Kejadian bocor data berulang tunjukkan urgensi UU PDP di Indonesia

id Kominfo, berita riau terbau, data

Kejadian bocor data berulang tunjukkan urgensi UU PDP di Indonesia

Tangkap layar unggahan akun TikTok @roomtwentynine. (ANTARA/Kliwon)

Tasrif (ANTARA) - "Lagi-lagi kebocoran data terjadi di Indonesia" ini merupakan judul unggahan akun TikTok @roomtwentynine. Akun ini juga memberitahukan bahwa data vaksin tersebut berasal dari dark web (web gelap).

Video itu pun ditelusuri Communication and Information System Security Research Center (CISSReC). Lembaga Riset Siber Indonesia CISSReC menyatakan bahwa situs yang berada di dark web tersebut hanyalah mirror (cermin).

Kemungkinan situs aslinya adalah situs yang beralamatkan di "breached(dot)xx", yaitu situs forum peretas yang mirip dengan raidforums (situs web forum diskusi untuk berbagi informasi seputar peretasan, pembobolan, dan jual beli data pribadi di internet).

Sebelumnya, pada tanggal 6 Juli 2022, ada akun bernama Emo yang sempat mengunggah data serta membagikannya secara cuma-cuma. Akun tersebut membagikan database pengguna vaksin yang berisi lebih dari 690.000 data pribadi dan 16.560.278 baris data.

Data tersebut berformat "json" dan total database tersebut berukuran 1.3 gigabita jika tidak dikompresi. Sebenarnya, siapa pun bisa mengunduh data tersebut. Pada saat akan diunduh, ukurannya hanya sebesar 29 megabita (masih dikompresi). Namun, si pengunggah data tersebut juga tidak memberikan keterangan dari mana data vaksin yang bocor tersebut berasal.

Pada saat data tersebut dibuka, banyak data pribadi yang muncul secara lengkap, mulai dari nomor id, gerai id, jenis vaksin, tanggal, nomor induk kependudukan (NIK), nama, tempat lahir, tanggal lahir, alamat, jenis kelamin, dosis, kipi (salah satu reaksi tubuh pasien setelah pemberian vaksin), telepon, nama gerai, kelurahan, kecamatan, kota, dan jenis vaksin.

Bila ditelusuri data yang bocor tertera alamat situs ktjaya.metro.polri.go.id yang merupakan situs milik Polri. Terkait dengan ini, Ketua Lembaga Riset Siber Indonesia CISSReC Dr. Pratama Persadha menyatakan bahwa sangat mungkin kebocoran data karena kelemahan pada insecure direct object reference (IDOR) atau referensi objek langsung yang tidak aman, atau penerapan autentikasi yang lemah.

IDOR terjadi saat aplikasi menyediakan akses langsung ke objek berdasarkan masukan dari pengguna. Hal ini memungkinkan peretas (hacker) untuk mem-bypass autentikasi standar dan mengakses catatan database maupun sumber daya lain.

Dari uniform resource locators (URL) yang ditemukan pada data yang bocor, menurut Pratama, seharusnya peretas harus login terlebih dahulu ke situs tersebut. Akan tetapi, sepertinya sang hacker menemukan cara masuk tanpa login sehingga dia dapat langsung mengakses ke datanya.

Untuk mengurangi banyaknya kebocoran data, menurut pakar keamanan siber Pratama Persadha, Pemerintah harus gencar dan terus-menerus menanamkan kesadaran akan pentingnya perlindungan data.

Secara teknologi, misalnya dapat menggunakan enkripsi, sehingga data bocor tetap masih terlindungi. Data vaksin yang bocor ini setelah dicek tanpa perlindungan enkripsi.

Urgensi UU PDP

Tidak lupa juga penguatan sistem komputer di pemerintahan maupun swasta. Salah satunya bisa dipaksa dengan Undang-Undang Perlindungan Data Pribadi (UU PDP).

Dengan demikian, ada paksaan atau amanat dari UU PDP untuk memaksa semua lembaga negara melakukan perbaikan infrastruktur teknologi informasi, sumber daya manusia (SDM), bahkan adopsi regulasi yang pro pengamanan siber. Tanpa UU PDP, kejadian peretasan seperti situs pemerintah akan berulang.

