JAKARTA, KOMPAS.com - Direktorat Jenderal Imigrasi Kementerian Hukum dan HAM serta Kementerian Komunikasi dan Informatika diminta sigap merespons dan memberi penjelasan rinci kepada masyarakat, terkait dugaan kebocoran 34,9 juta data paspor warga Indonesia (WNI) yang diduga dilakukan peretas Bjorka.
Menurut Direktur Eksekutif Lembaga Studi dan Advokasi Masyarakat (ELSAM), Wahyudi Djafar, prosedur penanganan kebocoran data itu sudah diatur dalam Undang-Undang Perlindungan Data Pribadi (PDP).
"Undang-Undang PDP harus menjadi rujukan utama dalam mengoptimalkan langkah-langkah pelindungan data pribadi, misalnya terkait prosedur ketika terjadi kegagalan pelindungan data pribadi, termasuk kewajiban memberikan notifikasi," kata Wahyudi saat dihubungi Kamis (6/7/2023).
Menurut Wahyudi, dugaan kebocoran data paspor seharusnya segera ditangani secara terbuka dan bertanggung jawab oleh pihak-pihak yang berwenang melakukan pengelolaan data itu.
Menurut dia, dalam menanggapi dugaan insiden kebocoran data maka proses transisi implementasi UU PDP mestinya tidak berakibat pada pembiaran penanganan.
Sebab, kata Wahyudi, dalam Pasal 76 UU PDP ditegaskan beleid itu berlaku sejak diundangkan.
"Kekosongan regulasi teknis karena masih dalam proses penyusunan, bisa mengacu pada PP No. 71/2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik dan Permenkominfo No. 20/2016 tentang Perlindungan Data Pribadi Dalam Sistem Elektronik, sepanjang materinya tidak bertentangan dengan substansi UU PDP," ucap Wahyudi.
Wahyudi mengatakan, UU PDP harus menjadi rujukan utama dalam mengoptimalkan langkah-langkah pelindungan data pribadi, misalnya terkait prosedur ketika terjadi kegagalan pelindungan data pribadi, termasuk kewajiban memberikan notifikasi.
Baca juga: 34 Juta Data Paspor Diduga Bocor, Kemenkominfo Buka Suara
Maka dari itu, lanjut Wahyudi, Ditjen Imigrasi dan PT. Telkom Indonesia sebagai pengendali data sebaiknya melakukan identifikasi dan mengkonfirmasi keabsahan kebocoran data.
"Segera memberikan notifikasi kepada subjek data dan otoritas saat ini (Kemenkominfo) paling lambag 3x24 jam, termasuk kepada masyarakat, mengingat insiden ini terkait dengan layanan publik, mengacu Pasal 46 UU PDP," papar Wahyudi.
Materi notifikasi itu, kata Wahyudi, mencakup data pribadi yang terungkap, kapan dan bagaimana terungkapnya, serta upaya penanganan dan pemulihan yang sudah dilakukan.
"Bila di dalamnya terdapat dapat yang bersifat spesifik (sensitif), perlu juga diinformasikan risiko yang mungkin terjadi dan langkah mitigasi yang sebaiknya dilakukan," kata Wahyudi.
Selain itu, seluruh lembaga terkait supaya segera melakukan pemulihan data yang spesifik atau sensitif seperti biometrik (sidik jari, rekam wajah, retina mata) sampai keluarga.
Baca juga: Soal 34 Juta Data Paspor Bocor, Dirjen Imigrasi: Server-nya di PDN Milik Kominfo
"Ketika terjadi kegagalan dalam pelindungan data, jenis data sensitif memerlukan langkah-langkah khusus dalam penanganannya, sebab risiko yang mungkin terjadi pada subjek data juga lebih tinggi," papar Wahyudi.
Wahyudi juga menyarankan Ditjen Imigrasi sebagai penyelenggara sistem elektronik (PSE) publik mestinya konsisten melakukan audit keamanan.
Sebab mekanisme itu diatur dalam Perpres No. 95/2018 tentang Sistem Pemerintahan Berbasis Elektronik.
Bahkan rinciannya telah diatur dalam Peraturan BSSN No. 4/2021 tentang Pedoman Manajemen Keamanan Informasi Sistem Pemerintahan Berbasis Elektronik dan Standar Teknis dan Prosedur Keamanan Sistem Pemerintahan Berbasis Elektronik.
"Mengacu kepada 2 regulasi tersebut, Ditjen Imigrasi setidaknya harus mengidentifikasi sumber serangan, menganalisis informasi yang berkaitan dengan insiden selanjutnya, memprioritaskan penanganan insiden berdasarkan tingkat dampak yang terjadi, mendokumentasi bukti insiden, dan memitigasi atau mengurangi dampak risiko," ucap Wahyudi.
Baca juga: Darurat Keamanan Siber: Dugaan Kebocoran Data Paspor Indonesia
Dugaan kebocoran 34 juta data paspor WNI itu sebelumnya disampaikan di media sosial Twitter pada Rabu (5/7/2023), oleh Teguh Aprianto yang merupakan pendiri Ethical Hacker Indonesia melalui akun @secground.
Menurut Teguh, Bjorka mengeklaim mengambil 34,9 juta data paspor WNI dalam kondisi terkompres sebesar 4 GB.
Data itu dijual oleh Bjorka seharga 10.000 dollar Amerika Serikat. Bjorka juga membagikan 1 juta data itu sebagai sampel bagi yang berminat.
Menanggapi hal itu, Direktur Jenderal Imigrasi Kementerian Hukum dan Hak Asasi Manusia (Kemenkumham) Silmy Karim mengatakan, peladen (server) Imigrasi berada di Pusat Data Nasional (PDN), yang dikelola Kemenkominfo.
Baca juga: Demokrat Desak Pemerintah Beri Penjelasan soal Kebocoran 34 Juta Data Paspor
“Server imigrasi di PDN (pusat data nasional) milik Kominfo,” kata Silmy saat dihubungi Kompas.com, Kamis (6/7/2023).
Sementara itu, Kominfo menyatakan masih menelusuri dugaan kebocoran dugaan data paspor itu.
Direktur Jenderal (Dirjen) Informasi dan Komunikasi Publik (IKP) Kemenkominfo Usman Kansong mengatakan, tim yang terdiri dari Kominfo, Badan Siber dan Sandi Negara (BSSN), dan Imigrasi masih menyelidiki hal ini.
"Hasil sementara, ada perbedaan struktur data antara yang ada di Pusat Data Nasional dengan yang beredar," ujarnya, saat dikonfirmasi Kompas.com, Rabu (5/7/2023) malam.
Simak breaking news dan berita pilihan kami langsung di ponselmu. Pilih saluran andalanmu akses berita Kompas.com WhatsApp Channel : https://www.whatsapp.com/channel/0029VaFPbedBPzjZrk13HO3D. Pastikan kamu sudah install aplikasi WhatsApp ya.