Jendelaindonews - Publik dalam beberapa hari ini dikagetkan dengan berita terkait dugaan kebocoran jutaan data pribadi di sebuah laman digital. Sejak 20 Mei 2021, Kementerian Komunikasi dan Informatika (Kominfo) bergerak cepat melakukan investigasi terkait isu yang meresahkan masyarakat.
Awalnya media massa menggulirkan isu bahwa data milik 279 juta penduduk di Indonesia bocor dan dijual di forum online Raid Forums. Penjual itu merupakan anggota forum online Raid Forums dengan nama akun "Kotz". Di dalam deskripsinya, penjual mengatakan bahwa data tersebut berisi nomor induk kependudukan (NIK), nomor ponsel, e-mail, alamat, dan gaji. Data tersebut termasuk data penduduk yang telah meninggal dunia. Dari data 279 juta orang tersebut, 20 juta di antaranya disebut memuat foto pribadi.
Di linimasa Twitter, data tersebut dijual dengan harga 0,15 bitcoin yang jika dikonversi ke rupiah sekitar Rp81,6 juta. Untuk meyakinkan calon pembeli, penjual turut menyertakan tiga tautan berisi sampel data yang bisa diunduh secara gratis.
Setelah ditelisik jauh akun Kotz sendiri merupakan pembeli dan penjual data pribadi (reseller). Data sampel yang ditemukan tidak berjumlah 279 juta atau 1 juta seperti klaim penjual, namun berjumlah 100.002 data. Tanpa menunggu lebih lama lagi, Kementerian Kominfo langsung melakukan tindakan tegas.
"Pertama, mencegah dampak lebih luas dengan mengajukan pemutusan akses terhadap tautan untuk mengunduh data pribadi tersebut," ujar Juru Bicara Menkominfo Dedy Permadi pada Jumat (21/5/2021).
Terdapat tiga tautan yang teridentifikasi menyebarluaskan data pribadi yang kini sedang diblokir oleh Kemenkominfo, yakni bayfiles.com, mega.nz, dan anonfiles.com.
Selanjutnya, Kementerian Kominfo juga telah melakukan klarifikasi ke Direksi Badan Penyelenggara Jaminan Sosial (BPJS) Kesehatan sebagai pengelola data pribadi yang diduga bocor untuk proses investigasi secara lebih mendalam sesuai amanat Peraturan Pemerintah nomor 71 tahun 2019.
Sesuai dengan Peraturan Pemerintah 71/2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PP PSTE) dan Peraturan Menkominfo nomor 20 tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik, penyelenggara sistem elektronik (PSE) yang sistem elektroniknya mengalami gangguan serius akibat kegagalan perlindungan data pribadi wajib untuk melaporkan dalam kesempatan pertama kepada Kementerian Kominfo dan pihak berwenang lain.
Selain itu, PSE juga wajib untuk menyampaikan pemberitahuan secara tertulis kepada pemilik data pribadi, dalam hal diketahui bahwa terjadi kegagalan perlindungan data pribadi. "Kementerian Komunikasi dan Informatika menemukan bahwa sampel data diduga kuat identik dengan data BPJS Kesehatan. Hal tersebut didasarkan pada struktur data yang terdiri dari noka (Nomor Kartu), kode kantor, data keluarga/data tanggungan, dan status pembayaran yang identik dengan data BPJS Kesehatan," imbuh Dedy Permadi.
Dari hasil ajang klarifikasi Kemenkominfo dengan Direksi BPJS Kesehatan disimpulkan, BPJS Kesehatan segera akan memastikan dan menguji ulang data pribadi yang diduga bocor.
Hal kedua, investigasi yang dilakukan oleh tim internal BPJS akan selalu dikoordinasikan dengan Kementerian Kominfo dan Badan Siber dan Sandi Negara (BSSN). Ketiga, langkah-langkah pengamanan data akan dilakukan oleh BPJS Kesehatan untuk memitigasi risiko kebocoran data pribadi yang lebih luas.
Kasus ini kini sudah bergulir ke Bareskrim Polri untuk diselidiki lebih lanjut. Pihak BPJS Kesehatan dan BSSN sudah diminta keterangan dalam menindaklanjuti kasus tersebut.
Menyikapi kasus kebocoran data tersebut, Kementerian Kominfo menerapkan tiga langkah kebijakan. Yakni, kewajiban pendaftaran PSE, moderasi konten serta pemberian akses untuk pengawasan, dan penegakan hukum.
Data pribadi termasuk ke dalam hak privasi bagi setiap orang yang harus dilindungi oleh konstitusi. Apalagi beberapa waktu terakhir sempat muncul isu kebocoran data pasien Covid-19, pemilih di KPU, Tokopedia, sampai dengan praktik penjualan atau komersialisasi data pribadi.
Beberapa kasus dari kebocoran data yang pernah terjadi di negara lain, di antaranya mulai dari Microsoft, Pentagon, kemudian The British Airways, lalu Perdana Menteri Singapura, hingga Malindo perusahaan Malaysia. Siapa pun bisa diretas data pribadinya. Sementara itu, regulasinya di Indonesia sendiri belum secara tegas.
Oleh karena itu, Kementerian Kominfo dan DPR terus bekerja merampungkan Rancangan Undang-Undang Data Pribadi (RUU PDP) sejak Maret 2021. RUU ini masuk dalam daftar Program Legislasi Nasional 2021. Pembahasan RUU PDP sendiri telah berlangsung sejak 24 Januari 2020.
Setidaknya ada tiga hal yang diatur dalam UU Perlindungan Data Pribadi yaitu warga sebagai subjek data (pemilik data pribadi), pihak pengendali data, serta pihak pemroses data. Ketiga hal yang diatur dalam UU PDP itu nantinya harus berkomitmen untuk menjaga data yang terkait informasi pribadi agar tidak terjadi kebocoran yang berujung pada pelanggaran hingga penyalahgunaan data.
Berikut ini ada sejumlah tips untuk melindungi data digital. Kita sebagai pemilik data harus rutin mengganti password e-mail atau aplikasi, menggunakan software asli bukan bajakan, memproteksi database pribadi atau kantor dengan aplikasi keamanan yang andal, tidak memberikan data pribadi Anda kepada pihak lain meskipun kepada teman dekat atau keluarga, dan tidak menunjukkan data pribadi di ranah publik baik luring maupun daring, seperti mengunggah foto rekening bank di media sosial.
Jika dimungkinkan, buat sistem perlindungan atas database data pribadi Anda dan jangan lupa untuk memperbarui sistem antivirus di komputer dan smartphone secara berkala.
Editor : Arief Ferdianto
.jpeg)
