Konon katanya, 279 juta data penduduk Indonesia bocor (lagi). Kali ini, sumber data pribadi bocor itu berasal dari BPJS Kesehatan. Dugaan waktu itu, Mei 2021, kebocoran terungkap di Raid Forums, sebuah forum terbuka mirip Kaskus yang penggunanya hobi berbagi/bertransaksi basis data dari berbagai sumber.
Mendengar kabar kebocoran, Kominfo bergegas mengambil sikap. Sebagaimana biasa, kementerian—yang seharusnya—paling melek teknologi itu lantas bertindak: Blokir!
Bertambahlah ‘portofolio’ website blokiran Kominfo. Mulai dari yang mengandung pornografi, website perjudian duniawi, film bajakan kecintaan sejuta umat, dan tentu Raid Forums, tempat data pribadi penduduk milik BPJS—yang entah bagaimana sistem keamanannya—mengalami kebocoran dan telah diperjualbelikan.
Kominfo betul-betul tegas dalam bertindak jika masalahnya sudah menyangkut pemblokiran website. Total blokiran Kominfo sejak tahun 2012, sudah mencapai 1,5 juta. Dugaan umumnya adalah situs tersebut berkonten negatif. Dominannya situs berbau pornografi.
Persoalannya, apa tidak ada cara lain yang dapat dilakukan Kominfo selain blokir-memblokir? Sepertinya memang begitu. Bagi Kominfo, apapun masalahnya, blokir solusinya.
Memblokir situs berbau pornografi, penjudian, dan konten hoaks, sekalipun tetap dapat diakses hanya dengan mengikuti tutorial yang beredar di internet, barangkali masih bisa disebut solusi: mengurangi jumlah kunjungan ke website tersebut.
Lha, kalau masalah utamanya kebocoran data pribadi? Apakah memblokir website benar-benar bisa menjadi solusi? Memblokir Raid Forums tidak semerta-merta membuat data penduduk selamat, bukan? Memblokir Raid Forums juga tidak membuat sistem keamanan BPJS membaik dan imun terhadap berbagai upaya pembocoran, tho?
Bayangkan, data pribadi bocor. Data-data tersebut yang berisi informasi penting tentang penduduk itu diumbar oleh pihak yang tak bertanggungjawab, loh! Bukannya membuat peraturan tentang perlindungan data pribadi agar ada jaminan hukum terhadap data pribadi kita, atau mengevaluasi diri dan memperkuat sistem keamanan biar website pemerintah tidak gampang dibobol, solusi yang diberikan justru memblokir.
Jika saya diminta bersikap, saya sendiri bingung harus berdecak kagum, kaget, heran, atau bangga atas pemblokiran Raid Forums.
Persoalannya, saya tidak yakin bahwa upaya pemblokiran adalah langkah efektif. Jangankan persoalan data privasi, pemblokiran situs porno saja justru mengundang tanda tanya. “Apakah Kominfo tidak tahu, atau memang pura-pura tidak tahu, bahwa memblokir situs adalah upaya yang sia-sia lantaran saat ini terdapat teknologi bernama VPN?”
Saya sempat berpikir positif kalau Kominfo ‘cuma lupa’ akan keberadaan teknologi canggih VPN yang dapat ‘mengecoh’ sistem pemblokiran milik Kominfo. Akan tetapi, kalau dipikir-pikir, tidak selamanya berpikir positif itu baik. Apalagi sudah menyangkut data pribadi yang tersandera oleh seorang ahli IT yang tentunya lebih cerdas daripada arsitek keamanan siber-nya situs BPJS.
Menurut saya, masih ada langkah yang lebih efektif untuk menangani berbagai masalah siber, khususnya yang bersangkut-paut dengan data privasi, yakni upaya pencegahan. Dengan maksud membuat tulisan ini terlihat panjang, saya akan sertakan saran berupa bentuk upaya pencegahan yang barangkali, dapat dilakukan oleh Kominfo.
Urgensi ‘Mengencangkan’ Sosialisasi tentang Pentingnya Data Pribadi Data Pribadi Bocor
Data pribadi layaknya sebuah harta karun. Bila tidak dijaga dengan baik, harta karun bisa jadi rebutan orang-orang yang ‘haus’ kekayaan. Ini eranya data yang mahakuasa. Maka bersiaplah dengan konsekuensi jikalau suatu hari data pribadi kita bakal dicuri dan disalahgunakan oleh pihak-pihak tak bertanggungjawab.
Data pribadi ini berupa NIK (Nomor Induk Kependudukan), alamat telepon, alamat rumah, alamat email, nomor kartu kredit, bahkan kata sandi. Jika tak terjaga dengan baik dan sampai lepas ke tangan-tangan lihai tapi nakal, berpotensi disalahgunakan untuk keperluan yang tidak-tidak.
Akun media sosial, misalnya, jika bocor dan diambil alih, sangat berisiko digunakan sebagai akun untuk melakukan penipuan atau iklan bertarget. Nomor ponsel, dapat diam-diam digunakan mendaftar pinjaman online. Kartu kredit, jika punya dan bocor, sangat memungkinkan dipakai untuk bertransaksi barang ilegal, yang sudah membuat rugi, membuat kita memiliki catatan kriminal pula.
