Penguatan Sistem Perlindungan Data Pribadi Masyarakat

PADA era globalisasi yang melaju pesat saat ini, yang mana kemajuan di bidang teknologi informasi dan komunikasi menjadi fitur penting dalam kehidupan sehari-hari masyarakat, berkorelasi lurus dengan meningkatnya ancaman terhadap kehidupan manusia. Ancaman yang tertuju pada manusia tidak lagi berupa ancaman militer atau ancaman terhadap keselamatan jiwa, tapi sudah menyasar pada ancaman yang sifatnya sophisticated, seperti ancaman terhadap keamanan data pribadi.

Para pelaku kejahatan siber dalam beberapa tahun terakhir menargetkan serangan dan pencurian data pada instansi-instansi pelayanan publik milik pemerintah seperti yang terjadi pada BPJS Kesehatan 2021, institusi perbankan 2023, hingga KPU 2024. Pencurian data ini terbilang kejahatan serius karena yang dicuri adalah sesuatu yang sifatnya confidential seperti nomor KTP, NIK, nomor telepon, hingga domisili penduduk.

Kejahatan siber

Kejahatan siber dengan menyasar data pribadi penduduk ini tentu saja menimbulkan keresahan publik. Pertama, negara seakan kehilangan kehadiran dan wibawanya dalam melindungi warga negara. Kedua, warga negara kehilangan privasinya dalam hidup bernegara, karena kejahatan bisa menyasar hal yang paling berharga yang mereka miliki, yakni data-data pribadi yang sifatnya tidak ternilai oleh uang.

Kejahatan siber dengan menyasar data-data pribadi, sejatinya bukan kejahatan jenis baru. Kejahatan ini tergolong kejahatan transnasional yang bergerak secara lintas batas negara dengan dikendalikan oleh suatu jaringan kriminal transnasional. Mereka menyasar negara-negara yang paling lemah sistem keamanan datanya. Kemudian mereka melakukan pemetaan terhadap institusi mana yang paling mudah untuk dibobol dan diambil datanya.

Dalam kasus pembobolan data BPJS Kesehatan, kita ketahui bersama bahwa BPJS Kesehatan merupakan institusi pelayanan publik yang bergerak di bidang asuransi kesehatan. Peserta BPJS Kesehatan hampir mencakup seluruh warga negara Indonesia sejumlah 280 juta jiwa. Dengan melakukan pembobolan data peserta BPJS Kesehatan, secara tidak langsung pelaku telah memiliki data hampir seluruh warga negara Indonesia. Ibarat perang, musuh dipastikan sudah memiliki data yang presisi mengenai jumlah pasukan, senjata, dan medan yang diduduki oleh Indonesia. Situasi ini benar-benar sangat berbahaya. Lebih mudah sebenarnya apabila pelaku hanya sekadar menuntut tebusan. Yang lebih kompleks adalah apabila pelaku menjual data-data tersebut ke sindikat lain seperti judi online, game online, perdagangan orang, dan masih banyak lagi yang potensial menimbulkan kerentanan-kerentanan terhadap ketahanan nasional.

Kejahatan siber dengan melakukan pencurian data pribadi dan kemudian memperdagangkan kembali pada pihak lain, sejatinya bukan barang baru dalam dunia kejahatan transnasional. Pada era tahun 2000-an, para pengguna telepon seluler di Indonesia kerap mengalami kebobolan pulsa. Hal tersebut terjadi karena mereka melakukan klik terhadap tautan yang menawarkan jasa ring tone, wallpaper, dan sebagainya. Padahal mereka tidak memberikan persetujuan sama sekali terhadap penawaran-penawaran yang masuk pada ponsel mereka.

Hal tersebut terjadi karena para pedagang ring tone dan wallpaper secara elektronik tersebut sudah memiliki bank data tentang pelanggan operator telepon seluler tertentu. Mereka memahami dan memanfaatkan kelemahan sekaligus kelengahan para pengguna telepon seluler. Alhasil, mereka mendapatkan keuntungan besar dengan melakukan pemotongan secara otomatis terhadap setiap pengguna yang sudah mengklik tautan yang mereka kirim. Fenomena ini begitu populer di masyarakat pada waktu itu karena pulsa yang baru diisi tiba-tiba habis.

Fenomena pada tahun 2000-an tersebut kembali muncul pada zaman sekarang, hanya saja dengan modus operandi yang berbeda. Beberapa waktu yang lalu Kemekominfo RI memberikan peringatan kepada seluruh masyarakat untuk tidak sembarangan membuka tautan APK pernikahan. Tautan undangan APK pernikahan tersebut disinyalir sebagai malware yang ketika dilakukan klik maka akan melakukan pencurian data secara otomatis di HP. Sudah banyak pihak-pihak yang menjadi korban penipuan.

Fenomena lainnya adalah pencurian data dengan menggunakan akun-akun media sosial seperti Linkedin, Facebook, Instagram, Twitter, dan lain-lain. Dikarenakan banyak informasi yang bisa diakses terhadap individu-individu yang menggunakan media sosial tersebut, maka media sosial menjadi sumber kejahatan bagi kelompok-kelompok tertentu. Foto-foto di Instagram seseorang misalnya, di-copy untuk membuat akun Instagram baru dan digunakan untuk tujuan kriminal seperti meminta donasi, sumbangan, transfer, dan lain sebagainya. Begitu juga dengan data-data pekerjaan seseorang di Linkedin dapat digunakan untuk melakukan penipuan kerja berkedok penawaran kerja kepada para fresh graduate namun dengan persyaratan melakukan transfer sejumlah uang ke rekening pihak yang melakukan rekrutmen.

