Data BPJS Bocor, Ratifikasi RUU Perlindungan Data Pribadi Makin Urgen

Widyawan mengungkapkan, dampak dari kebocoran data ini cukuplah banyak. Salah satunya yakni terkait masalah privasi yang lebih banyak menyangkut soal data pribadi, seperti informasi alamat, tanggal lahir, kondisi keuangan yang kemungkinan akan terekspos. Selain itu, juga terkait soal pencurian identitas (identity theft) yang bisa digunakan untuk sasaran marketing yang ilegal hingga untuk tindak penipuan online.

“Kriminalitas terkait dengan transaksi elektronik ini dapat muncul seiring dengan tersebarnya data pribadi. Oleh karena itu, beberapa institusi membutuhkan data pribadi sebagai item untuk verifikasi guna melakukan transaksi yang penting," katanya.

Menurut Widyawan, kebocoran data ini bisa terjadi karena ketika data dalam bentuk elektronik dan ditempatkan dalam sistem komputer yang terhubung dengan jaringan Internet, maka sesungguhnya risiko keamanan siber otomatis menjadi semakin besar. Risiko keamanan ini akan selalu ada dan tidak akan hilang dengan sendirinya sehingga proses pengamanan harus secara terus menerus dilakukan dan tidak boleh lengah (security is a process, not a product).

Hal yang menjadi sorotannya yakni, seringkali keamanan teknologi informasi sering ditempatkan di prioritas akhir dan baru disadari ketika sudah terjadi insiden. Fungsionalitas dari sistem sering menjadi fokus utama dan sering abai terhadap keamanan siber.

“Jadi, ada problem dengan awareness dan prioritas. Kebocoran data pada sistem elektronik dapat terjadi karena pemanfaatan celah keamanan pada yang terlibat dalam suatu sistem. Yang perlu diketahui bahwa keamanan tidak hanya melulu masalah teknologi, yang terlibat dalam sistem antara lain orang, proses, selain teknologi yang digunakan," terangnya.

Guna meningkatkan jaminan keamanan data, menurutnya perlu adanya UU yang secara spesifik mengatur keamanan data. Kehadiran regulasi ini dinilai semakin strategis dan penting, mengingat dalam kondisi pandemik penggunaan teknologi digital semakin meningkat dalam berbagai aspek kehidupan. Baik dalam penyelenggaraan pemerintahan, perekonomian dan bisnis dan pendidikan.

“Aspek SDM yang ahli dalam keamanan siber juga perlu ditingkatkan dan di Indonesia masih sangat kurang. Juga soal penerapan standar keamanan internasional (contoh: ISO/IEC 27001, ISO 15408, dan lain-lain terhadap penyelenggara layanan elektronik perlu ditegakkan). Perlu ada badan siber yang juga secara rutin melakukan audit dan testing terhadap keamanan penyelenggara layanan elektronik. Terutama yang menyimpan data dalam jumlah masif dan strategis," paparnya.

Lebih lanjut, Widyawan mengungkapkan, dari tahun ke tahun jumlah insiden keamanan siber selalu meningkat. Baik dari sisi jumlah (kuantitas) maupun ragam serangannya (kualitas). Sebagai contoh, insiden keamanan ransomware sudah melibatkan tebusan yang sangat besar dan semakin marak. Dengan perkembangan IoT/Cyber Physical System maka serangan juga sudah menyerang sistem yang berhubungan dengan perangkat keras dan fisik.

“Misal perusahaan Colonial Pipeline di Amerika, perusahaan yang menyalurkan minyak, bahan bakar, jet fuel sempat terhenti operasinya dan harus membayar tebusan USD 4.4 juta. Tetapi ibarat kejahatan data maka tidak bisa dianggap sebagai hal yang lumrah harus ada penanganan yang serius dan sungguh-sungguh untuk mengurangi risiko akan kerugian," jelasnya.  

Sementara itu, Prof. Wahyudi Kumorotomo, Guru Besar Manajemen dan Kebijakan Publik UGM, menilai kasus bocornya data kependudukan yang bermula dari BPJS Kesehatan harus diusut tuntas oleh pihak berwenang. Dalam hal ini perlu kerja sama yang baik antara Kominfo, Bareskrim Polri, dan BSSN, agar kejadian yang berpotensi mengundang kejahatan siber ini bisa dicegah. 

Wahyudi pun menilai jika kebocoran data akan mengakibatkan banyak kemungkinan kejahatan siber. Saat ini saja sudah banyak terjadi doxing, fenomena dark-web, perundungan siber, dan sebagainya yang terjadi akibat bocornya data pribadi dalam data kependudukan. 

“Saya kira kejadian ini menunjukkan semakin pentingnya ratifikasi RUU Perlindungan Data Pribadi yang sampai saat ini masih maju-mundur di Prolegnas. Kalau kita tidak punya perangkat regulasinya, pemerintah tidak bisa menindak secara tegas pelaku pembocor data," terangnya.

Dia mengungkapkan, pada tahun lalu Facebook mendapat hukuman karena membocorkan data bagi 87 juta penggunanya. Tetapi sekitar 11 data yang bocor dari Indonesia tidak bisa mendapatkan ganti-rugi atau kompensasi dari FB karena Indonesia tidak memiliki UU Perlindungan Data Pribadi. 

“Yang dilakukan oleh Kominfo hanya take-down terhadap info dan akun pembocor data seperti Raid Forums, atau menghukum kejahatan yang sudah terjadi. Tetapi tidak ada jaminan bagi rakyat secara menyeluruh karena belum ada UU Perlindungan Data," paparnya.