Jakarta -- Kebocoran data pribadi masyarakat Indonesia terjadi dengan masif dalam dua tahun terakhir. Data yang bocor ke tangan peretas jumlahnya juga terbilang fantastis. Pada 2019 misalnya, 91 juta data pelanggan Tokopedia bocor dan dijual di RaidForums. Tahun ini, seorang peretas mengaku memiliki 279 juta data penduduk Indonesia. Hasil investigasi awal terdapat 100.002 data peserta BPJS Kesehatan. Kebocoran data pribadi itu membuktikan bahwa data pribadi yang rentan bukan hanya data yang dikelola swasta. Chairman CISReC Pratama Persadha menilai perlindungan pada data pribadi masyarakat di tanah air sangat rendah. Salah satu faktornya adalah Undang-Undang Perlindungan Data Pribadi yang belum rampung. Dia berkata UU itu sangat krusial meski perlu dilihat apakah isinya cukup kuat untuk melindungi masyarakat setelah rampung. "Karena itu kita lihat banyak peristiwa kebocoran data pribadi namun tidak jelas apa bentuk pertanggungjawaban secara Hukum dan juga langkah-langkah teknis dari negara maupun swasta." ujar Pratama kepada CNNIndonesia.com, Senin (31/5). Pratama menuturkan kebocoran data pribadi masyarakat akan terus berulang karena tidak adanya UU yang memaksa lembaga negara dan swasta selaku pengendali data pribadi untuk meningkatkan kualitas sistem informasi, SDM, dan teknologi. Sepanjang tahun 2020 dan awal 2021 misalnya, dia menemukan sudah banyak peristiwa kebocoran akibat peretasan. Tak hanya lembaga negara yang disasar, beberapa perusahaan teknologi yang seharusnya menjadi contoh juga tak ketinggalan menjadi target. "Dalam kebocoran data Tokopedia misalnya, diketahui 91 juta data user yang bocor ternyata tidak dienkripsi, praktis hanya password saja yang diacak. Ini jelas berbahaya dan data yang diunduh bebas di internet saat ini akan menjadi bahan baku penipuan dan menarget masyarakat," ujarnya. Pratama menyampaikan tidak ada sistem informasi maupun teknologi yang 100 persen aman dari peretasan. Kondisi itulah yang seharusnya mendorong pemerintah membuat regulasi yang memaksa pengendali data pribadi ini untuk membangun sistem informasi terbaik. Pengendali data pribadi, kata dia harus dipaksa membangun sistem informasi terbaik. Jika tidak, mereka akan menghadapi denda besar atau hukuman besar lain yang mengancam di depan. "Ini sangat penting dalam membangun ekosistem siber yang aman dan sehat. Dengan ekosistem siber yang aman maka investor akan sangat percaya pada Indonesia dan juga secara otomatis akan meningkatkan keamanan pertahanan siber secara nasional," ujar Pratama. Pakar keamanan siber dari Vaksin.com, Alfons Tanujaya mengatakan keamanan data pribadi masyarakat Indonesia khususnya yang berhubungan dengan data kependudukan cukup memprihatinkan. Menurutnya banyak hal yang harus diperbaiki dari sisi pengelola data, khususnya institusi yang mengelola data, baik data aplikasi, data pelanggan, atau data kependudukan. "Kita sudah berulang mengalami hal ini dan jika tidak ada perubahan terhadap mindset dan pembelajaran pengelolaan data yang baik, maka hal ini tentu akan terulang lagi," ujar Alfons. Pratama menilai pemerintah belum bertanggungjawab terhadap keamanan data pribadi masyarakat. Salah satu bukti dari kondisi itu adalah dari belum adanya regulasi yang melindungi data pribadi secara kuat. Akibatnya, dia menyebut banyak terjadi kebocoran data baik di lembaga negara maupun swasta. Kemudian, tidak ada yang bertanggungjawab, tidak ada evaluasi, dan tidak ada ganti rugi bagi masyarakat. Dia mengingatkan kondisi tersebut tidak sehat, terlebih bagi investor yang hendak berinvestasi di Indonesia. "Mereka akan melihat bagaimana perlindungan negara pada data penduduknya," ujar Pratama. Belum idealnya pemerintah dalam melindungi data masyarakat juga menjadikan peringkat Indonesia rendah di NCSI (National Cyber Security Index) yang dibuat oleh Estonia. Saat ini, Indonesia ada diperingkat 72, salah satu yang menyebabkan peringkat serendah itu adalah ketiadaan regulasi tentang perlindungan data pribadi dan regulasi penguatan pertahanan siber nasional. "Jadi sudah semestinya UU PDP dan UU Ketahanan dan Keamanan Siber (KKS) segera digarap dan segera diselesaikan dengan isi yang komprehensif," ujarnya. Pratama menambahkan perlunya regulasi khusus yang membahas tentang kelalaian pengendali data pribadi. Dalam General Data Protection Regulation (GDPR) milik Uni Eropa, para pengendali data pribadi didorong mengamankan data dengan ancaman sampai 25 juta euro atau sekitar Rp435,4 miliar (kurs Rp17.417) bila terbukti lalai tidak mengaplikasikan teknologi dan SDM sesuai GDPR, serta aturan turunannya. "Di draft RUU PDP ini sejauh ini belum ada. Yang banyak diatur dengan pidana dan denda adalah tindakan melawan hukum, seperti pencurian data, pemalsuan data dan tindakan melawan hukum lainnya, yang itu jelas sudah pasti pidana," ujar Pratama. Kemudian, dia melihat tidak ada pasal yang mendorong standarisasi keamanan seperti apa yang harus diimplementasikan oleh pengendali data pribadi. Hal itu berbahaya karena pada akhirnya lembaga negara maupun swasta yang bertindak sebagai pengendali data pribadi tidak ada kewajiban untuk membangun sistem informasi terbaik dan pada akhirnya data pribadi masyarakat menjadi sangat rentan terhadap berbagai ancaman. Dijelaskan Pratama, menjadi sangat aneh bila RUU PDP malah tidak menjawab ancaman terbesar dari era digital yaitu peretasan. Bila hal itu diteruskan dia mengingatkan berbagai peretasan yang terjadi akan sangat sulit untuk dikurangi. "Karena seluruh lembaga negara dan swasta tidak punya kewajiban membangun sistem informasi terbaik dan mereka ini tidak bisa dihukum bila terbukti lalai, bahkan terbukti tidak mau melindungi data pribadi masyarakat yang mereka kelola," ujarnya. Alfons menyebut peran pemerintah sebenarnya masih bisa ditingkatkan. Misalnya dengan memiliki sikap yang baik dalam mengelola data dan bagaimana menyikapi terjadi kebocoran data. "Jangan kalau data bocor malah bersifat defensif atau berusaha menutup-nutupi, harusnya belajar dari apa yang terjadi dan bagaimana hal ini dicegah supaya tidak terulang lagi," ujar Alfons. Lebih dari itu, dia juga meminta pengelola data harus bertanggung jawab atas data yang dikelolanya. Soal jenis sanksi, dia menyerahkan kepada pihak yang berwenang. "Apakah sanksi finansial atau sanksi pidana jika ada unsur pidana," tutup Alfons. Sumber : cnnindonesia.com