Masih belum rampungnya RUU PDP, kata Pratama, akan sangat berdampak luas di Tanah Air. Di Indonesia sendiri pengamanan data pribadi belum mendapatkan payung hukum yang memadai.

Potensi kasus kebocoran data di Tanah Air masih sangat besar karena Indonesia sendiri masih dianggap rawan peretasan yang memang kesadaran keamanan siber masih rendah.

Di Korea Selatan, misalnya, baru dibentuk pada bulan Agustus 2020. Komisi Perlindungan Data Pribadi di sana sudah menjatuhkan denda puluhan miliar rupiah pada Facebook, Netflix, dan Microsoft karena kedapatan memanfaatkan data pribadi masyarakat Korsel secara diam-diam tanpa persetujuan.

Belum lagi masalah kebocoran data. Bahayanya bertambah karena sebagian besar lembaga negara di Tanah Air ini masih sangat kurang soal keamanan siber pada sistem informasinya.

Lagi-lagi butuh UU PDP untuk memaksa lembaga negara maupun swasta untuk mau menerapkan keamanan siber tingkat tinggi pada sistemnya sehingga mengurangi kemungkinan kebocoran data.

Serap Aspirasi

Guna menyerap aspirasi masyarakat, wakil rakyat di Senayan, Jakarta, tampil dalam webinar Ngobrol Bareng Legislator bertajuk "Urgensi RUU Perlindungan Data Pribadi" pada tanggal 15 Juli 2022.

Anggota Komisi I DPR RI Nurul Arifin menyebutkan salah satu sasaran negara melalui Rancangan Undang-Undang Perlindungan Data Pribadi (RUU PDP) adalah menjamin serta melindungi hak dasar warga negara.

Disebutkan pula bahwa sasaran yang ingin diwujudkan melalui RUU PDP adalah terlindunginya dan terjaminnya hak dasar warga negara melalui regulasi perlindungan data pribadi.

Apalagi, perlindungan data pribadi merupakan bagian dari perlindungan diri pribadi, sebagaimana diatur dalam Pasal 28G ayat (1) UUD NRI Tahun 1945. Pasal ini menyebutkan bahwa setiap warga negara Indonesia berhak atas perlindungan diri pribadi, keluarga, kehormatan, martabat, dan harta benda yang ada di bawah kekuasaannya serta hak atas rasa aman dan perlindungan dari ancaman ketakutan untuk berbuat atau tidak berbuat sesuatu yang merupakan hak asasi.

Di samping ada jaminan hak dasar warga negara, disebutkan pula beberapa sasaran yang hendak diwujudkan oleh negara Indonesia melalui keberadaan RUU Perlindungan Data Pribadi yang pembahasannya ditargetkan selesai di akhir tahun 2022.

Melalui RUU PDP, negara berupaya meningkatkan budaya kesadaran masyarakat dalam melindungi data pribadi mereka serta menjamin masyarakat untuk mendapatkan pelayanan dari pemerintah, pelaku bisnis, dan organisasi lainnya.

RUU PDP juga menyasar pada peningkatan pertumbuhan ekonomi digital dan industri teknologi, informasi, dan komunikasi melalui upaya kesetaraan regulasi perlindungan data pribadi untuk mendukung mekanisme transborder flow of data (arus data antarnegara) dalam transaksi perdagangan internasional.

Adanya aturan mengenai perlindungan data pribadi tersebut juga akan menghindari Indonesia dari segala macam eksploitasi dan penyalahgunaan data, khususnya yang berkaitan dengan data pribadi warga Indonesia.

Oleh karena itu, RUU ini perlu segera disahkan jadi UU PDP. Pasalnya, keberadaan undang-undang ini penting sebagai langkah untuk menjaga kedaulatan negara Indonesia, mengingat saat ini peranan data makin kuat di tengah situasi adaptasi teknologi digital yang makin masif, demikian pernyataan Menteri Komunikasi dan Informatika Jhonny G. Plate.

Setelah menjadi Und"Lagi-lagi kebocoran data terjadi di Indonesia" ini merupakan judul unggahan akun TikTok @roomtwentynine. Akun ini juga memberitahukan bahwa data vaksin tersebut berasal dari dark web (web gelap).

Video itu pun ditelusuri Communication and Information System Security Research Center (CISSReC). Lembaga Riset Siber Indonesia CISSReC menyatakan bahwa situs yang berada di dark web tersebut hanyalah mirror (cermin).

