Baca berita dengan sedikit iklan, klik di sini
JAKARTA – Sejumlah kalangan mendorong pemerintah segera membentuk lembaga pengawas yang diamanatkan oleh Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP). Tanpa lembaga pengawas pelindungan data pribadi, pertanggungjawaban atas terjadinya kebocoran data yang dikelola oleh lembaga publik, seperti yang kini diduga terjadi pada aplikasi PeduliLindungi, akan terus tak menentu.
Baca berita dengan sedikit iklan, klik di sini
Kasus dugaan pembocoran data PeduliLindungi, aplikasi yang dikembangkan oleh pemerintah untuk pelacakan kontak dan rekam medis warga negara Indonesia pada masa pandemi Covid-19, Selasa lalu, menjadi ujian pertama efektivitas UU PDP sejak disahkan pada 20 September 2022. Pembocornya adalah Bjorka, akun pseudonim yang empat bulan terakhir menarik perhatian karena terus membocorkan data pribadi, terutama yang dikelola oleh instansi pemerintahan.
Baca berita dengan sedikit iklan, klik di sini
Baca berita dengan sedikit iklan, klik di sini
Masalahnya, hingga kini, ikhtiar pemerintah untuk membekuk aktor di belakang akun Bjorka tak kunjung membuahkan hasil. Sementara itu, pengelola data yang kebobolan, baik pemerintah maupun swasta, luput dimintai pertanggungjawaban.
Direktur Eksekutif Lembaga Studi dan Advokasi Masyarakat (Elsam), Wahyudi Djafar, mengatakan lembaga pengawas pelindungan data pribadi seharusnya menjadi lembaga yang paling pertama menggelar investigasi ketika terjadi dugaan kebocoran data pribadi, seperti yang diduga terjadi pada aplikasi PeduliLindungi. “Tapi lembaga itu kan belum terbentuk,” kata Wahyudi, kemarin.
Menurut Wahyudi, sebelum adanya UU PDP, lembaga yang diberi mandat terhadap keamanan data pribadi masyarakat adalah Kementerian Komunikasi dan Informatika. Mandat tersebut, salah satunya, tertuang dalam Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik. Setelah UU PDP disahkan, kata dia, lembaga yang mendapat mandat mengawasi keamanan data pribadi masyarakat adalah lembaga pengawas pelindungan data pribadi.
Eksistensi lembaga pengawas tersebut tercantum dalam Pasal 58, Pasal 59, Pasal 60, dan Pasal 61 UU PDP. Lembaga itu nantinya dibentuk melalui peraturan presiden dan bertugas menyelenggarakan pelindungan data pribadi. Lembaga pengawas pelindungan data pribadi bertugas membuat kebijakan dan strategi pelindungan data pribadi, mengawasi penyelenggaraan data pribadi, hingga menjatuhkan sanksi administratif terhadap pelanggaran pelindungan data pribadi.
Lembaga tersebut juga berwenang memanggil dan memeriksa orang atau badan publik atas dugaan pelanggaran data pribadi. Sanksi administratif bagi badan publik yang melakukan pelanggaran data pribadi, dari peringatan tertulis, penghentian sementara kegiatan pemrosesan data pribadi, penghapusan atau pemusnahan data pribadi, hingga denda administratif.
Tempo telah menghubungi Staf Khusus Menteri Sekretaris Negara Bidang Komunikasi dan Media, Faldo Maldini, ihwal alasan Presiden Joko Widodo belum menerbitkan payung hukum pembentukan lembaga tersebut. Namun, hingga berita diturunkan, Faldo tidak merespons pertanyaan Tempo.
Menurut Wahyudi, dalam logika UU PDP, lembaga tersebut punya wewenang luas, bahkan sampai penanganan dugaan pidana dalam kasus kebocoran data pribadi. Dia mengatakan lembaga pengawasan inilah yang pertama-tama menginvestigasi dugaan pelanggaran pelindungan data pribadi. Apabila ditemukan dugaan pidana dalam investigasi tersebut, barulah lembaga ini merekomendasikan kepada kepolisian untuk melanjutkan penyelidikan.
Masalahnya, pemerintah hingga saat ini tak kunjung membentuk lembaga tersebut. Wahyudi menilai belum terbentuknya lembaga itu sebagai masa transisi UU PDP. Menurut Wahyudi, periode transisi inilah yang paling berbahaya. “Insiden kebocoran data pribadi bisa menjadi lebih buruk dari sebelumnya,” kata dia.
Menurut Wahyudi, masa transisi amat berbahaya karena adanya kekosongan institusi yang harus bertanggung jawab terhadap insiden kebocoran data pribadi. Walhasil, antarinstansi pemerintahan dapat saling lempar tanggung jawab, termasuk dalam kasus dugaan kebocoran data aplikasi PeduliLindungi belakangan ini. “Artinya, tidak akan ada tindakan apa-apa pada akhirnya,” tutur dia.
DPR mengesahkan Rancangan Undang-Undang Pelindungan Data Pribadi (RUU PDP) menjadi undang-undang dan mengesahkan calon anggota Dewan Pengawas Badan Pengelola Keuangan Haji (BPKH) dari unsur masyarakat periode 2022-2027 di Kompleks Parlemen, Senayan, Jakarta, 20 September 2022. TEMPO/M. Taufan Rengganis
Direktur Jenderal Informasi dan Komunikasi Publik Kementerian Komunikasi dan Informatika, Usman Kansong, enggan menanggapi soal dugaan kebocoran data PeduliLindungi. Dia mengatakan Kominfo hanya bertugas membuat aplikasi tersebut. Menurut dia, kewajiban melindungi data ada pada pemilik data, yaitu Kementerian Kesehatan. “Kan sudah diserahkan ke Kemenkes,” kata dia.
