Peretas Masih Berseliweran di Tengah Penundaan Pembahasan RUU Pelindungan Data Pribadi

Semarang, Jawa Tengah - Pembahasan Rancangan Undang-Undang Pelindungan Data Pribadi (RUU PDP) yang sempat tertunda, pada tahun ini akan dibahas kembali setelah rancangan undang-undang ini masuk Program Legislasi Nasional (Prolegnas) RUU Prioritas 2022.

Sebelumnya, pada hari Kamis (8 April 2021), diselenggarakan Rapat Panja Pembahasan RUU PDP Komisi I DPR RI dengan Tim Panja Pemerintah secara fisik dan virtual.

Kesimpulan rapat tersebut, Panja Pembahasan RUU PDP Komisi I DPR RI meminta Pemerintah untuk mengkaji secara komprehensif draf sandingan Pasal 58 dan usulan bab mengenai Otoritas Pelindungan Data Pribadi (OPDP) yang disusun oleh Komisi I DPR RI. (Sumber: Situs web DPR RI)

Draf Pasal 58 RUU PDP terdiri atas tiga ayat, yaitu:
Ayat (1): Pemerintah berperan dalam mewujudkan penyelenggaraan pelindungan data pribadi sesuai dengan ketentuan undang-undang ini.
Ayat (2): Penyelenggaraan pelindungan data pribadi sebagaimana dimaksud pada ayat (1) dilaksanakan oleh Menteri.
Ayat (3): Ketentuan mengenai penyelenggaraan pelindungan data pribadi sebagaimana dimaksud pada ayat (2) diatur dalam peraturan pemerintah.

Panja Pembahasan RUU PDP Komisi I DPR RI meminta Tim Asistensi Komisi I DPR RI dan Tim Pemerintah untuk merumuskan titik temu atas draf usulan Pemerintah dan draf usulan Komisi I DPR RI.

Dalam rapat yang dipimpin Ketua Panja Pembahasan RUU PDP Komisi I DPR RI Dr. H. Abdul Kharis Almasyhari, Panja memandang perlu adanya kejelasan antara kewenangan operator, regulator, dan pengawas.

Usulan bab otoritas pelindungan data pribadi yang disusun oleh Komisi I DPR RI ini perlu dimasukkan dalam draf RUU PDP. Pasalnya, lembaga inilah yang kelak menentukan apakah pengendali data tersebut sudah memenuhi standar sebagaimana amanat UU PDP dalam menjalankan pemrosesan data pribadi atau tidak.

Di sinilah, kata pakar keamanan siber Dr. Pratama Persadha, letak krusial keberadaan Komisi Pelindungan Data Pribadi (PDP) apakah berada di bawah Kementerian Komunikasi dan Informatika (Kominfo) atau menjadi lembaga independen langsung di bawah Presiden.

Hal lain yang patut mendapat perhatian pembentuk undang-undang, dalam hal ini Pemerintah dan DPR RI, adalah frasa "dengan sengaja" pada Bab XIII (ketentuan pidana) pada Pasal 61 sampai dengan Pasal 64. Frasa ini mengandung tafsiran sepanjang tidak melawan hukum atau tidak ada kesengajaan melakukan pembocoran data sebuah organisasi tidak bisa terkena pidana penjara atau pidana denda.

Padahal, menurut Pratama, semangatnya adalah memaksa para pengendali data untuk meningkatkan standar sistem informasinya karena mereka mengelola/memproses data pribadi masyarakat dalam jumlah besar.

Oleh karena itu, Pratama menekankan harus ada pasal minimal denda atau pidana penjara terhadap pengendali data pribadi yang mengalami kebocoran data dengan alasan apa pun, baik karena peretasan, kesalahan sistem, maupun adanya faktor orang dalam.

Data BI Diretas

Awal tahun 2022, bangsa ini disuguhi kebocoran data dari Bank Indonesia. Bahkan, menurut Lembaga Riset Siber Indonesia CISSReC, serangan dari grup ransomware conti ini di-update kembali lewat postingan terbaru di akun Twitter @darktracer_int.

Akun ini, kata Pratama Persadha, menyebutkan bahwa grup ransomware conti ternyata masih mengunggah data internal Bank Indonesia yang mereka curi. Data Bank Indonesia yang sebelumnya 487 megabita. Namun, saat ini bertambah ukurannya yang mencapai 44 gigabita.

Darktracer (sebuah startup di bidang keamanan yang berasal dari Cambridge, Inggris) jugalah yang membuka data adanya peretasan di Pertamina dan EximBank yang juga mulai ramai di awal tahun ini.

