.webp)
Beberapa tahun terakhir sering terjadi serangan siber dan pencurian data pribadi, baik dari lembaga pemerintah maupun korporasi.
Kebocoran data pribadi terbaru adalah bocornya 337 juta data yang diduga dari Dukcapil Kemendagri. Menurutnya, data yang dibocorkan di Breachforum ini mengandung informasi yang sangat berbahaya jika bocor, yaitu nama ibu.
Dari bermacam field di tabel yang dibocorkan itu, ada field "NAMA_LGKP_IBU", yang menurut pakar keamanan siber Dr. Pratama Persadha sangatlah berbahaya. Pasalnya nama lengkap ibu kandung ini biasanya dipergunakan sebagai lapisan keamanan tambahan di sektor perbankan.
SCROLL TO CONTINUE WITH CONTENT
Nama lengkap ibu kandung ini akan diminta pada saat melakukan pembukaan rekening bank serta kartu kredit. Juga saat kita melakukan aktivitas perbankan melalui customer service baik melalui telepon atau offline di cabang bank maka akan ditanyakan nama ibu kandung pada saat melakukan verifikasi data perbankan selain data diri dari nasabah.
"Dapat dibayangkan betapa berbahayanya data nama ibu kandung tersebut jika sampai data ini jatuh ke tangan orang yang akan melakukan tindakan kriminal dan penipuan terutama jika data tersebut digabungkan dengan kebocoran data lainnya sehingga bisa mendapatkan profil data yang cukup lengkap dari calon korban penipuan seperti Nama, NIK, No KK, Alamat, No HP, Alamat Email, No Rekening, Nama Ibu Kandung, dll sehingga pelaku kejahatan bisa leluasa melakukan penipuan dengan metode social engineering menggunakan data tersebut," kata Pratama dalam keterangan yang diterima detikINET.
"Yang lebih berbahaya lagi jika data pribadi tersebut dipergunakan untuk membuat identitas palsu yang kemudian dipergunakan untuk melakukan tindakan terorisme, sehingga pihak serta keluarga yang data pribadinya dipergunakan akan mendapat tuduhan sebagai teroris atau kelompok pendukungnya," tambah mantan Direktur Pam Sinyal BSSN tersebut.
Nama pemerintah tercoreng
Jika kebocoran data yang terjadi juga dapat merugikan pemerintah, karena jika sumber kebocoran diklaim berasal dari salah satu lembaga pemerintahan, pihak lain akan menyimpulkan bahwa faktor keamanan siber sektor pemerintahan adalah cukup rendah.
Hal ini tentu saja akan mencoreng nama baik pemerintah baik dimata masyarakat Indonesia maupun di mata dunia internasional, karena pemerintah tidak sanggup melakukan pengamanan siber untuk institusinya.
Pratama meyakini, meskipun belum ada keterangan resmi dari Dirjen Disdukcapil, dari data-data yang dibocorkan ini terlihat kalau kebocorannya berasal dari badan tersebut. Termasuk keberadaan field "NAMA_PET_ENTRI" yang termasuk dalam data yang bocor.
"Dari hasil investigasi singkat CISSReC, beberapa nama yang tercantum dalam field "NAMA_PET_ENTRI" adalah karyawan dari Disdukcapil." imbuh dosen tetap STIN dan PTIK ini.
Hacker 'RRR' jual bermacam data pribadi
Akun RRR yang membuat thread di Breachforum soal kebocoran data ini pun banyak menawarkan data-data lain dari Indonesia. Misalnya 1,3 triliun data registrasi simcard, 36 juta data Kendaraan Bermotor, 272 Juta data BPJS, 2 juta data foto dari BPJS, 34 juta data passport, 6,9 Juta data visa, 186 juta data KPU, 1 trilun data Kemendesa, 337 juta data Disdukcapil serta yang paling baru adalah 6,8 Juta data DPT provinsi DKI.
Selain data dari negara Indonesia, akun "RRR" juga menawarkan beberapa data yang juga didapatkan dari negara lainnya seperti 15 juta data korporasi Jepang, 108 juta data Iran Telecom, 3 juta data kendaraan dan 2,8 juta data penduduk Lebanon, 28,6 juta data pekerja Taiwan, 23,5 juta data kependudukan Taiwan, 30 juta data pribadi penduduk Thailand, 789 juta data pemilih India, 10 juta data dari operator telekomunikasi Jordania, 23 juta data Facebook Jepang serta 51 juta data facebook Vietnam.
UU PDP belum bertaji
Melihat seringnya terjadi kebocoran data pribadi, pemerintah harus lebih serius dalam menerapkan hukum dan regulasi terkait dengan Pelindungan Data Pribadi. Dalam kasus kebocoran data, pihak-pihak yang harus bertanggung jawab adalah perusahaan sebagai pengendali atau pemroses data, serta pelaku kejahatan siber yang menyebarkan data pribadi ke ruang publik. Untuk pihak-pihak yang berdomisili di Indonesia kita bisa menggunakan UU PDP pasal 57 sebagai dasar tuntutan.
Lalu soal keberadaan UU PDP yang sudah disahkan sejak 2022 pun menurut Pratama bukan tidak ampuh. Hanya saja UU tersebut belum bisa diterapkan secara maksimal. Pasalnya DPR dan pemerintah masih memberikan masa transisi selama 2 tahun, seperti diatur dalam UU PDP pasal 74, untuk semua pihak mulai menyesuaikan kebijakan internal sesuai dengan diatur dalam UU PDP termasuk salah satunya adalah merekrut Petugas Pelindungan Data (Data Protection Officer).
Namun pelanggaran terkait UU PDP yang dilakukan selama masa transisi tersebut sudah dapat dikenakan sanksi hukuman pidana, hal ini sesuai dengan pasal 76 UU PDP yang menyebutkan bahwa undang-undang berlaku sejak tanggal diundangkan, meskipun untuk sanksi administratif masih harus menunggu turunan dari UU PDP.
Hal ini tentu saja berbeda dengan UU no 1 tahun 2023 tentang KUHP dimana dalam pasal 624 UU KUHP diatur bahwa UU KUHP mulai berlaku setelah 3 (tiga) tahun terhitung sejak tanggal diundangkan.
"Hanya saja sanksi hukuman tersebut hanya dapat dijatuhkan oleh lembaga atau komisi yang dibentuk oleh pemerintah dalam hal ini adalah Presiden. Sehingga jika komisi PDP tersebut tidak segera dibentuk, maka pelanggaran yang dilakukan tidak akan dapat diberikan sanksi hukuman. Oktober 2024 adalah batas maksimal diberlakukannya UU PDP secara penuh, namun seharusnya bisa lebih cepat jika pemerintah sudah membentuk lembaga nya serta turunan UU nya," jelas Pratama.
"Jadi yang perlu secepatnya dilakukan oleh pemerintah adalah Presiden segera membentuk komisi PDP sesuai amanat UU PDP pasal 58 s.d. pasal 60 UU PDP dimana lembaga pengawas PDP ini berada di bawah Presiden dan bertanggung jawab kepada Presiden, karena dengan melakukan pembentukan lembaga atau otoritas tersebut proses penegakan hukum serta pemberian sanksi bisa segera diterapkan sehingga diharapkan dengan diterapkan sanksi administratif serta sanksi hukum yang ada di UU PDP, pihak pihak yang terkait dengan data pribadi lebih perhatian terhadap keamanan data pribadi. Hal ini adalah supaya kasus-kasus insiden kebocoran data pribadi dapat diselesaikan dengan baik dan rakyat bisa terlindungi," tutupnya.
(asj/asj)
