Tiga Masalah Keamanan Siber Ini Mendesak Pemerintah Segera Sahkan UU PDP

Pratama Dahlian Persadha Chairman Communication and Information System Security Research Center (CISSReC) menyoroti maraknya kebocoran data pribadi beberapa waktu terakhir.

Menurutnya, keamanan data siber di Indonesia sangat mengkhawatirkan. Setelah masyarakat berbondong-bondong meng-uninstal aplikasi eHAC, bukan tidak mungkin berikutnya PeduliLindungi.

“Dari awal Peduli Lindungi didesain untuk banyak di-download dan sudah membuat banyak orang kesal mulai dari tidak connect, error dan lainnya. Perlu diperbaiki sistemnya. Aplikasi eHAC ditutup, Peduli Lindungi bisa jadi target berikutnya. Makanya perlu diamankan,” Pratama kepada Radio Suara Surabaya, Senin (6/9/2021).

Ia menyebut ada tiga hal yang harus diutamakan dalam sistem keamanan siber di Indonesia.

Pertama, tingkat keamanan teknologi. Teknologi ini termasuk komputer, server, jaringan, perangkat pertahanan seperti Firewall, Anti Malware dan lainnya.

“Kadang-kadang di Indonesia ini membeli sistem yang hebat, mahal, kelihatan enterprise, ternyata security-nya tidak diperhatikan. Jadi gampang sekali jebol,” katanya.

Ia mencontohkan kasus peretasan situs Komisi Pemilihan Umum (KPU) yang kerap terjadi saat pemilihan umum (Pemilu). Hal ini menunjukkan rentannya security cyber yang menyasar situs-situs pemerintahan.

Kedua, upgrade sumber daya manusia (SDM). Menurut Pratama, keterbatasan SDM menjadi kendala lemahnya keamanan siber di Indonesia karena kurangnya perhatian. Padahal, SDM berpotensi menjadi sumber kelemahan dari kinerja sistem yang dimiliki.

Ia melihat, perusahaan atau lembaga pemerintahan kerap sekali enggan untuk melakukan upgrade SDM mereka. Perusahaan atau lembaga bersedia menggelontorkan uang untuk sistem komputer canggih, namun enggan melakukan security upgrade.

“Banyak perusahan menganggap firewall Rp5 miliar dianggap enteng saja. Tapi diminta upgarade SDM untuk sertifikasi keamanan siber, Rp14 juta saja dianggap mahal sekali. Padahal ilmu kemanan siber selalu berkembang,” tambahnya.

SDM yang kurang ahli, lanjutnya, tidak akan mampu mendeteksi kapan sebuah situs diretas. Sementara, tidak semua kasus peretasan meninggalkan jejak digital yang jelas.

Aktivitas ini seringkali tidak akan menampilkan perubahan tampilan situs seperti kasus peretasan pada umumnya. Sehingga, operator seringkali tidak mengetahui bahwa data mereka sedang diretas dan menganggapnya baik-baik saja.

“Hacker yang serius akan masuk ke sistem secara diam-diam. Begitu masuk mereka akan memasang backdoor, biasanya kalau hacker akan pasang exploit dan akan mengeksplorasi server. Mulai dari pencurian data, merubah hingga memodifikasi data, lalu keluar secara diam-diam,” paparnya.

Pratama mengingatkan bahwa tidak semua hasil pencurian data disebarkan ke internet. Beberapa hacker mencuri data dan bekerja untuk sebuah lembaga/organisasi untuk kepentingan mereka sendiri. Sehingga, aktivitas hacking terkadang sulit terdeteksi.

“Tidak semua hacking disebar di internet. Apalagi misal sponsornya state maupun non state. Biasanya tidak akan disebar karena mereka (hacker) sudah mendapat bayaran tinggi,” ungkapnya.

Adapun yang ketiga, yakni faktor tata kelola dan kebijakan dalam lembaga tersebut.

Pratama menyebut, terkadang kebocoran data itu terjadi karena perusahaan kurang aware dalam pengetahuan sistem keamanan siber.

Sehingga tidak ada aturan atau kebijakan yang ketat untuk mencegah adanya kebocoran data.

Sementara, hacker tidak hanya melakukan peretasan secara online, tetapi juga bisa melalui social engineering atau rekayasa sosial.

Pratama mencontohkan, seorang hacker bisa saja masuk ke dalam sebuah kantor yang menjadi target sasaran, dengan membawa flashdisk yang sudah diisi malware yang sudah siap diinjeksi.

Ia lalu berpura-pura menjatuhkannya hingga flashdisk tersebut dipungut oleh salah satu karyawan lalu dibuka menggunakan komputer kantor.

“Kalau flashdisk itu dicolokkan ke komputer kantor, habis semua karena otomatis terinjeksi. Apalagi saat komputer itu terhubung dengan sistem internal, satu kantor bisa terinfeksi dan di-take over,” jelasnya.

Untuk itu, ia mendesak agar Rancangan Undang-Undang tentang Pelindungan Data Pribadi (RUU PDP) segera dapat disahkan.

Beberapa kasus kebocoran yang terjadi di situs pemerintahan membuat Pratama berpandangan bahwa undang-undang tersebut nantinya lebih baik diawasi langsung oleh Presiden.

“Pelanggar data pribadi bukan hanya swasta, tapi bisa juga di pemerintah. Imigrasi, Kominfo, Kemenkes. Kalau undang-undang dibawah Kominfo, bagaimana nanti penegakan hukumnya kalau yang melanggar mereka sendiri?,” tanyanya.

Ia juga mendorong adanya hukuman minimal denda, sebagai bentuk tanggung jawab pemilik platform atas kasus kebocoran data dan kelalaian yang menimbulkan kerugian terhadap pengguna.

“Kalau ada undang-undang ini, mereka dipaksa mengamankan data dan sistemnya. Di Eropa setiap ada satu data warganya bocor, mereka bisa kena denda satu juta (euro). Indonesia harus kayak gitu. Jangan yang membocorkan malah play victim. Harus ada tanggung-jawabnya,” ujarnya.

Seperti diketahui, beberapa waktu belakangan kasus dugaan kebocoran data pribadi mengusik masyarakat. Terutama warganet.

Mulai dari kasus kebocoran data penduduk KPU, Tokopedia, BPJS Kesehatan, BRI Life, hingga eHAC. Sampai bocornya data pribadi presiden berupa Nomor Induk Kependudukan yang beredar di medsos.(tin/den)