MAYORITAS.COM – Pelanggaran data massal yang sering terjadi di Indonesia disebabkan kurangnya sanksi tegas terhadap lembaga publik/pemerintah, rendahnya kesadaran dan prioritas, serta lemahnya infrastruktur keamanan siber.
Berdasarkan data Databoks, sebagian besar insiden pelanggaran data terjadi di sektor publik/pemerintah, dengan 69% atau 71 insiden terjadi pada tahun 2023. Dalam kejadian terbaru, 4,7 juta data Aparatur Sipil Negara (ASN) bocor dari Badan Kepegawaian Negara (BKN) dan dijual di forum pembobolan.
Faktanya, tidak ada sistem TI yang kebal dari risiko pembobolan data dan serangan siber, kata Muhammad Nidal, peneliti Center for Indonesian Policy Studies (CIPS), dalam keterangan tertulisnya.
“Namun, dalam konteks Indonesia, tingginya frekuensi pelanggaran data, terutama di lembaga pemerintah, setidaknya disebabkan oleh tiga hal: lemahnya infrastruktur siber, diberlakukannya peraturan perlindungan data pribadi (PDP); kalangan pemilik data dan pakar siber,” lanjutnya.
Menurut dia, upaya pemerintah selama ini masih pada tingkat hulu, yakni pada tingkat pencegahan dan pengembangan kebijakan. Beberapa arahan terkait antara lain Keputusan Presiden (Perpres) Nomor 82 Tahun 2022 tentang Perlindungan Infrastruktur Informasi Penting, Strategi Nasional Keamanan Siber (SKSN), dan Keputusan Presiden Nomor 47 Tahun 2023 tentang Penanggulangan Krisis Siber.
Selain itu, UU Nomor 1 Tahun 2024 tentang Informasi dan Transaksi Elektronik, UU Nomor 27 Tahun 2022 tentang PDP, PP Nomor 71 Tahun 2019 tentang Sistem dan Transaksi Elektronik pada tingkat sektoral lainnya serta implementasi kebijakannya.
Sayangnya, implementasi di lapangan masih terhambat oleh kurangnya respons dan akuntabilitas yang cepat dan efektif ketika pelanggaran data terjadi di infrastruktur penting, kata Nidal. Secara terpisah, dalam konteks ketahanan siber nasional, ia berpendapat diperlukan investasi besar untuk meningkatkan keterampilan para ahli siber nasional, khususnya di instansi pemerintah seperti Kementerian Komunikasi dan Informatika dan Badan Siber Nasional (BSSN)
“Selanjutnya, mekanisme penyelesaian yang terstandarisasi antar kementerian/lembaga perlu ditetapkan dan/atau diperbarui, dan otoritas antarlembaga, termasuk tingkat koordinasi antarlembaga, sehingga masyarakat tahu ke mana harus melaporkan hal ini,” kata Nidal.
Badan PDP Meski Undang-Undang Perlindungan Data Pribadi (PDP) sudah disahkan, namun teknis pelaksanaan implementasi penuh seluruh ketentuan undang-undang tersebut harus menunggu hingga Oktober tahun ini, jika tidak semua peraturan turunannya akan diterbitkan, ujarnya.
Saat ini, belum ada badan PDP yang dibentuk untuk menegakkan sanksi PDP. “Mengingat tingginya angka kejadian pembobolan data dan untuk menjaga kepercayaan masyarakat terdampak, maka pembentukan lembaga PDP harus menjadi prioritas,” ujarnya.
Terkait aturan sanksi turunan Peraturan PDP, masih dilakukan pembahasan di tingkat regulator (Kemenkominfo) mengenai bentuk sanksi yang tepat bagi penyelenggara sistem elektronik publik jika terjadi pelanggaran. Pasal 12 UU PDP mengatur bahwa individu yang memiliki data pribadi berhak menuntut dan menerima ganti rugi atas pelanggaran data pribadinya.
Namun belum ditentukan siapa saja yang bisa mengajukan klaim, dan mekanisme spesifiknya masih menunggu aturan PP yang dihasilkan. Badan PDP yang nantinya akan dibentuk akan membantu memberikan jalur pengaduan dan bantuan bagi mereka yang ingin mengajukan gugatan.
“Lembaga pemerintah mungkin merasa mereka tidak memiliki kewajiban hukum untuk mengambil tindakan pencegahan yang lebih serius, bahkan ketika tidak ada konsekuensi pidana atau perdata yang signifikan,” katanya.
“Paradigma ini perlu diubah, dan masyarakat sipil perlu meminta pertanggungjawaban pemerintah atas pelanggaran data yang terjadi di lembaga pemerintah,” kata Nidal.
Sebelumnya, Wakil Menteri Komunikasi dan Informatika (Wamenkominfo) Nezar Patria mengatakan, aturan mengenai lembaga tersebut sedang dikembangkan. “Itu sedang kita bahas dan masih kita bahas PPnya.
Tinggal persoalannya apakah dia akan melapor ke Cominfo atau langsung ke lembaga ini Pak Presiden,” ujarnya, Agustus lalu, di Jakarta .
Direktur Aplikasi Informatika Kominfo Hokki Situnkil mengatakan, lembaga PDP setidaknya tunduk pada dua peraturan, yaitu peraturan pemerintah dan peraturan presiden.
“Oktober adalah batas waktu dan perintah eksekutif dapat diserahkan kepada partai.” Keduanya akan dilaksanakan secara paralel dan akan ada otoritas pelindung sesuai dengan kewajiban hukum, ujarnya di Jakarta, Jumat, 9 Agustus.
