Belakangan ini masyarakat dihebohkan oleh aksi peretas (hacker) yang menamakan diri Bjorka yang telah membocorkan informasi pribadi sejumlah politisi dan tokoh terkemuka di Indonesia. Parahnya lagi pada Sabtu (10/09/2022), Bjorka merilis serangkaian dokumen rahasia negara yang diklaim sebagai surat dari Badan Intelijen Negara (BIN) yang ditujukan kepada Presiden Joko Widodo. Seperti dilansir Suara.com, bocoran file tersebut berisi lebih dari 679.000 dokumen yang beberapa di antaranya bersifat rahasia.
Bjorka kemudian membocorkan berbagai data berisi informasi pribadi Menteri Komunikasi dan Informatika Johnny Plate, Ketua DPR Puan Maharani, Menteri Badan Usaha Milik Negara (BUMN) Erick Thohir, Menteri Koordinator Bidang Kemaritiman dan Investasi Luhut Binsar Pandjaitan, Kapolri Listyo Sigit Prabowo, hingga data milik Mendagri Tito Karnavian, Gubernur DKI Jakarta Anies Baswedan, serta Menko Polhukam Mahfud MD. Informasi yang terungkap sejauh ini berupa nama lengkap, Nomor Induk Kependudukan (NIK), alamat tinggal, jenjang pendidikan, agama, golongan darah, dan kode pemberian vaksin. Lebih dari itu peretas pun mengklaim dirinya telah berhasil mengantongi sekitar 26 juta data pelanggan IndiHome, 1.3 miliar data pengguna SIM dari database Kominfo, hingga 150 juta data penduduk dari database Komisi Pemilihan Umum (KPU).
Menanggapi sepak terjang Bjorka, Jokowi pun menyatakan pihak pemerintah telah membentuk tim khusus yang terdiri dari Badan Siber dan Sandi Negara (BSSN), Kementrian Kominfo, Polri dan BIN. Diharapkan kemudian tim emergency response tersebut mampu meyakinkan sistem elektronik di masing-masing lembaga kementrian berjalan dengan baik, serta menanggulangi masalah kebocoran data pribadi masyarakat (cnbcindonesia.com, 13/09/2022). Hingga detik ini telah diberitakan penangkapan beberapa personal yang disebut-sebut terkait dengan Bjorka yang dibantah secara langsung oleh pihak peretas.
*“Wajarnya” Kebocoran Data di Indonesia*
Pakar keamanan siber, Alfons Tanujaya, mengatakan kebocoran data (data leak) bukanlah hal baru di Indonesia. Tercatat ada lima ribu laporan pengaduan tindakan penipuan (fraud) di sektor perbankan yang masuk ke website Kemkominfo setiap minggunya pada tahun 2020 silam. Dimana terhitung sejak Maret 2020 hingga November 2021, hampir 200 ribu laporan penipuan telah diterima. Dan sepanjang 2017 sampai 2020 tercatat 16.845 laporan tindak pidana penipuan siber yang masuk ke Direktorat Tindak Pidana Siber (Ditipidsiber) Polri. Statistik ini pada akhirnya menunjukkan Indonesia sudah berada dalam situasi darurat kejahatan siber (republika.co.id, 09/11/2021).
Bahkan pada September 2021 lalu terjadi kebocoran 1.3 juta data pengguna eHAC (electronic-Health Alert Card) yang berisikan data pasien rumah sakit dari database Kementrian Kesehatan. Kepala Lembaga Riset Siber Indonesia (CISSReC), Pratama Persadha, mengatakan hal ini terjadi lantaran sistem keamanan informasi dan teknologi (IT) milik Kemenkes cenderung lemah (republika.co.id, 08/01/2022). Persadha menuturkan dalam kasus eHAC, pelaporan adanya kebocoran data sampai dua kali tidak direspon oleh tim IT Kemenkes. Tindakan baru dilakukan setelah laporan dilanjutkan ke BSSN dengan me-takedown sistem eHAC dua hari kemudian.
