Keberadaan Lembaga Perlindungan Data Pribadi Dinilai Semakin Mendesak

JAKARTA, KOMPAS.com - Keberadaan sebuah lembaga yang menangani perlindungan data pribadi di Indonesia saat ini dinilai semakin dibutuhkan buat menanggulangi dan menangani rentetan insiden kebocoran data.

Dalam peristiwa terbaru, peretas Bjorka kembali mengklaim mempunyai data pengguna aplikasi PeduliLindungi sebanyak 3,2 miliar yang diunggah melalui situs breached.to.

Menurut pakar keamanan siber Pratama Dahlian Persadha, saat ini kebutuhan akan keberadaan lembaga perlindungan data sudah mendesak mengingat serangan siber yang terjadi juga semakin gencar.

"Setelah rentetan kebocoran yang tidak berujung maka saat ini yang terpenting adalah segera membentuk lembaga pengawas PDP atau apapun namanya. Misalnya Komisi PDP," kata Pratama saat dihubungi Kompas.com, Rabu (17/11/2022).

Perintah supaya pemerintah mendirikan lembaga perlindungan data adalah amanat dari Undang-Undang Perlindungan Data Pribadi (PDP). Proses pendirian lembaga itu dimulai ketika UU PDP mulai diberlakukan.

"Komisi PDP ini nanti tidak hanya mengawasi, namun juga melakukan menegakkan aturan serta menciptakan standar keamanan tertentu dalam proses pengolahan pemrosesan data," ucap Pratama.

Pratama berharap lembaga perlindungan data itu nantinya tidak hanya mengawasi, tetapi juga meminta pertanggungjawaban kepada instansi pemerintah atau korporasi yang dianggap lalai dalam melindungi data pengguna.

"Dalam kasus kebocoran data seperti aplikasi PeduliLindungi ini, bila ada masyarakat yang dirugikan bisa nantinya melakukan gugatan lewat Komisi PDP," ujar Pratama.

Peretas Bjorka dilaporkan mengunggah data PeduliLindungi di forum breached.to pada Selasa (15/11/2022) lalu, bertepatan dengan pembukaan Konferensi Tingkat Tinggi G20 di Bali.

Menurut Pratama, contoh data PeduliLindungi yang diunggah Bjorka dalam situs tersebut yaitu nama, email, nomor induk kependudukan (NIK), nomor telepon, tanggal lahir, identitas perangkat, status Covid-19, riwayat check-in, riwayat pelacakan kontak, vaksinasi dan masih banyak data lainnya.

Bjorka menjual data yang berjumlah 3,2 miliar itu dengan harga 100.000 Dollar Amerika Serikat atau sekitar Rp 1,5 miliar. Dia memberi syarat transaksi menggunakan mata uang kripto BitCoin.

Menurut Pratama mengemukakan, data yang diklaim oleh Bjorka berjumlah 3,250,144,777, dengan total ukuran mencapai 157 Gigabyte bila dalam keadaan tidak dikompres.

Data sampel yang diunggah Bjorka dibagi menjadi 5 jenis, yaitu data pengguna (94 juta), akun yang sudah disortir sebanyak (94 juta), data vaksinasi (209 juta), data riwayat check-in (1,3 miliar), dan riwayat pelacakan kontak (1,5 miliar).

Pratama menyarankan supaya seluruh lembaga yang terlibat mengelola aplikasi PeduliLindungi segera melakukan audit dan proses forensik digital buat mencari sumber kebocoran data.

Dia juga menyoroti pengamanan data pengguna PeduliLindungi yang sangat sensitif lantaran diduga tidak dienkripsi atau disandi. Alhasil, kata dia, data penting itu jadi mudah terbaca ketika diambil peretas.

"Sampai saat ini sumber datanya masih belum jelas. Namun soal asli atau tidaknya data ini hanya instansi yang terlibat dalam pembuatan aplikasi pedulilindungi yaitu Kominfo, Kementrian BUMN, Kemenkes dan Telkom," ucap Pratama.

Pratama mengatakan, proses audit dan forensik digital penting buat menelusuri sumber kebocoran data.

Sebab apabila ditemukan celah keamanan pada aplikasi PeduliLindungi, maka kemungkinan besar memang terjadi peretasan dan pencurian data.

"Namun, bila benar-benar tidak ditemukan celah keamanan dan jejak digital peretasan, ada kemungkinan kebocoran data ini terjadi karena insider atau data ini bocor oleh orang dalam," ucap Pratama.

"Jadi setiap kebocoran data tidak selalu disebabkan oleh serangan siber oleh para peretas. Namun bila serangan oleh para peretas, itu pun tidak langsung bisa diidentifikasi para penyerangnya. Ini juga terkait sejauh mana kemampuan dari si peretas," papar Pratama.

Sebelumnya, Bjorka juga mengaku membocorkan 44 juta data aplikasi MyPertamina dalam situs yang sama.

Bjorka mengklaim meretas data MyPertamina sebesar 30 Gigabyte atau 6 Gigabyte terkompresi yang terdiri dari nama, email, NIK, NPWP, nomor telepon, alamat, tanggal lahir, jenis kelamin, dan penghasilan pemilik data, mulai dari per hari, bulan, dan tahun.