e-Paper DPR RI

Peretasan tak hanya menyasar data pribadi, tetapi juga data strategis negara. Kebutuhan regulasi untuk melindungi data kian mendesak. Kini, DPR mencari jalan tengah mempercepat pembahasan RUU PDP.

JAKARTA, KOMPAS — Peretasan kini tak hanya menyasar data pribadi warga, tetapi juga mengintai rencana strategi dan kebijakan negara. Bahkan, sasaran peretasan juga mulai mengarah untuk identifikasi data dan perilaku (profiling) pejabat negara.

Masih alotnya pembahasan Rancangan Undang-Undang Perlindungan Data Pribadi (RUU PDP) antara pemerintah dan DPR membuat perlindungan terhadap data strategis negara, termasuk data pribadi warga, ini menjadi sangat lemah. Kedaulatan data menjadi terancam. Hingga Selasa (5/4/2022), belum ada rapat Panitia Kerja RUU PDP di DPR untuk melanjutkan pembahasan RUU tersebut.

Hasil pantauan Badan Siber dan Sandi Negara (BSSN) menemukan ancaman terus-menerus tingkat lanjut (advanced persistent threat/APT) sebanyak 1,6 juta selama 2021. Beberapa aktivitas terindikasi dari sejumlah negara tetangga di Asia Tenggara. Aktivitas mereka kerap kali berkaitan dengan spionase ataupun keuangan.

Sebelumnya, BSSN juga telah melaporkan terjadi peningkatan lalu lintas data anomali di Indonesia sebanyak 1,6 miliar selama 2021, tertinggi selama tiga tahun terakhir. Lalu lintas data anomali ini menjadi indikasi terjadinya peretasan.

Sandiman muda pada Direktorat Operasi Keamanan Siber BSSN, Agung Setiadji, mengatakan, sejumlah aktivitas spionase tersebut sudah di level negara. Mereka biasanya mengintai berbagai macam hal, seperti rencana strategi dan kebijakan negara. Bahkan belakangan juga ditemukan profiling pejabat negara.

”Mereka benar-benar tahu bagaimana cara ngumpet dari semua sistem deteksi yang ada. Ini yang mengakibatkan, tidak hanya menangkap, mendeteksi ketika mereka menyerang saja, kita tidak sadar. Tiba-tiba data kita sudah diretas dan dijual di dark web,” ucap Agung.

Pada pertengahan September 2021, media asing mengabarkan bahwa 10 jaringan internal lembaga, termasuk Badan Intelijen Negara, telah diretas. Peretasan ini dikaitkan dengan Mustang Panda, sekelompok peretas dari China yang dikenal dengan aksi spionase dan menargetkan negara-negara di kawasan Asia Tenggara.

Akhir November 2021, serangan siber bahkan menyasar jaringan internal BSSN dan Kepolisian Negara RI (Polri). Ironisnya, pada peretasan jaringan internal Polri, pelaku menjual data personel Polri lewat media sosial dan situs gratis. Pelaku hingga kini tak kunjung terungkap.

Deputi Bidang Operasi Keamanan Siber dan Sandi BSSN Dominggus Pakel mengatakan, tingginya lalu lintas data anomali menunjukkan meningkatnya eskalasi potensi ancaman pada ruang siber Indonesia. Hal ini membuat tantangan menjaga kedaulatan data semakin berat, baik itu data pribadi, data organisasi atau perusahaan, maupun data negara.

Perlunya regulasi

Terkait dengan kebocoran data pribadi, Pakel mengingatkan pentingnya tanggung jawab pengelola data atau wali data untuk menjamin tak terjadinya kebocoran data. ”Di sini peran regulasi sangat penting untuk mengikat para wali data agar bertanggung jawab penuh atas potensi dampak merugikan dari kebocoran data yang ada,” ucapnya.

Selain regulasi, menurut Pakel, penting juga investasi terhadap sumber daya manusia dan teknologi keamanan siber di setiap organisasi. Hal ini merupakan faktor penentu kualitas postur keamanan siber tiap lembaga. Apabila investasi dilakukan, organisasi akan cenderung matang dalam konteks keamanan sibernya. Jika sudah terbangun kemampuan itu, organisasi tersebut akan memiliki ketangguhan siber (cyber resilience) yang baik.

