.webp)
Pakar keamanan siber, Alfons Tanujaya, menilai tata kelola data PT KAI amburadul. Hal itu berkaitan dengan apa yang sedang viral di media sosial baru-baru ini, mengenai penyalahgunaan data pribadi penumpang oleh oknum karyawan anak usaha KAI, PT Reska Multi Usaha (KAI Services).
"Eksploitasi data pengguna kereta api di KAI yang terjadi dan ramai di Platform X, sebenarnya hanya merupakan puncak gunung es dari pengelolaan data yang amburadul oleh lembaga publik di Indonesia," kata Alfons dalam keterangannya, Senin (12/1/2026).
Alfons menyatakan, sebenarnya KAI merupakan salah satu lembaga yang cukup maju dengan mengimplementasikan solusi-solusi digital. Oleh sebab itu, tak salah bila ekspektasi terhadap perusahaan selevel ini cukup tinggi terkait kesadaran atas pengelolaan data. Namun yang terjadi malah sebaliknya.
SCROLL TO CONTINUE WITH CONTENT
"Jadi kalau kita lihat dari apa yang terjadi itu, ada petugas bahkan ditengarai bukan dari kereta api bahkan dari anak perusahaan atau dari vendor, bisa mengakses data yang sedemikian detail nama lengkap, tanggal lahir lengkap, nomor telepon, itu merupakan kecerobohan yang luar biasa dalam pengelolaan data," ujarnya.
Alfons menekankan pentingnya menerapkan standar dalam pengelolaan data. Ia memberi contoh seperti harus ada kejelasan di bagian log, lalu siapa, kapan, dan data apa saja yang diakses.
"Kedua, data itu di-masking gitu lho. Jadi kalau tanggal lahirnya ada pakai tahun 1900 bintang-bintang gitu, atau apa, itu pertama. Yang kedua, alamatnya juga di-masking, bintang-bintang-bintang, atau nomor telepon di-masking juga gitu lho. Lalu alamat email di-masking, sehingga itu kan nggak bisa disalahgunakan. Itu salah satu contoh simpel," tegasnya.
Kemudian, Alfons menyinggung soal aturan hanya beberapa orang yang bisa mengakses datanya. Selain itu, ketika akan mengakses, juga harus diperjelas prosedur terkait tujuan ingin mengaksesnya.
"Lalu untuk penyimpanannya, siapa yang boleh menyimpan, dienkripsi seperti apa, siapa yang bisa buka, gitu. Itu jangan diperlakukan seperti berkah, itu data-data pengguna layanan, itu bukan hak kamu. Itu kewajiban kamu, kamu harus lindungi," ucapnya.
Jangan sebatas sanksi
Menurut Alfons, upaya KAI memberikan sanksi kepada karyawannya itu memang sudah sepantasnya dilakukan perusahaan. Namun dirinya menekankan, KAI juga harus di-sanksi.
"Kenapa? Karena ini menunjukkan pengelolaan data yang tidak bertanggung jawab. Ini masyarakat yang dikorbankan, pengguna layanan KAI. Ini mempercayakan datanya, dan bukan mempercayakan datanya, lebih tepatnya dipaksa untuk memberikan datanya jika ingin mengakses layanan KAI. Itu lebih tepatnya begitu," tegasnya.
"Nah, kamu sudah maksa orang memberikan data, lalu memberikan layanan, lalu kamu menyebarkan dan tidak melakukan dengan baik, ya itu kamu salah dan kamu wajib memberikan pertanggungjawaban," tambahnya.
Jadi di sini, menurut Alfons, Komdigi dan BSSN perlu bertindak. Dirinya menyarankan supaya keduanya melakukan penyelidikan, dengan mengaudit secara menyeluruh bagaimana standar pengelolaan data di KAI.
"Contoh minimal ISO 27001 harus dipenuhi gitu loh. Kalau misalnya tidak memenuhi, dibenerin gitu. Itu yang paling penting. Kita nggak penting menghukum. Tapi kalau bertahun-tahun nggak pernah dilaksanakan dan tidak dijalankan dengan baik, ya berikan sanksi," imbuhnya.
Diberitakan sebelumnya, permasalahan ini viral setelah mencuat di media sosial. Awalnya perempuan yang menjadi korban penyalahgunaan data pribadinya diajak bicara oleh seorang penumpang laki-laki di sebelahnya. Herannya lelaki itu mengetahui semua data pribadi perempuan tersebut padahal belum pernah kenal sebelumnya.
Puncaknya, lelaki itu sampai berani menghubungi perempuan tadi lewat pesan singkat, padahal tidak saling bertukar nomor telepon. Setelah diusut perempuan itu menemukan bahwa lelaki itu adalah karyawan KAI Services dan diduga menyalahgunakan data pribadi.
Mengenai hal itu, KAI Services telah melayangkan sanksi disiplin dengan memanggil oknum karyawan yang bersangkutan dan sedang melakukan proses pemeriksaan intensif. Sanksi tegas sesuai aturan perusahaan akan diberikan untuk memberikan efek jera.
Perusahaan juga telah berupaya menjalin komunikasi dengan pihak korban untuk menyampaikan permohonan maaf secara langsung serta memastikan langkah-langkah penyelesaian yang diperlukan. KAI Services juga sudah melakukan evaluasi internal dan menyeluruh terhadap sistem akses data operasional dan memberikan edukasi kembali kepada seluruh personel frontliner mengenai Undang-Undang Perlindungan Data Pribadi (UU PDP).
(hps/fay)