Kemungkinan situs aslinya adalah situs yang beralamatkan di "breached(dot)xx", yaitu situs forum peretas yang mirip dengan raidforums (situs web forum diskusi untuk berbagi informasi seputar peretasan, pembobolan, dan jual beli data pribadi di internet).

Sebelumnya, pada tanggal 6 Juli 2022, ada akun bernama Emo yang sempat mengunggah data serta membagikannya secara cuma-cuma. Akun tersebut membagikan database pengguna vaksin yang berisi lebih dari 690.000 data pribadi dan 16.560.278 baris data.

Data tersebut berformat "json" dan total database tersebut berukuran 1.3 gigabita jika tidak dikompresi. Sebenarnya, siapa pun bisa mengunduh data tersebut. Pada saat akan diunduh, ukurannya hanya sebesar 29 megabita (masih dikompresi). Namun, si pengunggah data tersebut juga tidak memberikan keterangan dari mana data vaksin yang bocor tersebut berasal.

Pada saat data tersebut dibuka, banyak data pribadi yang muncul secara lengkap, mulai dari nomor id, gerai id, jenis vaksin, tanggal, nomor induk kependudukan (NIK), nama, tempat lahir, tanggal lahir, alamat, jenis kelamin, dosis, kipi (salah satu reaksi tubuh pasien setelah pemberian vaksin), telepon, nama gerai, kelurahan, kecamatan, kota, dan jenis vaksin.

Bila ditelusuri data yang bocor tertera alamat situs ktjaya.metro.polri.go.id yang merupakan situs milik Polri. Terkait dengan ini, Ketua Lembaga Riset Siber Indonesia CISSReC Dr. Pratama Persadha menyatakan bahwa sangat mungkin kebocoran data karena kelemahan pada insecure direct object reference (IDOR) atau referensi objek langsung yang tidak aman, atau penerapan autentikasi yang lemah.

IDOR terjadi saat aplikasi menyediakan akses langsung ke objek berdasarkan masukan dari pengguna. Hal ini memungkinkan peretas (hacker) untuk mem-bypass autentikasi standar dan mengakses catatan database maupun sumber daya lain.

Dari uniform resource locators (URL) yang ditemukan pada data yang bocor, menurut Pratama, seharusnya peretas harus login terlebih dahulu ke situs tersebut. Akan tetapi, sepertinya sang hacker menemukan cara masuk tanpa login sehingga dia dapat langsung mengakses ke datanya.

Untuk mengurangi banyaknya kebocoran data, menurut pakar keamanan siber Pratama Persadha, Pemerintah harus gencar dan terus-menerus menanamkan kesadaran akan pentingnya perlindungan data.

Secara teknologi, misalnya dapat menggunakan enkripsi, sehingga data bocor tetap masih terlindungi. Data vaksin yang bocor ini setelah dicek tanpa perlindungan enkripsi.

Urgensi UU PDP

Tidak lupa juga penguatan sistem komputer di pemerintahan maupun swasta. Salah satunya bisa dipaksa dengan Undang-Undang Perlindungan Data Pribadi (UU PDP).

Dengan demikian, ada paksaan atau amanat dari UU PDP untuk memaksa semua lembaga negara melakukan perbaikan infrastruktur teknologi informasi, sumber daya manusia (SDM), bahkan adopsi regulasi yang pro pengamanan siber. Tanpa UU PDP, kejadian peretasan seperti situs pemerintah akan berulang.

Masih belum rampungnya RUU PDP, kata Pratama, akan sangat berdampak luas di Tanah Air. Di Indonesia sendiri pengamanan data pribadi belum mendapatkan payung hukum yang memadai.

Potensi kasus kebocoran data di Tanah Air masih sangat besar karena Indonesia sendiri masih dianggap rawan peretasan yang memang kesadaran keamanan siber masih rendah.

Di Korea Selatan, misalnya, baru dibentuk pada bulan Agustus 2020. Komisi Perlindungan Data Pribadi di sana sudah menjatuhkan denda puluhan miliar rupiah pada Facebook, Netflix, dan Microsoft karena kedapatan memanfaatkan data pribadi masyarakat Korsel secara diam-diam tanpa persetujuan.