Usman juga meminta isu tersebut ditanyakan kepada Badan Siber dan Sandi Negara (BSSN). Menurut dia, BSSN memiliki tugas mengecek keamanan siber di setiap lembaga.
Tempo telah menghubungi juru bicara Kementerian Kesehatan, Mohammad Syahril, soal dugaan kebocoran data PeduliLindungi. Namun dia tidak merespons panggilan telepon dan pesan yang dikirim Tempo. Juru bicara BSSN, Ariandi Putra, pun setali tiga uang.
Anggota Komisi I Dewan Perwakilan Rakyat yang membidangi pertahanan, Dave Akbarshah Fikarno, mendesak kementerian dan lembaga yang bertanggung jawab terhadap keamanan data pribadi mengusut kasus kebocoran data PeduliLindungi. Dia meminta instansi pemerintah tidak saling lempar tanggung jawab. “Semua harus ambil peran, jangan lempar batu,” kata dia.
Dave mengatakan Komisi I DPR juga telah membentuk panitia kerja keamanan data pribadi. Dia mengatakan panja itu akan mencari tahu titik kebocoran data dan mengevaluasi keamanan data di Indonesia. “Belum dapat saya uraikan progresnya, tapi pasti ada kelanjutannya, apakah rekomendasi atau bisa juga produk-produk legislasi lainnya,” kata dia.
Kelemahan PeduliLindungi Terdeteksi Sejak Lama
Akun pseudonim Bjorka mengklaim memiliki 3,25 miliar data pengguna aplikasi PeduliLindungi. Melalui BreachForums, ia menawarkan data yang dikompres sebesar 48 gigabita dan tidak dikompres 157 gigabita. Data dalam format Comma Separated Values (CSV) tersebut berisi nama, alamat e-mail, nomor induk kependudukan (NIK), nomor telepon, tempat dan tanggal lahir, status Covid-19, data check in, data contact tracing, hingga riwayat vaksinasi.
Bjorka memberikan 94 juta data contoh. Di dalamnya berisi data Menteri Koordinator Kemaritiman dan Investasi Luhut Binsar Pandjaitan, Menteri Komunikasi dan Informatika Johnny Gerard Plate, serta Deodatus Andreas Deddy Cahyadi Sunjoyo, selebritas yang dikenal sebagai Deddy Corbuzier. Bjorka menjual bocoran data tersebut senilai US$ 100 ribu dalam bentuk bitcoin.
Empat Bulan Dilanda Bjorka
Pengamat keamanan siber dari Vaksincom, Alfons Tanujaya, mengatakan data yang dibocorkan Bjorka sesuai dengan data yang dimiliki aplikasi PeduliLindungi. Dia mengatakan telah mengecek sampel data yang dijual oleh Bjorka. Dia yakin data tersebut milik PeduliLindungi karena mencakup data check in dan check out, fitur pelacakan lokasi yang dikunjungi pengguna aplikasi tersebut. “Jelaslah itu data PeduliLindungi,” kata dia.
Alfons mengatakan sejak lama banyak pakar keamanan siber memperingatkan bahwa sistem keamanan PeduliLindungi amat lemah. Dia mengatakan kelemahan aplikasi tersebut ada pada sistem masuk atau log in. Aplikasi ini menggunakan nomor induk kependudukan untuk bisa masuk. Padahal, kata dia, NIK sudah banyak bocor di Internet.
Selain itu, Alfons menemukan bahwa pengelola aplikasi PeduliLindungi tidak mengenkripsi data yang dimasukkan oleh pengguna. Tidak adanya enkripsi itu terbukti dengan data yang dibocorkan oleh Bjorka. Dia mengatakan, kalau data di PeduliLindungi dienkripsi, data yang dibocorkan semestinya tidak akan terbaca. “Kalau dienkripsi, yang muncul angka-angka yang tidak punya arti,” ujarnya.
Pegiat keamanan siber yang tergabung dalam Indonesia Internet Governance Forum (IIGF) juga telah mendeteksi kelemahan PeduliLindungi jauh-jauh hari. Pada 8 September 2021, IIGF telah menyurati lima instansi yang bertanggung jawab pada aplikasi PeduliLindungi. Kelima lembaga yang disurati itu adalah Menteri Komunikasi dan Informatika, Menteri Kesehatan, Kepala BSSN, Kementerian Dalam Negeri, serta PT Telkom Indonesia (Persero) Tbk.
Lewat surat tersebut, IIGF menyatakan telah menemukan lima permasalahan dalam tata kelola aplikasi PeduliLindungi. Satu di antaranya adalah data NIK sudah tersebar di 1.300 instansi di seluruh Indonesia. IIGF meminta Kementerian Kominfo dan Kementerian Dalam Negeri menghapus data residen e-KTP yang telah tersebar tersebut. IIGF menyarankan agar data tersebut dienkripsi lebih dulu, sebelum bisa diakses kembali oleh ribuan instansi tersebut. Saran itu diberikan agar tidak terjadi penyalahgunaan wewenang. “Waktu itu respons Kemenkominfo dan Kemenkes, salah satunya menyatakan bahwa data di PeduliLindungi sudah dienkripsi,” kata anggota Multistakeholder Advisory Group IIGF, Astari Yuniarti.
ROSSENO AJI | TIMOTHY NATHANIEL (MAGANG) | MARIA FRANSISCA LAHUR
- Akses edisi mingguan dari Tahun 1971
- Akses penuh seluruh artikel Tempo+
- Baca dengan lebih sedikit gangguan iklan
- Fitur baca cepat di edisi Mingguan
- Anda Mendukung Independensi Jurnalisme Tempo