Menanti Keseriusan Penanganan Kasus Peretasan dan Disahkannya RUU PDP
Sekali lagi, data institusi pemerintahan Indonesia bocor. Kali ini Polri yang kena. Ironisnya, pembobol data ini diduga kuat adalah pembobol yang sama pada data Badan Siber dan Sandi Nasional (BSSN) dan Badan Pengkajian dan Pengenalan Teknologi (BPPT).
Kejadian ini tentu membuat publik mengerenyitkan dahi. Terjadi tidak hanya sekali, pembobolan data itu makin menunjukkan lemahnya institusi di Indonesia dalam menjaga data. Kalau lembaga negaranya saja lalai, maka bagaimana bisa mereka menjamin data milik rakyat?
Menanggapi hal ini, kepada Asumsi.co, Pengamat keamanan siber dari Vaksincom, Alfons Tanujaya menyebut data Polri yang dibobol adalah data yang sensitif. Menurut dia, data anggota kepolisian yang memiliki tugas berat dan membahayakan bisa jadi sangat kritis dan krusial ketika jatuh ke tangan orang lain.
Untuk itu, Alfons menyarankan agar data sensitif seperti yang telah diretas sebaiknya disimpan di server yang dikelola dengan konservatif, mengacu pada metode pengelolaan data yang baik. Ia juga menyarankan agar faktor keamanan lebih diutamakan ketimbang kemudahannya.
“Internet tidak mendapatkan akses yang mudah, serta harus melalui perimeter ketat dan pengamanan ekstra seperti enkripsi data pada database penting,” kata dia.
Kejadian seperti ini juga hendaknya diinvestigasi secara serius agar tidak terulang ke depan. Soalnya, tujuan peretas bukan hanya meretas dan memperlihatkan celah lemah dari pengelolaan data, tetapi juga sudah menyerang informasi sensitif bahkan sampai membocorkannya.
“Ini sudah merusak dan membocorkan informasi sensitif yang dapat membahayakan petugas kepolisian,” kata dia.
Alfons pun meminta investigasi soal peretasan yang terjadi dilakukan secara mendalam untuk memastikan kemungkinan adanya motif lain. Pasalnya, masalah ini tidak bisa dianggap sebelah mata dan harus ditanggapi secara serius.
“Kemungkinan besar bukan sekedar peretas, tapi sudah memiliki tujuan tertentu dan ingin menimbulkan kerusakan di Indonesia,” ucap dia.
Urgensi RUU PDP
Sementara itu, peneliti Lembaga Studi & Advokasi Masyarakat (ELSAM), Alia Yofira mengatakan saat ini ada kekosongan hukum terkait Perlindungan Data Pribadi di Indonesia.
”Ini kenapa kemudian RUU PDP (Rancangan Undang-Undang Perlindungan Data Pribadi) harus disahkan untuk menyelaraskan dan mengisi kekosongan ini,” kata Alia.
Menurut dia, saat ini bukan tidak ada regulasi yang mengatur mengenai pelindungan data pribadi dan keamanan data untuk sistem pemerintahan berbasis elektronik (SPBE). Meski masih belum komprehensif, sejumlah aturan seperti PP PSTE, Perpres SPBE, Premenkominfo 20/2016, Peraturan BSSN 4/2021 sudah bisa digunakan sebagai payung hukum.
“Namun kemudian sejauh mana regulasi-regulasi ini dilaksanakan oleh pemerintah. Dan bagaimana pengawasannya? Ini yang masih menuai banyak permasalahan,” kata dia.
Menurut Alia, yang masih nihil dari beberapa peraturan tersebut adalah kewajiban dari Polri itu sendiri sebagai pengendali data. Ketika terjadi pembobolan data pribadi, tidak hanya peretasnya yang harus bertanggung jawab, tapi Polri juga sebagai pengendali data juga harus dipertanyakan pertanggungjawabannya.
“Apakah Polri sudah mengimplementasikan upaya-upaya, baik yang sifatnya organisasional maupun teknis untuk memastikan keamanan data pribadi?,” tanya Alia.
Dari beberapa kasus kebocoran data sebelumnya, seperti kasus E-HAC misalnya, ketika Kemenkes sendiri sudah mengakui bahwa ada kebocoran data e-HAC di database yang lama, Polri justru menghentikan penyelidikan karena ‘tidak menemukan kebocoran data’.
”Nah sekarang kebayang gimana kalau yang lalai justru Polri sendiri,” ujar dia.
Oleh karena itu, ia kembali mengingatkan perlunya pengesahan segera RUU PDP. Menurut dia, meski kemudian elemen lainnya yang fundamental adalah memastikan bahwa otoritas yang nantinya akan mengawasi jalannya RUU PDP ini merupakan lembaga yang independen.
“Hal ini penting untuk dapat memastikan RUU PDP ini nantinya tidak hanya looks good in paper tapi dapat diimplementasikan secara efektif,” ucap dia.
Bukan Cuma Sekali
Dalam kasus bobolnya data personil Polri, peretas asal Brasil mengklaim bukan hanya ribuan data pribadi, daftar pelanggaran yang dilakukan anggota Polri juga ikut bocor. Data ini kemudian disebar melalui Twitter. Belakangan, akun Twitter yang digunakan untuk membagikan data itu telah diblokir.
Direktorat Tindak Pidana Siber (Dittipidsiber) Bareskrim Polri mengatakan tengah mengusut dan mendalami dugaan pembobolan data yang diduga milik anggota Polri oleh peretas asal Brasil ini.
Mengutip dari Antara, peretas diduga menggunakan akun Twitter @son1x666 dan menuliskan unggahan “Polri-Indonesian National Police Hacked “28k logins and personal information leaked”. Dalam unggahan tersebut, pemilik akun mencantumkan tiga tautan yang diduga berisi salinan data pribadi anggota Polri yang telah diretas.
Pengguna akan dialihkan ke laman yang diduga dikelola oleh kelompok peretas jika memencet tautan tersebut. Di situ tersaji data lengkap anggota Polisi. Menurut peretas, basis data yang ia bagikan secara gratis pada 17 November tersebut diambil dari subdomain server web https://e-rehab.propam.polri.go.id/. Alamat tersebut sekarang tak bisa diakses publik, diduga karena server telah dimatikan oleh admin TI-nya.
Dalam unggahannya, peretas mengaku melakukan aksi tersebut dengan alasan tidak mendukung pemerintahan dalam memperlakukan rakyatnya. Peretas mengaku banyak informasi yang masuk kepadanya dan mengeluhkan soal kehidupan masyarakat di Indonesia. Ini menjadi alasannya melakukan aksi.
Ini bukan pertama kali @son1x666 mengganggu situs web milik instansi pemerintah Indonesia. Mengutip dari Cyberthreat, pada akhir Oktober lalu, @son1x666 membuat geger dunia maya Indonesia lantaran mengubah tampilan situs web (web defacement) Pusat Malware Nasional milik Badan Siber dan Sandi Negara diubah tampilannya (web defacement). Bahkan, ia mengklaim sebetulnya bisa masuk lebih dalam lagi ke server BSSN, tapi dirinya takut dipenjara.
Setelah itu, ia kembali berulah dengan merusak empat subdomain Badan Pengkajian dan Penerapan Teknologi (BPPT) dan satu subdomain Government Certification Authority (GovCA), yaitu otoritas yang mengotentikasi pihak yang akan bertransaksi khususnya di pemerintahan. GovCa dibentuk oleh BPPT.
Baca Juga:
