Kebocoran Data Kala RUU PDP Tertunda

Kuatbaca

16 days ago

Kebijakan untuk mengharuskan pendaftaran kartu SIM memakai NIK berbuntut bocornya 1,3 miliar data pribadi. Sejumlah pengamat menilai kebocoran data pribadi lintas sektor ini adalah tanggung jawab satu instansi yang mampu mengumpulkan data dari berbagai provider. Namun, semua yang terlibat saling lempar tanggungjawab. Kehadiran Lembaga Perlindungan Data Pribadi yang masih jadi rebutan antara DPR dan Kominfo tampaknya makin dibutuhkan.

 

Sejak tahun 2017, Kementrian Komunikasi dan Informatika mengharuskan konsumen mendaftarkan kartu SIM-nya dengan NIK (Nomor Induk Kependudukan). Untuk diketahui, NIK dicantumkan di setiap Dokumen Kependudukan. Selain itu, ia juga jadi dasar penerbitan KTP, paspor, surat izin mengemudi, NPWP, polis asuransi, sertifikat hak atas tanah, dan dokumen identitas lain. 

 

Keputusan ini berdasarkan Peraturan Menteri No. 13 Tahun 2017 yang menjadi perubahan dari PM No. 12 Tahun 2016 tentang Registrasi Pelanggan Jasa Telekomunikasi. Dengan bekerjasama Dukcapil (Direktorat Jenderal Kependudukan dan Pencatatan Sipil), Kominfo berharap dapat mendapatkan identitas asli pengguna yang valid.

 

“Salah satu ekosistem yang lain ialah bagaimana merujuk bahwa informasi yang disampaikan oleh pelanggan dalam proses registrasi adalah benar. Makanya sekarang dengan dukcapil kita lebih yakin lagi. Bahwa validitas informasi yang disampaikan oleh pelanggan lebih baik lagi,” ujar Menkominfo saat itu, Rudiantara.

 

Di samping itu, Kominfo mengaku aturan registrasi kartu SIM ini tidak akan mengancam hak privasi warga negara. Tiap operator harus menjaga data pribadi konsumen. Hal ini merujuk pada Permenkominfo No. 20/2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik. Selain itu, ada standar ISO 27001 untuk perlindungan data. Dengan dua instrumen tersebut, Kominfo menjamin keamanan data pribadi.

 

“Jadi dengan dua aturan itu sudah bisa dijamin kalau nantinya tidak akan ada pelanggaran hak privasi warga negara,” kata Plt Kepala Biro Humas Kominfo. Noor Iza, Kamis (19/10/2017).




Saling Bantah Biang Kerok Jebolnya Data

Arif tengah berselancar di platform media sosial Twitter. Matanya terhenti di cuitan yang ditulis oleh konsultan keamanan siber, Teguh Aprianto. Cuitan tersebut berisi kabar 1,3 miliar data pribadi yang bocor dan dijual.

 

Cuitan Teguh selanjutnya berisi situs web periksadata.com yang jadi wadah untuk mengecek apakah data kita termasuk dalam 2 juta sampel yang dibagikan gratis. Melihat cuitan tersebut, Arif bergegas melakukan pengecekan datanya.

 

“Saya masukin no hp saya, dan muncul kalau data saya ada dan NIK yang tergenerate betul punya saya,” ucap pria asal Subang itu kepada Kuatbaca.com, Rabu (7/9/2022).

 

Ia mengaku kesal saat pertama mengetahui datanya termasuk dalam 2 juta sampel yang dibagikan gratis. “Kesel sih, soalnya saya juga kan programmer, dan menjaga banget soal privasi. Tapi malah regulatornya sendiri yang bocor,” ungkap Arif.

 

Arif termasuk salah satu orang yang sudah sadar dengan keamanan data pribadinya. Ia mengaku selalu berupaya untuk menjaga data privasinya.

 

“Memakai watermark setiap web memerlukan foto KTP dsb, merusak label di paket dari belanja online, mempunyai beberapa email disposable untuk register di web-web kurang terpercaya,” ujarnya.

 

Sebagai korban kebocoran data, ia cemas datanya akan disalahgunakan. Dari mulai masuknya sms spam, scam, hingga pencurian identitas untuk pinjaman online. Bahkan saat ini, NIK seseorang dapat didaftarkan jadi anggota partai politik tanpa persetujuan.

 

Arif berharap pihak regulator dalam hal ini Kominfo dapat berupaya untuk kejadian seperti ini tidak terjadi lagi. “Siapapun Kominfonya, saya harap mereka benar-benar mengerti pentingnya data-data ini, minimal paham dan ada tindak lanjutnya, baik itu kompensasi atau minimal ada langkah-langkah agar hal begini tidak terulang lagi,” jelas Arif, Rabu (8/9/2022).

 

Data pribadi Arif hanyalah satu dari sekian juta data kartu SIM yang bocor. Data yang bocor ini meliputi nomor induk kependudukan, nomor telepon, nama provider, dan tanggal pendaftaran. Informasi ini diketahui setelah beredar tangkapan layar berisi info penawaran data 1,3 miliar pendaftar SIM oleh pengguna Bjorka yang diduga sebagai hacker.

 

Bjorka menjual 87 GB data tersebut dengan biaya Rp 743 juta. Pihaknya menyatakan data yang ia curi ialah hasil dari kebijakan pendaftaran kartu SIM pada Oktober 2017.

 

Kominfo sigap memberi respon dengan membantah data itu berasal dari mereka. Selain Kominfo, pihak provider juga menyatakan hal serupa. Masing-masing provider mulai dari Telkomsel, XL Axiata, hingga Indosat Ooredoo Hutchison mengaku memiliki keamanan data yang kuat.

 

Sejumlah ahli menyebut data yang bocor tersebut valid. Ketua lembaga riset siber CISSReC Pratama Persadha menyatakan data pasti terakit Kartu SIM yang dijual terdiri dari 1.304.401.300 baris.

 

“Ketika sampel data dicek secara acak dengan melakukan panggilan beberapa nomor, hasilnya masih aktif semua. Artinya, dari 1,5 juta sampel data yang diberikan merupakan data valid,” kata Pratama dikutip dari Katadata.com, Kamis (1/9/2022).

Data seperti ini hanya disimpan oleh tiga aktor: Kominfo, Dukcapil, dan operator seluler. Menurut Pratama, operator seluler tidak mungkin membocorkan data seperti itu mengingat datanya lintas operator.

 

Pakar keamanan siber dari Vaksincom Alfons Tanujaya juga membuktikan validitas data Kartu SIM yang bocor tersebut. Dari temuannya, sampel data dari nomor dan NIK secara acak 100 persen data otentik. Selain itu, dari hitungannya sendiri, Alfons menyebut 87 GB data yang dibocorkan berisi 1.215.083.799 database.

 

“Dapat disimpulkan angka 1,3 miliar data registrasi SIM yang diklaim cukup masuk akal dengan toleransi perbedaan data kurang lebih 10 persen,” katanya, Selasa (6/9/2022).

 

CEO Digital Forensic Indonesia Ruby Alamsyah mempunyai kecurigaan senada. Ia menilai kuncinya ada pada apakah provider memberikan datanya kepada Kominfo atau tidak. Sebab, data yang beredar merupakan lintas operator.

 

“Kalau pelaku meretas masing-masing operator, kan, perlu usaha dengan tingkat kesulitan berbeda-beda. Kalau dia hanya jual seperti ini, tidak masuk akal. Saya menduga ini data dari satu instansi,” ucap Ruby dikutip dari Koran Tempo, Sabtu (3/9/2022)


 

Pentingnya Pengawas Independen

Kebocoran data sebenarnya bentuk kegagalan institusi dalam melaksanakan perlindungan data pribadi. Namun, dalam konteks Indonesia, pertanggungjawaban ini sulit dituntut.

