SIAPA YANG HARUS BERTANGGUNG JAWAB TERHADAP KEBOCORAN DATA PRIBADI?
Serangan siber ke Indonesia memang mengalami peningkatan yang pesat dari tahun ke tahun, baik dari dalam maupun dari luar negeri. Setiap pengendali data, atau sistem penyelenggara elektronik harus mengamankan dan membuat sistemnya semakin handal. Itu perintah UU dan regulasi turunannya. Ini menjadi tantangan semua pihak termasuk negara. Pusat operasi keamanan siber nasional mencatat, adanya tren ini. Kasus percobaan pencurian data (data breach) sepanjang periode Januari hingga Agustus 2020, terdapat 190 juta serangan siber, dan 36.771 akun data yang tercuri di sejumlah sektor termasuk sektor keuangan. Serangan itu dicatat mengalami peningkatan lima kali lipat dari tahun 2019. Pada tahun 2021 juga semakin mengalami peningkatan. Menurut Kapersky, perusahaan keamanan siber mengungkapkan bahwa 40% konsumen dari Asia Pasifik menghadapi insiden kebocoran data pribadi yang dapat diakses orang lain tanpa persetujuan pemiliknya. Tokopedia mengalami peretasan Mei 2020. Sekitar 91 juta data pengguna dan lebih dari 7 juta data merchant dicuri oleh kelompok ShinyHunters dari Pakistan. Data-data tersebut dijual seharga US$ 5.000 atau Rp 74,5 juta dengan kurs Rp 14.900/US$. Data yang diambil di antaranya nama, e-mail, dan kata sandi pengguna. Situs DPR RI (www.dpr.go.id) sempat diretas awal Oktober 2020 lalu. Halaman depan situs yang tulisan sebenarnya “Dewan Perwakilan Rakyat” diubah oleh peretas menjadi “Dewan Penghianat Rakyat”. Peretasan tersebut didasari oleh penolakan pengesahan UU Ciptakerja atau Omnibus Law.
Mengapa orang meretas data pribadi milik orang lain atau masyarakat? Tentu untuk keuntungan pelaku bisa organisasi, perusahaan atau lembaga tertentu. ada juga yang dikumpulkan untuk dianalisis (Data mining), diprofiling atau yang digunakan untuk kepentingan politik, penipuan / Phising, reward. Dan kepentingan telemarketing dimana data pribadi diperjual belikan secara bebas. Kasus Facebook yang datanya digunakan Cambridge Analytica merupakan evidence dari sisi hitam media sosial mempengaruhi kualitas Pemilu Presiden AS 2016. Bukti nyata bagaimana negara maju seperti AS berhasil digunakan jutaan data pribadi milik warga negaranya yang ada di Facebook dipakai untuk mempengaruhi politik. Kasus ini juga mempertanyakan integritas Mark Zuckerberg antara apa yang dia ucapkan dengan apa yang benar-benar terjadi terhadap data pribadi pengguna Facebook. Hal seperti yang terjadi di AS ini bisa juga terjadi di negara lain, termasuk Indonesia.
Ada beberapa cara kemungkinan munculnya peretasan ataupun kebocoran data yang baru akan diketahui setelah diinvestigasi sistemnya. Apakah jadi sasaran kejahatan, human error, atau sengaja ada yang membocorkan dari dalam untuk kepentingan tertentu. Dari data Allen Gerysena PPI IBHATI India Agustus 2020 ada beberapa bentuk kemungkinan peretasan antara lain : Structured Query Language (SQL)/NoSQL Injection : Hacker mengakses data server melalui kesalahan pada filter input, IDOR (Insecure Direct Object References) : Hacker mengakses data akun pengguna lain melalui akun pribadi (Brute force ID), CVE (Common Vulnerabilities and Exposure) : Aplikasi yang dipakai tidak ter-update, atau hardware yang memiliki vulnerability, Human Error : Minimnya edukasi kerahasiaan data, atau kejahatan individu pekerja (illegal access) dan Seluruh aspek lain yang memunculkan celah keamanan.
Peretasan atau kebocoran data tersebut dapat menyebabkan terganggunya operasional sistem hingga menunggu investigasi selesai. Muncul masalah hukum, Organisasi dan negara dinilai lalai melindungi data pribadi yang berpotensi dapat memunculkan legal dispute, reputasi organisasi jatuh, kehilangan dana untuk perbaikan ataupun karena gangguan dan tuntutan. Produktivitas dapat terganggu. Banyak kasus pelanggaran data pribadi baik di dalam maupun di luar negeri yang memberikan dampak kerugian yang signifikan bagi masyarakat. Lalu, Siapa yang harus bertanggung jawab terhadap kebocoran data pribadi?di pasal 15 UU ITE “Setiap Penyelenggara Sistem Elektronik harus menyelenggarakan Sistem Elektronik secara andal & aman serta bertanggung jawab terhadap beroperasinya Sistem Elektronik”. Jadi jika ada kebocoran, tanggung jawab ada di penyelenggara Sistem Elektronik masing-masing. Pemerintah bertugas mengawasi dan menerapkan aturan. Tetapi, setiap ada kasus peretasan, pemerintah selalu dianggap lalai dalam menjaga keamanan siber. Artinya reputasi pemerintah jatuh saat ada peretasan. Tapi di sisi lain kalau ada media atau kalangan aktivis yang menjadi sasaran peretasan, tudingan pelaku peretasan sering diarahkan ke pemerintah juga. Dengan alasan menyerang mereka yang kritis. Jadi seakan ada logika pemerintah melakukan suatu tindakan yang sebenarnya bisa merugikan reputasinya sendiri. Persoalannya ada lebih 202 juta lebih pengguna internet di Indonesia. Yang punya niat berbeda-beda. ada yang baik maupun yang jahat. Mereka ada yang juga suka meretas dan membuat keadaan menjadi tidak jelas.
Maka UU Perlindungan Data Pribadi mutlak dibutuhkan untuk melengkapi dan mengintegrasikan aturan, hingga mempersempit penyalahgunaan data. Termasuk amanah literasi terhadap regulasi keamanan data ke semua stake holders dan masyarakat. RUU Perlindungan Data Pribadi merupakan instrumen hukum yang disusun untuk melindungi data pribadi warga negara dari praktik penyalahgunaan data pribadi, RUU Perlindungan Data Pribadi ini akan menjadi kerangka regulasi yang lebih kuat dan komprehensif dalam memberikan perlindungan hak asasi manusia, khususnya terkait data pribadi. RUU PDP akan menciptakan kesetaraan dalam aturan PDP secara internasional yang mendukung pertumbuhan ekonomi digital melalui pengaturan cross-border data flow, menciptakan keseimbangan dalam tata kelola pemrosesan data pribadi dan jaminan perlindungan hak subjek data, serta menyediakan prinsip-prinsip dan syarat sah dalam pemrosesan data pribadi yang harus ditaati pengendali dan pemroses data pribadi. mempercepat pembangunan ekosistem ekonomi digital dan meningkatkan iklim investasi yang aman dengan memberikan kepastian hukum bagi bisnis dan meningkatkan kepercayaan konsumen. RUU Perlindungan Data Pribadi memberikan landasan hukum bagi Indonesia untuk menjaga kedaulatan negara, keamanan negara, dan perlindungan terhadap data pribadi milik warga negara Indonesia dimanapun data pribadi tersebut berada.
Henri Subiakto
Tinggalkan Balasan