Baik Tanujaya maupun Persadha dalam dua kesempatan berbeda menyebutkan bahwa lembaga negara di Indonesia memiliki kecenderungan untuk menyangkal terjadinya kebocoran data publik. Laporan kebocoran data akan ditindaklanjuti hanya jika pemberitaan terkait menjadi viral atau adanya desakan dari berbagai pihak. Kondisi semacam ini pada akhirnya semakin memperlihatkan betapa rentannya masyarakat Indonesia terhadap tindakan kriminal digital yang sayangnya tidak banyak mendapat tanggapan serius dari pihak rezim.
*Urgensi Infrastruktur Keamanan Digital*
Sekalipun dapat dikatakan tidak ada sistem yang 100% aman dari ancaman peretasan maupun bentuk serangan siber lainnya, tetap saja dibutuhkan upaya serius guna menutup lubang keamanan dalam sistem digital nasional. Untuk mencapai hal tersebut dibutuhkan teknologi informasi yang mumpuni dibarengi dengan keberadaan orang-orang yang kompeten agar selalu bisa melakukan pengamanan dengan standar yang tinggi. Kepada republika.co.id Persadha menjelaskan, "Seluruh instansi pemerintah wajib bekerjasama dengan BSSN, termasuk Kemenkes untuk melakukan audit digital forensic dan mengetahui lubang-lubang keamanan mana saja yang ada. Langkah ini sangat perlu dilakukan untuk menghindari pencurian data di masa yang akan datang. Sebaiknya penguatan sistem dan SDM harus ditingkatkan, adopsi teknologi, utamanya untuk pengamanan data juga perlu dilakukan.
Dari sini jelas dibutuhkan kemampuan Sumber Daya Manusia (SDM) Indonesia yang mumpuni untuk melakukan enkripsi serta pengamanan data guna menjamin keamanan data publik. Direktur Proteksi Ekonomi Digital BSSN, Anton Setiyawan bahkan menjelaskan bahwa kebutuhan SDM untuk keamanan siber di tanah air per 2020 mencapai 18 ribu tenaga ahli. Dalam hal ini pelatihan keterampilan digital forensik maupun manajemen operasi sistem sangat diperlukan mengingat permasalahan siber bergerak sangat cepat dan dinamis.
Tidak hanya itu, dibutuhkan adanya pengamanan berlapis dalam melindungi data kelembagaan negara yang saling berkaitan antara satu lembaga dengan lembaga lainnya yang ditopang dengan keberadaan teknologi yang cukup. Sekalipun memang benar bahwa penggunaan teknologi termutakhir dalam pengamanan data digital membutuhkan dana yang cukup fantastis, namun hal ini menjadi keperluan mendesak seiring dengan pesatnya perkembangan dunia digital. Terlebih dengan adanya pandemi COVID-19 turut mempercepat pergeseran hampir seluruh lini ke ranah digital.
Hingga Januari 2022, jumlah pengguna internet di Indonesia mencapai 204,7 juta atau setara dengan 73,7% total populasi masyarakat Indonesia dengan peningkatan sebanyak 2,1 juta pengguna antara tahun 2021-2022 (pijarfoundation.org, 08/06/2022). Sayangnya kondisi tersebut justru diiringi dengan kian maraknya pencurian data, peretasan situs-situs milik negara, sabotase jaringan, maupun kegiatan lainnya yang dilakukan secara ilegal memiliki potensi kerugian secara material maupun immaterial. Sepanjang 2021 saja, Badan Sandi dan Siber Negara (BSSN) mencatat kurang lebih 1,6 miliar serangan siber dan memproyeksikan potensi kerugian ekonomi yang mencapai 14,2 triliun. Dari sini jelaslah bahwa pembangunan infrastruktur keamanan digital Indonesia perlu benar-benar segera dilakukan baik dari sisi pembenahan teknologi maupun upgrade SDM keamanan siber.