 

“Konsep awalnya adalah data pribadi ini harus dilindungi institusi. Jadi institusi itu, atau pengendali data pribadi, dua itu pemerintah dan swasta. Nah ini yang bertanggungjawab,” pungkas Sinta Rosadi, Ketua Cyber Law Center Fakultas Hukum Universitas Padjadjaran.

 

Dari regulasi, ada Perpres 95/2018 tentang Sistem Pemerintahan Berbasis Elektronik. Ia mengatur teknis dan administratif. Tidak ada satupun yang mengatur kalau ada kegagalan dalam perlindungan, maka siapa pihak yang paling bertanggungjawab.

 

Sejak awal, Sinta sebagai akademisi bersama organisasi masyarakat lainnya sudah memperingatkan Kominfo terkait pendaftaran NIK pada kartu SIM.

 

“Waktu pendaftaran NIK, kami dari akademisi dan dari NGO, juga mempertanyakan kepada Kominfo kenapa mengambil satu kebijakan yang ingin sebetulnya menjamin keamanan, tetapi justru yang dipertaruhkan adalah data pribadi. Ini yang kita khawatirkan sebetulnya,” jelasnya kepada Kuatbaca.com, Rabu (7/9/2022).

 

Sebelumnya, Kuatbaca sudah pernah menuliskan pentingnya RUU Perlindungan Data Pribadi (PDP) mengingat kebocoran data dari pihak swasta yang besar (Baca: Tunda-Tunda RUU Kebocoran Data). Namun, kali ini justru pihak pemerintah lah yang paling sering kecolongan.

Saling bantah antar instansi berakar dari tidak adanya lembaga yang mengawasi kinerja pengendali data, baik dari swasta maupun pemerintah. Hal ini dijelaskan oleh Ketua Cyber Law Center Fakultas Hukum Universitas Padjadjaran, Sinta Dewi Rosadi.

 

Dorongan adanya lembaga pengawas ini sudah lama digaungkan. Namun, hingga saat ini, perdebatan terkait lembaga pengawas itu bersifat independen atau berada di bawah naungan Kominfo tak kunjung selesai.

 

Sinta sendiri menilai idealnya lembaga pengawas haruslah independen. “Dari awal kan kita inginnya pengawasnya independen gitu, karena undang-undang ini atau RUU ini mengawasi pemerintah dan swasta. Bagaimana bisa sih Kominfo sebagai regulator dan juga sebagai yang diawasi,” jelasnya.

 

Dari rilis DPR per 8 September 2022, RUU PDP sudah dibahas di Rapat Kerja DPR dengan sembilan fraksi menyetujui untuk dibawa ke Paripurna.

 

“Kita harapkan RUU ini menjadi solusi bagi adanya banyak kebocoran data yang semakin hari semakin banyak jumlahnya dan volumenya makin gede itu artinya sangat merugikan subjek data pribadi,” ungkap Wakil Ketua Komisi I DPR RI Abdul Kharis Almasyhari.

 

Komisi I DPR sendiri ingin lembaga pengawas dibentuk dan ditunjuk presiden. Tetapi, Menkominfo bersikeras agar lembaga pengawas berada di bawah Kemenkominfo.

 

Senada dengan Sinta, Direktur Eksekutif ELSAM Wahyudi Djafar menyatakan otoritas PDP mesti independen. Soalnya, lembaga tersebut tak hanya mengawas korporasi, melainkan juga kementrian.

 

“Jika Otoritas PDP diletakkan di bawah Kominfo, ini berarti bahwa Kominfo akan duduk sebagai ‘pemain sekaligus wasit’,” tegasnya.(*)

Jurnalis : Muhammad Fakhri

Editor : Virga Agesta

Illustrasi Cover : Bagus Maulana

Layout Infografis : Zakki Fauzi