Regulasi Perlindungan Data Pribadi yang Ada Masih Lemah Menghukum PSE yang Melanggar
Tangkapan layar di RaidForums. | Foto: Cyberthreat.id/Oktarina Paramitha Sandy
Cyberthreat.id – Ketua Lembaga Riset Keamanan Siber CISSReC, Pratama Prasadha, mengkritisi regulasi terkait dengan perlindungan data pribadi yang saat ini berlaku di Indonesia.
Menurut dia, Indonesia belum memiliki payung hukumg yang memadai untuk melindungi data pribadi warga negara. Makanya, ia mendesak agar RUU Pelindungan Data Pribadi segera disahkan.
Regulasi yang ada saat ini, jika terjadi perselisihan soal data, menurut Pratama, merujuk pada Peraturan Menkominfo Nomor 20 tahun 2016.
Namun, regulasi itu dinilainya kurang kuat, tidak ada unsur pemaksaan kepada penyelenggara sistem elektronik (PSE) untuk menghadirkan sistem yang aman.
“Yang dipakai sekarang adalah Permenkominfo Nomor 20/2016, di mana diatur bila ada sengketa terhadap perlindungan data pribadi, hukumannya hanya berupa peringatan lisan dan tertulis, penghentian sementara kegiatan PSTE (penyelenggaraan sistem transaksi dan elektronik),” ujar dia.
“Dan, ancamannya akan diumumkan ke publik lewat website,” Pratama menambahkan saat dihubungi Cyberthreat.id, Jumat (21 Mei 2021).
Berita Terkait:
- Ini Indikasi Data 279 Juta Warga RI yang Bocor Berasal dari BPJS, Ada Nama Pejabatnya
- Jubir Kominfo: 100 Ribu Data Identik dengan Data BPJS Kesehatan
Aturan yang tidak tegas, kata dia, membuat sistem informasi di Tanah Air sering menjadi bulan-bulanan penjahat siber.
“Bahkan sistem informasi milik instansi negara yang lemah sering menjadi tempat latihan bagi para script kiddies atau peretas pemula,” ujar Pratama yang sekaligus merespons terkait kasus penjualan data penduduk Indonesia di forum peretas, RaidForums, baru-baru ini.
Di forum tersebut, seorang pengguna dengan akun Kotz, reseller data, mengunggah sampel data yang diklaim berasal dari BPJS Kesehatan pada 12 Mei lalu.
Baca:
Ia membagikan sampel data yang mencapai 1 juta secara gratis. Sementara, ia mengklaim memiliki data 279 juta penduduk, di mana 20 juta di antaranya mengandung foto. Ia berencana menjual data tersebut senilai 0,15 BTC (setara dengan Rp84,3 juta atau sekitar US$6.000).
Hasil investigasi Kementerian Kominfo menemukan, sampel data itu diduga kuat identik dengan data BPJS Kesehatan. Namun, hanya 100.002 data yang menurut Kominfo identik.
Kominfo saat ini telah memblokir tautan yang mengarahkan ke alamat untuk mengunduh sampel data.
Kemenkominfo saat ini sedang meminta keterangan direksi lembaga asuransi tersebut.
“Terdapat tiga tautan yang terindetifikasi yakni bayfiles.com, mega.nz, dan anonfiles.com. Sampai saat ini tautan di bayfiles.com dan mega.nz telah dilakukan takedown (diblokir), sedangkan anonfiles.com masih terus diupayakan untuk pemutusan akses segera,” ujar Juru Bicara Kemenkominfo Dedy Permadi.
Forensik digital
Pratama menyarankan agar BPJS Kesehatan melakukan forensik digital guna mengetahui di mana celah keamanan yang dieksploitasi peretas dan segera melakukan langkah mitigasi. “Tentu kita tidak ingin kejadian ini berulang,” ujar dia.
Ia juga mengingatkan tentang dampak dari kebocoran data. Data-data seperti itu bisa disalahgunakan oleh orang yang tidak bertanggung jawab untuk melakukan kejahatan atau untuk spam iklan.
Ancaman yang bisa terjadi juga ialah serangan rekayasa sosial (social engineering) yang berujung pembajakan akun online seseorang.
“Atau, bisa juga dipakai untuk menyebar tautan phishing yang isinya malware untuk mengambil alih handphone target. Akan lebih mudah melakukan kejahatan dengan memiliki data dasar dari target daripada tidak ada data sama sekali,” Pratama menegaskan.[]
Redaktur: Andi Nugroho
