PARBOABOA, Jakarta - Bocornya data pribadi milik sejumlah instansi pemerintahan dan tokoh-tokoh penting, menandai keamanan siber di Indonesia sedang tidak baik-baik saja.
Terbaru, kebocoran data dialami oleh Direktorat Jenderal Pajak (DJP), dimana sebanyak 6 juta NPWP diduga dicuri oleh peretas berinisial Bjorka.
Peretas yang sama juga diduga mencuri data pribadi milik keluarga Presiden Joko Widodo (Jokowi) dan Menteri Keuangan, Sri Mulyani.
Presiden menanggapi insiden ini dengan menginstruksikan seluruh jajarannya segera melakukan mitigasi. "Segera dimitigasi," kata Jokowi saat mengunjungi Pasar Dukuh Kupang Surabaya, Jumat (20/9/2024).
Menurut Mantan Wali Kota Solo itu, kebocoran data pribadi sekarang tidak hanya terjadi di Indonesia tetapi juga di banyak negara-negara lain di dunia.
"Banyak negara mengalami hal yang sama" yang terpenting "dimitigasi secepat-cepatnya agar tidak kejadian lagi," tegasnya sekali lagi.
Kebocoran sejumlah data pribadi di atas mencuat setelah pendiri Ethical Hacker Indonesia, Teguh Aprianto menyampaikan informasi penjualan jutaan data NPWP di forum ilegal.
Selain NPWP, data yang diduga bocor mencakup NIK, alamat, nomor telepon, hingga email. Lewat akun X @secgron, Teguh menyebut, sebanyak 6,6 juta data diperjualbelikan dengan harga mencapai Rp 150 juta.
Pengguna forum mempublikasikan sejumlah data tersebut menggunakan nama Bjorka. Akun yang sama menyebut, data milik keluarga Presiden Jokowi dan beberapa Menteri, dibocorkan sebagai sampel.
Dalam catatan Parboaboa, sejak 2020, kebocoran data yang mengancam privasi masyarakat terus terjadi.
Salah satu insiden besar adalah kebocoran data BPJS Kesehatan pada 2021, di mana data 279 juta peserta diduga dijual di forum gelap.
Tak hanya itu, Tokopedia juga mengalami kebocoran pada 2020, dengan 91 juta data penggunanya terancam. KreditPlus dan Bukalapak pun menghadapi masalah serupa, diikuti oleh IndiHome yang kehilangan data penggunanya di tahun 2022.
Tahun 2022 bahkan menjadi tahun paling kritis. Semenjak jak itu, peretas Bjorka mengklaim membobol data 105 juta pemilih dari KPU, membobol data platform Carousell dan MyPertamina.
Kasus kebocoran data terus terjadi hingga akhir 2023, ketika data nasabah Bank Syariah Indonesia bocor. Sementara itu, di bulan Juni 2024, Serangan ransomware dilaporkan mengunci data di 282 kementerian/lembaga.
Penyebab Kebocoran Data Pribadi
Kebocoran data pribadi disebabkan oleh sejumlah faktor. Pakar teknologi, Julyanto Sutandang dalam sebuah keterangan mengurai sejumlah faktor-faktor tersebut.
Pertama, terkait akses aplikasi. Julyanto menjelaskan bahwa aplikasi yang tidak aman bisa menjadi pintu masuk bagi peretas untuk mencuri data.
Jika aplikasi tidak memiliki perlindungan yang cukup, peretas bisa memanfaatkan celah ini untuk mengambil data sensitif, seperti melalui serangan SQL Injection atau pembajakan akses.
Kedua, akses superuser. Superuser adalah pengguna dengan hak istimewa yang dapat mengakses sistem lebih luas dibandingkan pengguna biasa.
Akses ini biasanya diberikan kepada orang tertentu untuk mengelola sistem atau data. Namun, jika tidak dikelola dengan baik, kata dia, ada risiko penyalahgunaan yang bisa mengakibatkan kebocoran data.
Ketiga, akses ke Data Center. Data center adalah tempat penting untuk menyimpan data suatu organisasi.
Namun, jika keamanannya tidak kuat, peretas bisa menemukan cara untuk masuk dan mencuri data, "salah satunya lewat trik social engineering."
Kurangnya pengawasan fisik atau keamanan di sekitar data center juga bisa mempermudah akses yang tidak sah ke dalam sistem.
Keempat, terkait pengaturan akses. Data biasanya dikelola oleh berbagai tim, seperti developer, tim support, operasi, dan DBA. Setiap tim memiliki akses ke bagian data yang berbeda.
Namun, setiap orang yang punya akses berpotensi melakukan tindakan yang tidak sesuai, yang bisa menyebabkan kebocoran data.
Itulah sebabnya, tegas Julyanto, kepercayaan pada integritas personal dan perusahaan outsource sangat penting dalam hal ini.
Kelima, unencrypted data. Enkripsi adalah cara mengubah data menjadi format yang tidak bisa dibaca tanpa kunci khusus.
Jika data dienkripsi dengan baik dan kunci enkripsi dikelola dengan standar yang benar, meski terjadi kebocoran, data tersebut tidak bisa dibuka oleh peretas.
Namun, jika data tidak terenkripsi, peretas dapat dengan mudah membaca dan menyalahgunakannya.
Komisi Perlindungan Data
Banyak langkah yang dapat diambil untuk mengatasi peretasan data pribadi di Indonesia.
Namun, dengan semakin seringnya kebocoran data, pakar keamanan siber, Pratama Persadha, mengusulkan agar Presiden Jokowi mempercepat pembentukan Komisi Perlindungan Data.
Usulan ini sejalan dengan ketentuan Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP), yang mulai berlaku pada 18 Oktober 2024.
Komisi tersebut, kata Pratama, nantinya memiliki tugas untuk merumuskan kebijakan, mengawasi perlindungan data pribadi, serta menegakkan hukum terkait pelanggaran dalam UU PDP.
Meskipun undang-undang ini baru akan berlaku dua hari sebelum masa jabatan Jokowi berakhir, tambahnya, Presiden tetap memiliki tanggung jawab untuk mengeluarkan Keppres yang membentuk lembaga pengawasan ini sebelum Oktober 2024.
"Masih ada waktu bagi Presiden sampai 17 Oktober mendatang," katanya.
Menurut Pratama, maraknya kebocoran data juga memicu peningkatan penipuan, penyalahgunaan data untuk pinjaman online ilegal, hingga penyebaran iklan judi online.
Selain itu, perlindungan data pribadi menurutnya, merupakan bagian dari perlindungan hak asasi manusia, sebagaimana diatur dalam Pasal 28G Ayat (1) UUD 1945.
Sayangnya, tanpa adanya lembaga yang bertugas menegakkan UU PDP, banyak perusahaan dan organisasi yang mengalami kebocoran data cenderung abai terhadap keamanan siber.
Bahkan, beberapa dari mereka, kata dia, tidak melaporkan insiden tersebut. Padahal menurut Pasal 46 UU PDP, mereka diwajibkan untuk memberitahu subjek data yang terdampak dan lembaga terkait dalam waktu 3 x 24 jam.
Editor: Gregorius Agung