggota DPR Komisi I Dave Laksono
Penegakan hukum
Guru Besar Komunikasi Universitas Airlangga Henri Subiakto menambahkan, masifnya kebocoran data yang melibatkan peretas yang menggunakan akun ”Bjorka” telah meningkatkan kesadaran semua pihak untuk segera mengesahkan RUU PDP menjadi UU. Akan tetapi, ia sepakat hadirnya UU bukanlah jaminan bahwa kebocoran data tidak akan terjadi kembali.
Ia menambahkan, kebocoran data bertubi-tubi ini merupakan momentum bagi penegak hukum untuk menindak peretas. Selama ini, pelaku belum pernah diungkap, begitu pula modus yang digunakan dalam membocorkan data. Otoritas yang berwenang seperti Kementerian Komunikasi dan Informatika, BSSN, Polri, harus segera melakukan investigasi atas kasus kebocoran tersebut.
Hinsa mengatakan, pihaknya telah berkoordinasi dengan Badan Reserse Kriminal (Bareskrim) Polri untuk menyelidiki kebocoran data yang diduga melibatkan akun ”Bjorka”. Pihaknya masih mendalami siapa yang ada di balik akun yang muncul melalui media sosial itu. Akan tetapi, ia tidak menjelaskan lebih detil mengenai perkembangan penyelidikan. “Karena kami bekerja sama dengan Bareskrim Polri, nanti mereka yang akan menjelaskan karena lebih teknis, kita tunggu saja,” katanya.
Sementara itu, Kompas mengonfirmasi penyelidikan tersebut kepada Kepala Bareskrim Polri Komisaris Jenderal Agus Andrianto dan Kepala Divisi Humas Polri Inspektur Jenderal Dedi Prasetyo. Hingga Selasa malam, keduanya tidak menjawab pertanyaan yang disampaikan melalui pesan singkat.
