Sebulan lalu, 279 juta data pribadi nasabah asuransi pemerintah Badan Penyelenggara Jaminan Sosial (BPJS) Kesehatan beredar di forum peretas, Raid Forums, dan kemudian dijual seharga 0,15 bitcoin, sebuah mata uang digital, atau setara dengan Rp81,6 juta.
Peristiwa itu terungkap dan menjadi viral ketika seorang pengguna Twitter mengunggah percakapannya dengan penjual data, “Kotz”, yang mengatakan mendapat informasi tersebut dari situs BPJS. Identitas pribadi yang dicuri meliputi nama, nomor induk kependudukan (NIK), nomor ponsel, alamat, jumlah gaji, serta e-mail peserta BPJS.
Menanggapi kasus tersebut, pihak BPJS Kesehatan mengatakan data yang dicuri tersebut mencakup data peserta BPJS yang mencapai 222,4 juta, serta data peserta yang meninggal dunia. Pemerintah kemudian memblokir situs Raid Forums serta ketiga tautan untuk mengunduh data, yaitu bayfiles.com, mega.nz, serta anonfiles.com. Kasus ini masih diselidiki oleh Badan Reserse Kriminal (Bareskrim) Kepolisian Republik Indonesia, Badan Siber dan Sandi Negara (BSSN), dan Kementerian Komunikasi dan Informasi.
Kasus pencurian data pribadi tersebut bukan yang pertama kali terjadi di negara ini. Pada awal tahun ini, terjadi kehebohan akibat beredarnya data wartawan peserta vaksinasi COVID-19, yang sampai sekarang tidak jelas kebocorannya di mana. Sebelumnya, pada Mei 2020, ada kebocoran 91 juta data pengguna dan 7 juta penjual di situs jual beli Tokopedia, yang dijual seharga US$5 ribu di situs Empire Market. Di bulan yang sama, 2,3 juta data pemilih dalam Pemilihan Umum 2014 dijual di RaidForums.
Menanggapi kebocoran tersebut, Tokopedia menyarankan agar pengguna mengganti kata sandi secara rutin dan memastikan informasi penting tidak mengalami kebocoran. Sementara itu, Komisi Pemilihan Umum (KPU) mengatakan tengah melakukan penyelidikan dan sejauh itu tidak menemukan kebocoran data. Sejumlah pihak menilai tanggapan itu tidak maksimal dan banyak kekhawatiran mengenai tingginya potensi kebocoran data selanjutnya.
Baca juga: Serangan Digital Marak, Kebebasan Berpendapat di Ujung Tanduk
Mengapa Kebocoran Data Pribadi Bisa Terjadi?
Blandina Lintang Setianti, peneliti dari Lembaga Studi dan Advokasi Masyarakat (ELSAM), mengatakan kebocoran data pribadi adalah pelanggaran hak warga yang identitas pribadinya harus dilindungi.
Ia menambahkan, peretasan mungkin akan selalu terjadi, tetapi peristiwa ini berulang karena pemroses data atau pihak seperti BPJS Kesehatan belum mengolah data pribadi dengan baik, sehingga mudah untuk dicuri.
“Harus ada batas waktu saat data diproses dan setelah itu dihapus. Lalu menyajikan data sebaiknya dengan tiga nomor NIK dikaburkan, nama dan alamat tidak bisa diakses orang lain,” ujarnya kepada Magdalene (2/6).
Pendataan identitas secara manual menggunakan lembar fotokopi Kartu Tanda Penduduk (KTP) atau Kartu Keluarga yang digunakan ulang untuk pembungkus makanan juga menunjukkan pengolahan dan penyimpanan yang belum baik, ujar Blandina.
“Kebocoran ini bukan kecerobohan, tapi memang belum ada kesadaran tentang kepemilikan data pribadi. Harus meningkatkan tata kelola juga keamanan pada sistem,” ujarnya.
Wahyudi Djafar, Direktur Eksekutif ELSAM, mengatakan penyebab lain kebocoran data pribadi adalah ketiadaan transparansi pengumpulan dan pemrosesan data, serta akuntabilitas dalam melindungi data pribadi.
“Dalam Undang-Undang Administrasi Kependudukan belum ada prinsip perlindungan data pribadi, mulai dari fullness and transparency, tujuan keperluan dan pertimbangan, dan tidak jelasnya kewajiban pengendali dalam memproses data,” ujarnya dalam diskusi daring “Kebocoran Data Pribadi di Ruang Digital: Warga Bisa Apa?” yang diselenggarakan simpulmadani, sebuah platform yang fokus pada peningkatan kapasitas dan advokasi kebijakan, (27/5).