Direktur Eksekutif Communication & Information System Security Research Center (CISSRec) Pratama Persadha mengatakan, dari sisi penggunaan teknologi, baik perangkat keras (hardware) maupun perangkat lunak (software) dalam negeri masih sangat bergantung pada asing. RUU PDP diharapkan menjadi instrumen untuk melindungi berbagai data, baik yang bersifat terbuka, rahasia, maupun penting, sehingga tak mudah disalahgunakan oleh berbagai pihak. Tanpa hadirnya UU PDP, semua pihak bisa dengan bebas mengolah data tanpa ada aturan yang jelas.

”Yang berbahaya adalah penggunaan data di dalam negeri untuk mendorong kegiatan ekonomi dan politik Indonesia (yang tujuannya) demi kepentingan asing. Sayangnya, negara luput memperhatikan ini,” ujar Pratama.

Hingga kini, pembahasan RUU PDP berjalan alot karena pemerintah dan DPR belum menyepakati lembaga untuk otoritas pengawas perlindungan data pribadi. Pemerintah melalui Kementerian Komunikasi dan Informatika menginginkan agar otoritas itu berada di bawah Kementerian Kominfo. Sementara itu, DPR menginginkan agar otoritas tersebut berdiri independen karena kebocoran data terjadi di sektor swasta dan juga pemerintah.

Jalan tengah

Untuk mencapai titik temu, anggota Komisi I DPR dari Fraksi Golkar, Christina Aryani, mengatakan, Komisi I tengah melakukan simulasi kemungkinan memberikan kewenangan otoritas tersebut kepada BSSN untuk menjalankan fungsi sebagai pengawas perlindungan data pribadi. ”Ke depannya, rencana ini perlu dikomunikasikan ke pemerintah,” katanya.

Namun, ia akui, idealnya otoritas pengawas itu berdiri sebagai lembaga independen dan tidak merangkap tugas lain, seperti pada praktik perlindungan data pribadi di sejumlah negara Uni Eropa. ”Exercise (simulasi) pendayagunaan BSSN lebih pada itikad baik kami di DPR untuk mencari solusi agar RUU PDP bisa diundangkan jika Presiden tidak inginkan pembentukan lembaga baru. Pertimbangan lainnya, ketika terjadi kebocoran data, BSSN juga memberikan keterangan dalam penyelidikan yang dilakukan kepolisian,” katanya.

Anggota Komisi I DPR dari Fraksi Partai Keadilan Sejahtera (PKS), Sukamta, menambahkan, pihaknya pun berharap agar segera ada titik temu dengan pemerintah dalam pembahasan RUU PDP. Sebab, data pribadi warga yang kini jadi sasaran peretasan sebenarnya bagian dari kedaulatan data yang lebih besar, yakni kedaulatan data negara.

”Kami terus mendorong dan berharap agar RUU ini dapat dituntaskan. Kami juga berharap pemerintah mau bergerak sedikit dari pendiriannya mengenai kelembagaan pengawas data pribadi,” ujar Wakil Ketua Fraksi PKS ini.

Direktur Jenderal Aplikasi Informatika Kementerian Kominfo Semuel A Pangerapan mengatakan, soal usulan agar otoritas pengawas perlindungan data diberikan kepada BSSN tentu harus disampaikan dalam rapat panitia kerja resmi yang dihadiri pemerintah dan DPR. ”Baru setelah itu pemerintah dapat menyampaikan argumentasi,” ucapnya.

Berkaitan dengan peretasan, menurut dia, hal tersebut sudah diatur dalam UU Informasi dan Transaksi Elektronik (ITE). Hal itu baru bisa dikenai UU PDP jika peretasan itu berujung pada pencurian data pribadi. ”Jadi, bisa kena (jerat hukum) dobel kalau UU PDP sudah selesai. Kita tak hanya kejar peretasnya, tetapi juga orang yang membeli datanya pun akan kena, apalagi dia menggunakan data itu,” ujar Semuel.