Jika komisi/lembaga PDP tersebut tidak segera dibentuk, pelanggaran yang dilakukan tidak akan dapat diberikan sanksi hukuman,Semarang (ANTARA) - Keberadaan lembaga atau komisi perlindungan data pribadi (PDP) sangat urgen guna mempercepat penanganan kasus peretasan di Tanah Air yang kian marak.
Indonesia telah memiliki instrumen hukum penegakan terkait dengan perlindungan data pribadi. Namun, pemberlakuan Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP) masih memberi kesempatan kepada semua pihak untuk menyesuaikan kebijakan internal, termasuk salah satunya adalah merekrut petugas pelindungan data (data protection officer).
Pasal 74 UU PDP menyebutkan pada saat undang-undang ini mulai berlaku, pengendali data pribadi, prosesor data pribadi, dan pihak lain yang terkait dengan pemrosesan data pribadi wajib menyesuaikan dengan ketentuan pemrosesan data pribadi berdasarkan undang-undang ini paling lama 2 tahun sejak undang-undang ini diundangkan (pada tanggal 17 Oktober 2022).
Kendati demikian, kata pakar keamanan siber Dr. Pratama Persadha, pelanggaran terkait dengan perlindungan data pribadi selama masa transisi itu tetap dapat dikenai sanksi karena undang-undang ini mulai berlaku pada tanggal diundangkan (vide Pasal 76).
Khusus untuk sanksi administratif, masih harus menunggu turunan dari UU PDP. Hal ini tentu saja berbeda dengan Undang-Undang Nomor 1 Tahun 2023 tentang Kitab Undang-Undang Hukum Pidana (KUHP). Dalam Pasal 624 KUHP diatur bahwa UU KUHP mulai berlaku setelah 3 tahun terhitung sejak tanggal diundangkan (pada tanggal 2 Januari 2023).
Di dalam UU PDP, kata Pratama yang juga dosen Sekolah Tinggi Ilmu Kepolisian (STIK) PTIK ini, sanksi hukuman tersebut hanya dapat dijatuhkan oleh lembaga atau komisi yang dibentuk oleh pemerintah, dalam hal ini adalah Presiden.
Jika komisi/lembaga PDP tersebut tidak segera dibentuk, pelanggaran yang dilakukan tidak akan dapat diberikan sanksi hukuman.
Pada tanggal 17 Oktober 2024 adalah batas maksimal pemberlakuan UU PDP secara penuh. Namun, seharusnya bisa lebih cepat jika pemerintah sudah membentuk lembaganya serta turunan dari undang-undang tersebut.
Jadi yang perlu secepatnya dilakukan oleh Pemerintah adalah Presiden segera membentuk komisi/lembaga PDP sesuai dengan amanat UU PDP (vide Pasal 58 s.d. Pasal 60). Lembaga pengawas PDP ini berada di bawah Presiden dan bertanggung jawab kepada Presiden.
Sebelumnya, diungkapkan oleh Lembaga Riset Keamanan Siber Communication & Information System Security Research Center (CISSReC) bahwa Biznet, salah satu internet service provider di Indonesia, menjadi korban serangan siber yang diindikasikan sebagai insider threat atau serangan dari dalam pada tanggal 10 Maret 2024.
Menurut peretas, penyebaran beberapa data di dark web (web gelap) ini karena yang bersangkutan tidak setuju dengan kebijakan terkait dengan Fair Usage Policy (FUP) di perusahaan tempatnya bekerja. Biznet telah mengatur FUP dengan membatasi pengguna yang menggunakan data internet lebih dari 1 terabita dalam sebulan.
Peretas juga dengan percaya diri memberikan beberapa petunjuk tentang jati dirinya dan mengancam akan membagikan data Biznet Gio jika Biznet tidak menghapus kebijakan FUP sampai dengan 25 Maret 2024.
Berdasarkan investigasi CISSReC pada laman dark web milik peretas dengan anonim Blucifer tersebut, terdapat lima tabel yang sudah dibagikan, antara lain, tabel customers (berisi 380.863 baris data), addresses (berisi 1.152.028 baris data), contract accounts (berisi 388.785 baris data), contract (berisi 390.921 baris data), serta tabel products (berisi 800.760 baris data).
Pada saat lembaga riset keamanan siber ini mengakses laman dark web, peretas sudah menghapus petunjuk terkait dengan jati dirinya.
Peretas juga memberikan update bahwa ada penambahan 389 data pelanggan yang melakukan pendaftaran pada tanggal 8 dan 9 Maret 2024. Jika dilihat pada isi tabel customer, menurut Pratama, memang pada field created_date tanggal terakhir yang sudah masuk adalah 9 Maret 2024.
Beberapa data pribadi yang ada di beberapa tabel tersebut, antara lain, nama depan, nama belakang, jenis kelamin, tanggal lahir, jenis kartu identitas (NPWP, KTP, KITAS), dan nomor kartu identitas (NPWP, KTP, KITAS).
Selain itu, surel (email), nomor ponsel (HP), nomor telepon, nomor faksimile, akun media sosial, alamat lengkap, bahkan media access control (MAC) address atau alamat kontrol akses media dari perangkat yang dipergunakan oleh pelanggan.
Dalam kasus ini, pakar keamanan siber Pratama sempat mempertanyakan peretas yang "berani" menunjukkan jati dirinya karena kebiasaan hacker selalu menyembunyikan dalam-dalam identitas aslinya.
Meskipun petunjuk tersebut saat ini sudah dihapus, menurut Pratama, akan dapat dengan cepat diketahui sekelompok orang dengan profil seperti petunjuk yang diberikan.
Pemberian petunjuk ini menimbulkan pertanyaan tersendiri apakah memang betul petunjuk tersebut adalah jati diri dari si peretas, atau peretas ingin mengambinghitamkan salah satu pegawai dengan profil tersebut karena alasan tersendiri seperti sakit hati dan lain-lain.
Walaupun peretas mengatakan tidak akan menjual data tersebut, yang bersangkutan membagikan dompet cryptocurrency ETH (mata uang ethereum) miliknya jika ada yang ingin memberikan donasi untuk apresiasi hasil kerjanya melakukan peretasan.
Kasus seperti akan cepat ditangani apabila komisi/lembaga perlindungan data pribadi sudah terbentuk. Dengan pembentukan lembaga atau otoritas tersebut, penegakan hukum serta pemberian sanksi bisa segera diterapkan.
Dengan diterapkan sanksi administratif serta sanksi hukum yang ada di dalam UU PDP, diharapkan pihak-pihak yang terkait dengan data pribadi lebih perhatian pada keamanan data pribadi. Hal ini agar kasus-kasus insiden kebocoran data pribadi dapat diselesaikan dengan baik dan rakyat pun bisa terlindungi.
Editor: Achmad Zaenal M
Copyright © ANTARA 2024