Pada pergelaran Pemilu 2024 Februari  yang lalu, ada banyak sekali indikasi kebocoran data, jauh sebelum pemerintah mengumumkan ada kebocoran data DPT Pemilu 2024. Banyak sekali perusahaan-perusahaan jasa yang bergerak di bidang analisis monografi penduduk dan survei Pemilu, yang sudah memiliki data DPT penduduk secara lengkap. Data yang mereka miliki lengkap dengan nama, alamat, nomor KTP, NIK, hingga pemetaan berbasis teritorial seperti RT/RW/Kelurahan/Desa/Kecamatan. Tidak hanya itu, mereka juga dilengkapi dengan data hasil Pemilu 3 gelaran terakhir, yakni 2019, 2014, dan 2009 untuk melakukan interpolasi dan ekstrapolasi analisis.

Fenomena ini sejatinya membahayakan. Data hasil Pemilu adalah kewenangan KPU. Pertanyaannya adalah apakah data yang dimiliki oleh lembaga-lembaga survei dan analisis tersebut adalah data yang diambil secara legal dari KPU atau data yang diperoleh dari pihak-pihak yang melakukan pembobolan terhadap server KPU? Yang miris adalah mereka sudah memiliki data DPT Pemilu 2024 jauh sebelum KPU menetapkan data DPT Pemilu 2024 tersebut.

Kelemahan sistem perlindungan data

Apa yang menyebabkan mudahnya pihak luar atau sindikat kejahatan transnasional melakukan pembobolan dan pencurian data tehadap instansi-instansi publik di Indonesia seperti KPU, BPJS Kesehatan, dan beberapa lembaga perbankan? Jawabannya adalah kelemahan sistem perlindungan data yang ada pada instansi-instansi tersebut.

Pertama, terdapat kelemahan dalam sistem keamanan IT. Kebocoran data ini mengindikasikan adanya kelemahan mendalam dalam sistem keamanan IT yang diterapkan. Sistem keamanan yang tidak memadai memungkinkan akses tidak sah terhadap data sensitif. Kelemahan ini mencakup beberapa aspek seperti kurangnya enkripsi yang kokoh untuk melindungi data saat disimpan maupun ketika ditransmisikan, serta pengaturan akses yang tidak memadai.

Kedua, kurangnya monitoring secara berkelanjutan. Temuan pada kasus BPJS Kesehatan pada 2021 menunjukkan, bahwa kurangnya monitoring berkelanjutan berkontribusi pada kebocoran data. Sistem pemantauan yang tidak memadai berarti bahwa aktivitas yang mencurigakan atau potensi ancaman tidak terdeteksi dengan cepat.

Ketiga, implikasi untuk perlindungan data pribadi. Kasus kebocoran-kebocoran di lembaga pelayanan publik pemerintah menggarisbawahi pentingnya reformasi secara mendalam mengenai pengelolaan dan perlindungan data pribadi di Indonesia. Pemerintah dan lembaga terkait harus melakukan evaluasi dan pembenahan secara signifikan dalam kebijakan dan sistem keamanan data mereka. Langkah-langkah yang perlu diambil mencakup penerapan standar keamanan yang lebih ketat, penguatan sistem enkripsi, serta penguatan kapasitas personel yang menjalankan operasional.

Keempat, regulasi dan kesadaran publik. Kebocoran-kebocoran data pada instansi-instansi milik pemerintah menegaskan mengenai perlunya regulasi yang lebih ketat, serta peningkatan kesadaran publik mengenai perlindungan data pribadi. Dengan regulasi yang ketat, akan ada sanksi hukum terhadap pihak yang lalai, pihak yang melanggar, serta jaminan hukum bagi masyarakat yang dirugikan kepentingannya.

Kasus-kasus yang melanda KPU, BPJS Kesehatan, serta beberapa instansi perbankan sesungguhnya merupakan insiden yang sangat merugikan. Pertama, kerugian ada pada sisi masyarakat yang terjamah privasinya. Kedua, kerugian pada instansi-instansi tersebut yang tercederai reputasinya. Ketiga, publik akan berkurang kepercayaannya terhadap pemerintah. Dan, terakhir, kerugian bagi pemerintah sendiri yang menjadi objek pemerasan dari pihak lain.

Langkah strategis

Pada taraf yang labih jauh, situasi sedemikian akan mempengaruhi iklim investasi dan daya saing nasional. Oleh sebab itu, penting bagi pemerintah untuk mengambil langkah-langkah strategis dalam mengatasi kelemahan sistem perlindungan data, guna meningkatkan ketahanan nasional. Pemerintah melalui Kemenkominfo RI perlu mendorong penerapan sistem keamanan informasi canggih, seperti enkripsi data dan kontrol akses ketat untuk melindungi data sensitif dari akses yang tidak sah dan serangan siber. Pemerintah melalui Kemenkominfo RI perlu menggelar sosialisasi dan pelatihan tentang perlindungan data pribadi kepada seluruh instansi pelayanan publik milik pemerintah. Dalam hal ini Kemenkominfo RI dapat bekerja sama dengan BSSN RI sebagai leading sector. Pemerintah melalui Kemenkominfo RI juga wajib  melakukan koordinasi dan komunikasi dengan seluruh perusahaan swasta nasional yang beroperasi di Indonesia untuk menyamakan persepsi dan bertukar informasi mengenai sistem keamanan data yang dimiliki masing-masing. Tujuannya adalah untuk mencari best practices dalam perlindungan data pribadi, serta menambal kelemahan pada perusahaan-perusahaan yang belum memiliki sistem perlindungan data yang kokoh. (*)

Boy Anugerah, SIP., MSI., MPP.

Tenaga Ahli di MPR RI