Hanya saja untuk membangun infrastruktur keamanan siber yang utuh diperlukan adanya aspek lain yang dijalankan secara selaras, yakni keberadaan regulasi keamanan digital. Hingga saat ini, payung hukum BSSN berdasar pada UU 1 tahun 2008 mengenai Informasi dan Transaksi Elektronik (UU ITE) yang sempat mengalami revisi pada 2016 belum benar-benar dapat menjamin perlindungan data digital masyarakat Indonesia secara komprehensif.
Pengajar Fakultas Hukum Universitas Indonesia, Setyawati Fitri Anggraeni, lewat makalah berjudul Polemik Pengaturan Kepemilikan Data Pribadi, Urgensi untuk Harmonisasi dan Reformasi Hukum di Indonesia (Jurnal Hukum & Pembangunan 48 No. 4, 2018) menyebutkan hingga saat ini masih ada aturan hukum yang secara implisit mengizinkan pengalihan hak milik data pribadi, seperti aturan Bank Indonesia tentang Layanan Keuangan Digital (LKD). Aturan itu menetapkan bahwa data pribadi yang diperoleh agen LKD adalah hak milik Penyelenggara LKD, sehingga LKD dilegalkan untuk mengalihkan data pribadi ke lembaga atau perusahaan lain sebagaimana data nasabah perbankan yang banyak tersebar ke lembaga keuangan lainnya. Padahal, menurut Setyawati (2018) hak milik seharusnya tetap berada di tangan individu sebagai subjek data, bukan malah dipindahkan ke lembaga atau perusahaan.
*Menyoal Rancangan Undang-Undang Perlindungan Data Pribadi (RUU PDP)*
Melihat rapuhnya payung hukum Indonesia dalam menjamin keamanan data digital banyak pihak yang kemudian mendesak pengesahan RUU PDP. Adapun beberapa pokok aturan RUU PDP menetapkan beberapa larangan perbuatan dalam penggunaan data pribadi penduduk Indonesia. Dimana RUU PDP memberikan penegasan dan menetapkan tujuh larangan perbuatan yang bisa merugikan pemilik data pribadi. Namun sekalipun telah disahkan, aturan tersebut membutuhkan waktu setidaknya dua tahun sebagai masa transisi (cnbcindonesia.com, 09/09/2022).
Terlebih lagi pelaksanaan RUU PDP pun masih mengalami kendala besar terutama dalam pembahasan Data Protection Authority (DPA). Peneliti dan Dosen Hukum Siber Fakultas Hukum Universitas Airlangga, Masitoh Indriani, S.H., LL.M, pada Sabtu (16/07/2022) menyatakan bahwa Indonesia membutuhkan DPA sebagai lembaga yang berwenang untuk menjalankan fungsi pengawasan terhadap pengolahan data di Indonesia. Beliau menambahkan idealnya DPA sebagai lembaga pengawas seharusnya menjalankan kewenangan dan fungsi mengawasi, investigasi, dan korektif secara independen yang mencakup independensi secara kekuasaan (power), sumber daya (resources), dan bebas dari pengaruh luar (external influence). Namun sayangnya Indonesia hingga saat ini keberadaan DPA yang benar-benar independen di Indonesia masih menjadi pertanyaan besar para pakar siber.
Oleh karena itu dapat kita katakan bahwa pelaksanaan RUU PDP dalam upaya penjaminan keamanan digital di Indonesia masih harus menempuh jalan berliku nan panjang. Dimana pengesahan payung hukum saja tidak cukup, tetapi dibutuhkan lembaga DPA yang tepat disertai dengan keberadaan SDM dan teknologi yang mumpuni. Maka dari itu peningkatan keamanan digital Indonesia perlu segera dilakukan secara menyeluruh dalam berbagai lini yang tentu saja harus didukung oleh keseriusan penuh rezim untuk melindungi rakyat Indonesia.
Wallahu a’lam bi ash-shawab.
Oleh Karina Fitriani Fatimah
(Alumnus of master degree of applied computer science, Albert-Ludwigs- Universität Freiburg, Germany)
0 Komentar