Tidak perlu bicara jauh-jauh mengenai NIK dan kartu kredit. Tanpa sadar sekalipun, setiap kita menggunakan internet, Google—melalui platform emailnya sebagai episentrum data personal—mampu, dan umumnya sudah, merekam berbagai aktivitas daring para penggunanya. Mulai aktivitas di ponsel dan browser, minat pengguna, lokasi dan riwayat berpergian, aktivitas belanja, jaring pertemanan di media sosial, sampai foto-foto dari kamera ponsel pengguna, tersimpan rapi dalam database Google.
Sekali saja data pribadi bocor, berapa banyak risiko yang ditanggung pengguna?
Sayangnya, kesadaran masyarakat tentang privasi data, saya rasa, masih kurang. Tak jarang saya temui masyarakat yang secara polosnya memberikan data pribadi mereka secara cuma-cuma kepada pihak tak bertanggung jawab. Disinilah peran Kominfo dinanti-nanti.
Menurut saya, kondisi ini disebabkan lantaran ketidaktahuan sebagian masyarakat akan betapa pentingnya menjaga privasi data. Untuk itu, Kominfo perlu gencar mensosialisasikan hal ini ke masyarakat.
Hal ini bisa dilakukan dengan cara terjun langsung ke masyarakat dan memberi penjelasan yang mudah dipahami kepada mereka mengenai risiko berselancar di dunia maya. Bisa juga dengan mengadakan seminar/webinar terbuka dan gratis. Atau, sekadar membuat iklan layanan masyarakat di media sosial pun pasti ada manfaatnya.
Barangkali Kominfo sudah melakukannya, hanya saja saya yang kurang banyak mencari atau memang tidak tahu. Namun, lantaran tak mengetahuinya, maka cukup lah bagi saya untuk mengatakan bahwa sosialisasi Kominfo mengenai perlindungan data pribadi belum begitu gencar.
RUU Perlindungan Data Pribadi (PDP) Apa Kabar, Ka?
Namun, teknologi digital terus berkembang dan penggunaan data pribadi semakin masif. Negara-negara Uni Eropa sadar betul akan hal ini, sehingga kesadarannya pun sudah terimplementasi melalui General Data Protection Regulation (GDPR).
Regulasi yang sudah berlaku sejak 2016 ini sangat melindungi data pribadi warga Uni Eropa. Selain menjamin kepastian hukum, aturan ini juga mengatur bagaimana cara pengumpulan, penyimpanan, dan pengolahan data pribadi oleh para pelaku digital. Aturan ini juga memberikan hukuman bagi pelanggar GDRP, misalnya memberi denda sebesar 20 juta euro bagi para pelanggar.
Di Indonesia, dasar hukum dalam perlindungan data pribadi sebenarnya telah diatur dalam Pasal 28G ayat (1) UUD 1945. Sayangnya, belum termanifestasi ke dalam regulasi khusus yang relevan dengan masifnya penggunaan internet seperti saat ini. Padahal, rancangan undang-undangnya telah tersedia (RUU PDP) sejak 2019 dan tinggal menunggu disahkan. Namun, sebagaimana undang-undang anak tiri lain, tidak ada kabar lanjutan mengenai pembahasannya.
Dengan berbagai kompleksitasnya, Kominfo tentu punya hak mendesak DPR agar segera merampungkannya. Tapi, selama isu perlindungan data pribadi masih dianggap sepele oleh legislator di senayan, desakan bisa jadi upaya yang percuma.
Mungkin, kita memang perlu menunggu sampai perlindungan data pribadi punya celah untuk dimonetisasi. Oops!
Meningkatkan Sistem Keamanan Website-Website Pemerintahan
Lupakan alasan kenapa DPR seolah-olah tidak niat buat melanjutkan pembahasan RUU PDP. Kembali pada eksekusi sistemkeamanan pada platform digital milik pemerintah.
Bocornya data BPJS, yang sampai sekarang belum diketahui alasan utamanya apakah diretas atau kelalaian petugas, serta diretasnya tampilan website Sekretariat Kabinet (Setkab) oleh anak bangsa berusia belasan tahun, memberikan saya cukup alasan untuk merasa bahwa situs milik pemerintah ini begitu rentan ‘dijebol’.
Lagipula, apa iya pemerintah tidak memiliki ahli IT yang siap meningkatkan kualitas pertahanan situs milik pemerintah? Beruntung hanya tampilan saja yang disasar, bukan basis data. Kalau basis data pribadi bocor, jelas bakal geger gedhen.
Oleh karena itu, jika diperkenankan, bolehlah saya untuk menyarankan agar Kominfo, daripada sibuk blokir website orang, lebih baik fokus untuk meningkatkan sistem keamanan website-websitenya terlebih dahulu. Bekerja sama dengan Badan Siber dan Sandi Negara (BSSN) atau polisi siber barangkali bisa jadi opsi yang baik.
Atau, rekrut saja remaja jenius usia belasan yang berhasil men-deface website resmi milik pemerintah. Mereka masih usia belasan lho, daripada dihukum dan malah bertemu sindikat kriminal lainnya, mending rekrut dan dibeasiswakan sebagai bentuk pengabdian negara, bukan?