Belum lagi masalah kebocoran data. Bahayanya bertambah karena sebagian besar lembaga negara di Tanah Air ini masih sangat kurang soal keamanan siber pada sistem informasinya.

Lagi-lagi butuh UU PDP untuk memaksa lembaga negara maupun swasta untuk mau menerapkan keamanan siber tingkat tinggi pada sistemnya sehingga mengurangi kemungkinan kebocoran data.

Serap Aspirasi

Guna menyerap aspirasi masyarakat, wakil rakyat di Senayan, Jakarta, tampil dalam webinar Ngobrol Bareng Legislator bertajuk "Urgensi RUU Perlindungan Data Pribadi" pada tanggal 15 Juli 2022.

Anggota Komisi I DPR RI Nurul Arifin menyebutkan salah satu sasaran negara melalui Rancangan Undang-Undang Perlindungan Data Pribadi (RUU PDP) adalah menjamin serta melindungi hak dasar warga negara.

Disebutkan pula bahwa sasaran yang ingin diwujudkan melalui RUU PDP adalah terlindunginya dan terjaminnya hak dasar warga negara melalui regulasi perlindungan data pribadi.

Apalagi, perlindungan data pribadi merupakan bagian dari perlindungan diri pribadi, sebagaimana diatur dalam Pasal 28G ayat (1) UUD NRI Tahun 1945. Pasal ini menyebutkan bahwa setiap warga negara Indonesia berhak atas perlindungan diri pribadi, keluarga, kehormatan, martabat, dan harta benda yang ada di bawah kekuasaannya serta hak atas rasa aman dan perlindungan dari ancaman ketakutan untuk berbuat atau tidak berbuat sesuatu yang merupakan hak asasi.

Di samping ada jaminan hak dasar warga negara, disebutkan pula beberapa sasaran yang hendak diwujudkan oleh negara Indonesia melalui keberadaan RUU Perlindungan Data Pribadi yang pembahasannya ditargetkan selesai di akhir tahun 2022.

Melalui RUU PDP, negara berupaya meningkatkan budaya kesadaran masyarakat dalam melindungi data pribadi mereka serta menjamin masyarakat untuk mendapatkan pelayanan dari pemerintah, pelaku bisnis, dan organisasi lainnya.

RUU PDP juga menyasar pada peningkatan pertumbuhan ekonomi digital dan industri teknologi, informasi, dan komunikasi melalui upaya kesetaraan regulasi perlindungan data pribadi untuk mendukung mekanisme transborder flow of data (arus data antarnegara) dalam transaksi perdagangan internasional.

Adanya aturan mengenai perlindungan data pribadi tersebut juga akan menghindari Indonesia dari segala macam eksploitasi dan penyalahgunaan data, khususnya yang berkaitan dengan data pribadi warga Indonesia.

Oleh karena itu, RUU ini perlu segera disahkan jadi UU PDP. Pasalnya, keberadaan undang-undang ini penting sebagai langkah untuk menjaga kedaulatan negara Indonesia, mengingat saat ini peranan data makin kuat di tengah situasi adaptasi teknologi digital yang makin masif, demikian pernyataan Menteri Komunikasi dan Informatika Jhonny G. Plate.

Setelah menjadi Undang-Undang Perlindungan Data Pribadi, tentunya yang paling penting adalah penegakannya. Oleh sebab itu, dalam pembahasan RUU PDP perlu mendengar, merespons, dan mengkaji secara cermat masukan dari pakar teknologi informasi dan ahli lainnya untuk meminimalkan "pasal-pasal karet" yang akan berujung pada kepentingan kelompok tertentu.

Editor: Tasrief Tarmiz ang-Undang Perlindungan Data Pribadi, tentunya yang paling penting adalah penegakannya. Oleh sebab itu, dalam pembahasan RUU PDP perlu mendengar, merespons, dan mengkaji secara cermat masukan dari pakar teknologi informasi dan ahli lainnya untuk meminimalkan "pasal-pasal karet" yang akan berujung pada kepentingan kelompok tertentu.

Baca juga: Kominfo terus awasi penyelenggara sistem elektronik setelah data BI dilaporkan bocor

Baca juga: Data Pengguna Facebook Bocor, Kominfo Perpanjang Pengaduan Hingga Agustus Ini