Untuk grup ransomware conti sendiri dikenal atas "integritasnya", dalam arti bila mereka bilang berhasil meretas, faktanya memang demikian mereka berhasil masuk ke sebuah sistem, lalu mengambil data atau melakukan kegiatan ilegal lainnya.

Pada kasus Bank Indonesia, serangan ransomware ini berbahaya karena menginfeksi file dan bisa menyebar ke semua server yang terhubung. Jadi, kata Pratama, data lainnya bisa kena juga.

Lembaga keuangan memang banyak menjadi target yang disasar saat ini. Tren serangan ransomware terus meningkat setiap tahunnya mengingat semua sektor terpaksa melakukan digitalisasi lebih cepat, terutama perbankan.

Perbankan dan lembaga keuangan, termasuk BI, akan menjadi sasaran serangan siber yang cukup terbuka pada tahun-tahun mendatang. Oleh karena itu, peningkatan keamanan siber harus dilakukan oleh Negara maupun swasta.

Modus dari serangan tersebut bermacam-macam, kemungkinan karena uang tebusan maupun reputasi kelompok peretas, atau bahkan bisa juga memang dari spionase asing.

Serangan-serangan ransomware (serangan malware yang menggunakan metode enkripsi untuk menyimpan dan menyembunyikan informasi korban sebagai tahanan) yang terjadi saat ini, lanjut Pratama, banyak diindikasikan dilakukan oleh grup hacker asal Rusia.

Risiko yang diakibatkan oleh serangan ransomware ini, salah satunya adalah akan banyak file yang disandera dan dienkripsi. Korban mau tidak mau harus membayarnya untuk mendapatkan kunci pembuka.

Sistem Dirusak

Kalau korban tidak membayar uang tebusan, data dan sistemnya akan dirusak. Begitu sistem tidak bisa berjalan, layanan organisasi tersebut akan berhenti.

Karena data file mahal dan penting, pihak lembaga mau tidak mau membayar tebusan jika terkena serangan ransomware. Hal ini sama halnya seperti serangan ransomware ke perusahaan pipa minyak Amerika di awal Mei 2021 yang merupakan salah satu serangan siber paling masif pada tahun lalu.

Colonial Pipeline, operator jaringan BBM terbesar Amerika Serikat, terpaksa membayar uang tebusan lima juta dolar AS setelah terkena serangan siber ransomware, termasuk mencuri hampir 100 gigabita data. Pelaku mengancam akan merilisnya ke internet, kecuali korban membayar uang tebusan.

Dari serangan itu memicu krisis energi sementara, juga perusahaan menghentikan operasi pipa selama beberapa saat. Dengan terpaksa, perusahaan tersebut memilih membayar Rp500 miliar supaya peretas bisa mengembalikan file dan sistem, kemudian layanan BBM di Amerika Serikat bisa berjalan lancar kembali.

Peristiwa kebocoran data akibat peretasan ini akan berulang di situs pemerintah maupun situs besar lainnya di Indonesia. Salah satu penyebab utamanya, yaitu lebih ke arah belum besarnya political will dalam membangun fondasi siber.

Semua itu harus datang dari negara, seperti undang-undang serta kerja sama antarlembaga dan antarnegara. Intinya para pengambil kebijakan masih sangat awam terkait dengan keamanan dan pertahanan siber.

Saat ini, menurut Pratama, Pemerintah masih melakukan banyak kesalahan yang sama dan berulang karena memang belum terinternalisasinya budaya keamanan siber di Tanah Air.

Dengan banyaknya kasus peretasan yang terjadi di Tanah Air, ini akan sangat berbahaya sekali karena Indonesia sudah masuk tahap red alert terhadap serangan siber.

Jika dilihat negara lain yang terkena serangan peretasan rata-rata sekitar sekali dalam 1 caturwulan, di Indonesia dalam sebulan bisa berkali-kali kejadian.

Solusinya adalah dengan menyelesaikan RUU PDP dengan segera. Dengan demikian, ada paksaan atau amanat dari UU PDP untuk memaksa semua lembaga negara melakukan perbaikan infrastruktur teknologi informasi (TI), sumber daya manusia (SDM), bahkan adopsi regulasi yang pro pengamanan siber.

Oleh sebab itu, kasus peretasan yang masih terjadi di Tanah Air ini seyogianya mendorong Pemerintah dan DPR RI untuk segera membahas kembali RUU PDP guna meminimalkan kasus peretasan di Tanah Air. Tanpa UU PDP maka kejadian peretasan seperti situs pemerintah akan berulang. (ant)