Tiap PSE Harus Miliki Panduan Internal Perlindungan Data Pribadi

Cyberthreat.id – Ketua Komite I Dewan Perwakilan Daerah RI Fachrul Razi turut menyoroti data pribadi penduduk Indonesia yang dijual di forum peretas, RaidForums.

Ia prihatin dengan kejadian tersebut karena era digital sekarang data kependudukan sangat vital. Oleh karenanya, ia mendorong agar pihak terkait dengan data tersebut bertanggung jawab atas kegagalan dalam perlindungan datanya.

“Data pribadi harus dijaga kerahasiaannya karena dapat disalagunakan oleh pihak yang tidak bertanggung jawab,” kata Fachrul Razi dalam pernyataan persnya, Jumat (21 Mei 2021).

Fachrul Razi menilai sudah saatnya pemerintah mengedepankan pengesahan Rancangan Undang-Undang Perlindungan Data Pribadi (RUU PDP) .

"Harus segera disahkan RUU ini, mengingat RUU PDP ini penting untuk perlindungan data pribadi kita. Ini harus dipastikan," jelasnya.

Ia menambahkan, setiap penyelenggara sistem elektronik harus menyusun aturan atau panduan internal perlindungan data pribadi sebagai bentuk tindakan pencegahan untuk menghindari terjadinya  kegagalan  dalam  pengelolaan  data  pribadi  yang dikelolanya.

Tak hanya itu, pemerolehan dan pengumpulan data pribadi tersebut wajib berdasarkan persetujuan atau berdasarkan ketentuan peraturan perundang-undangan.

"Data pribadi harusnya terlindungi, tidak mudah tersebar apalagi diperjualbelikan," ujarnya.

Diberitakan sebelumnya, seorang pengguna RaidForums dengan akun Kotz, reseller data, mengunggah sampel data yang diklaim berasal dari BPJS Kesehatan pada 12 Mei lalu.

Ia membagikan sampel data yang mencapai 1 juta secara gratis. Sementara, ia mengklaim memiliki data 279 juta penduduk Indonesia, di mana 20 juta di antaranya mengandung foto. Ia berencana menjual data tersebut senilai  0,15 BTC (setara dengan Rp84,3 juta atau sekitar US$6.000).

Hasil investigasi Kementerian Kominfo menemukan, sampel data itu diduga kuat identik dengan data BPJS Kesehatan. Namun, hanya 100.002 data yang menurut Kominfo identik.

Kominfo saat ini telah memblokir tautan yang mengarahkan ke alamat untuk mengunduh sampel data. Kemenkominfo saat ini sedang meminta keterangan direksi lembaga asuransi tersebut.

“Terdapat tiga tautan yang terindetifikasi yakni bayfiles.com, mega.nz, dan anonfiles.com. Sampai saat ini tautan di bayfiles.com dan mega.nz telah dilakukan takedown (diblokir), sedangkan anonfiles.com masih terus diupayakan untuk pemutusan akses segera,” ujar Juru Bicara Kemenkominfo Dedy Permadi.

Forensik digital

Ketua Lembaga Riset Keamanan Siber CISSReC, Pratama Prasadha, menyarankan agar BPJS Kesehtan melakukan forensik digital guna mengetahui di mana celah keamanan yang dieksploitasi peretas dan segera melakukan  langkah mitigasi. “Tentu kita tidak ingin kejadian ini berulang,” ujar dia.

Ia juga mengingatkan tentang dampak dari kebocoran data. Data-data seperti itu bisa disalahgunakan oleh orang yang tidak bertanggung jawab untuk melakukan kejahatan atau untuk spam iklan.

Ancaman yang bisa terjadi juga ialah serangan rekayasa sosial (social engineering) yang berujung pembajakan akun online seseorang.

“Atau, bisa juga dipakai untuk menyebar tautan phishing yang isinya malware untuk mengambil alih handphone target. Akan lebih mudah melakukan kejahatan dengan memiliki data dasar dari target daripada tidak ada data sama sekali,” Pratama menegaskan.[]