Baca juga: Satu Lagi RUU Bermasalah: RUU Keamanan dan Ketahanan Siber
Dampak Kebocoran Data: Pencurian Identitas hingga KBGO
Blandina mengatakan, salah satu dampak dari kebocoran data pribadi adalah pencurian identitas, seperti yang terjadi di Cina, Mei 2020.
Chen Chunxiu, seorang perempuan asal Shandong, tidak mengetahui orang lain telah menggunakan identitasnya selama 16 tahun. Pencurian identitas itu dimulai ketika Chen mengikuti ujian masuk universitas pada 2004 setelah lulus SMA. Chen dinyatakan tidak lulus ujian itu dan akhirnya langsung bekerja untuk membantu ekonomi keluarganya.
Tahun 2020, saat Chen akan mendaftar sebuah kursus lewat situs resmi pemerintah, ia menemukan dirinya telah terdata sebagai alumni Universitas Teknologi Shandong yang berkuliah pada 2004-2007. Namun foto yang tercantum adalah perempuan lain.
Setelah diusut, pencuri identitas itu bernama Chen Yanping, kerabat pejabat setempat yang dengan koneksinya mengambil identitas Chen agar bisa berkuliah di universitas itu. Jadi rupanya Chen Chunxiu lulus ujian universitas pada 2004, tapi datanya diambil Chen Yanping. Saat peristiwa terbongkar, para kolega selama bertahun-tahun mengenal Chen Yanping sebagai Chen Chunxiu. Saat ini Chen Yanping telah dicabut status alumninya dan dipecat.
Blandina mengatakan, risiko lain dari bocornya data pribadi adalah penipuan, terutama melalui pinjaman online (pinjol) ilegal yang marak terjadi belakangan ini.
Ada sebuah kasus Mei 2021, saat akun Twitter @pinjollaknat mengunggah berbagai foto KTP yang diduplikasi secara ilegal untuk dijadikan korban penipuan pinjaman online. Korban tersebut akan diteror untuk melunasi pinjaman, meskipun tidak pernah melakukan pengajuan untuk meminjam atau mengenal sosok peminjam.
Blandina menyatakan, kasus pencurian data untuk pinjol juga berpengaruh tingginya potensi Kekerasan Berbasis Gender Online (KBGO), terutama jika memiliki akses pada foto pribadi korban.
“Korban pinjol memang laki-laki dan perempuan. Tapi perempuan lebih rentan untuk dieksploitasi, Ada ancaman foto akan disebarkan dan tekanan bernuansa seksual di dalamnya,” kata Blandina.
Baca juga: Kasus Ravio Patra dan Pentingnya Regulasi Perlindungan Data Pribadi
Solusi dan Kendala Penyelesaian Kasus Kebocoran Data Pribadi
Wahyudi mengatakan, langkah yang bisa dilakukan pemilik data ketika terjadi ancaman kebocoran adalah mengganti password atau kata sandi. Selain itu, dengan mengajukan aduan terjadinya kebocoran data kepada pihak berwajib yang diatur dalam Peraturan Menteri Komunikasi dan Informatika Nomor 20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik.
Namun, ujar Wahyudi, regulasi tersebut mengatur bahwa pemilik data hanya memiliki waktu 30 hari setelah menerima notifikasi dari perusahaan yang mengalami peretasan untuk melaporkan telah terjadi kebocoran.
Menurutnya, hal itu akan menyulitkan pemilik data untuk melakukan pelaporan karena tidak semua pemilik data menerima notifikasi saat data pribadinya bocor. Tokopedia memberi notifikasi kepada subjek data, tetapi pemberitahuan tersebut tidak merata, ujarnya.
Kewajiban untuk memberi notifikasi tersebut diatur dalam pasal 14 ayat 5, Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik, yang menyebutkan jika terjadi kegagalan dalam perlindungan terhadap data pribadi yang dikelolanya, penyelenggara sistem elektronik wajib memberitahukan secara tertulis kepada pemilik data pribadi tersebut.
“Harus ada notifikasi tanpa penundaan atau notification without undue delay. Tapi faktanya tidak semua pemilik data punya notifikasi tentang dampak apa yang bocor dan risiko kebocoran itu,” ujarnya.
Blandina mengatakan, seharusnya beban penyelesaian kebocoran data tidak ditekankan sepenuhnya pada pemilik data, tetapi perlu ada aturan mengenai perlindungan, penjaminan keamanan, dan pengolahan komprehensif data pribadi, seperti Rancangan Undang-undang Perlindungan Data Pribadi.
“RUU PDP diperlukan agar ada hukum yang menaungi subjek data atau korban. Negara dan perusahaan harus lebih baik meningkatkan perlindungannya. Jika mau contoh banyak negara di Eropa yang memiliki satu regulasi khusus tentang perlindungan data pribadi,” ujarnya.
Comments