Oleh :
Muhammad Yusuf
Dosen PPKn Universitas Muhammadiyah Malang
Kabar kebocoran data kembali terjadi. Kali ini kasus kebocoran data terbaru menyangkut informasi pribadi milik aparatur sipil negara (ASN) yang dijual seharga US$10 ribu atau Rp 160 juta di kanal jual beli hasil retas, BreachForums. Sontak, realitas tersebut pun kini menyita perhatian publik. Pertanyaannya, adalah kenapa kebocoran data di negeri ini terus berulang?. Padahal secara regulatif melalui peraturan dan Undang-Undang pemerintah sendiri memiliki Undang-Undang Nomor 27 Tahun 2022 sebagai Undang-Undang Perlindungan Data Pribadi (UU PDP) yang dihadirkan guna mengatur perlindungan data pribadi di Indonesia dan sekaligus menjadi dasar hukum untuk mengatasi masalah terkait privasi dan keamanan data di era digital.
Namun sayangnya regulasi tersebut seolah bagaikan macan ompong yang secara ilustratif seolah pemerintah kurang mampu membendung potensi terjadinya kebocoran data yang terbukti selalu berulang terjadi di negeri ini. Nah, melalui rubrik opini di harian inilah penulis mencoba menelesik akar sebabnya dan sekaligus ingin berkontribusi untuk memberikan alternantif solusi agar kebocoran data tidak terus terjadi berulang di negeri ini.
Kebocoran data berulang
Terus berulangnya kasus kebocoran data di negeri ini sejatinya sebuah potret dari minimnya kepatuhan pemerintah terhadap UU PDP. Terbaru atas terjadinya kebocoran data besar-besaran yang melibatkan 4,7 juta data Aparatur Sipil Negara (ASN) di Indonesia. Data tersebut diduga diambil dari Badan Kepegawaian Negara (BKN) dan dijual di forum dark web seharga sekitar Rp 160 juta. Tampak dalam unggahan, data BKN yang bocor mencakup informasi pribadi dari 4.759.218 pegawai negeri sipil (PNS) dan pegawai pemerintah dengan perjanjian kerja (PPPK) di seluruh provinsi,(Kompas,13/8/2024).
Sungguh, sebuah fakta kasus serupa yang semakin menjemukan bahkan membosankan yang terus berulang terjadi. Dugaan kebocoran data ASN sebelumnya berdengung dari lembaga riset siber Indonesia, Communication and Information System Security Research Center (CISSReC) di media sosial. Saat itu lembaga tersebut menyebut peretas anonim, TopiAx, yang telah menawarkan data sebanyak 4.759.218 baris yang diklaim sebagai data BKN. Peretas menjajakan data itu BreachForums, detailnya terjadi pada 10 Agustus 2024.
Data yang tereras diantaranya telah berisi antara lain tempat lahir, tanggal lahir, gelar, tanggal Calon Pegawai Negeri Sipil (SK CPNS), tanggal PNS, Nomor Induk Pegawai Negeri Sipil (NIP), Nomor Surat Keputusan, Nomor Surat PNS, golongan, jabatan, instansi, alamat, nomor identitas, nomor telepon, email, pendidikan, jurusan, dan tahun lulus. Selain data tersebut, masih banyak lagi data lainya yang teretas. Namun, yang jelas dugaan kebocoran 4,7 juta data PNS ini mengkhawatirkan karena bisa dimanfaatan untuk tujuan jahat di ranah digital. Yang lebih parah, kebocoran data masih berulang sekalipun Pemerintah Indonesia sudah menjanjikan evaluasi.
Melalui kasus peretasan kebocoran data yang terus berulang itu seolah tersimpulkan bahwa pemerintah seperti tidak pernah belajar dari berbagai insiden yang terjadi sebelumnya. Ambil contoh lain, saat Pusat Data Nasional Sementara (PNDS) diretas pada 20 Juni 2024. Dari kasus tersebut mestinya pemerintah dapat mengambil pelajaran untuk memperkuat sistem keamanan data siber guna melindungi kerahasiaan data publik. Bahkan setiap kali terjadi insiden, pemerintah tidak pernah memberikan notifikasi kepada subjek data maupun publik secara luas.
Padahal, keterbukaan informasi yang menyangkut keamanan data publik, pelayanan publik oleh pemerintah telah diatur dalam ketentuan Pasal 46 Undang-Undang PDP. Sehingga, rentetan kasus ihwal keamanan siber ini, seolah justru memperlihatkan adanya permasalahan konsistensi pemerintah dalam melakukan assessment dan audit keamanan terhadap sistem yang dijalankan.
Mitigasi kebocoran data
Kebocoran data yang kerap terjadi di negeri ini tentu tidak bisa dipandang remeh, pasalnya dampaknya yang ditimbulkannya berpotensi luas terhadap individu, organisasi, dan masyarakat. Oleh sebab itu, berbagai langkah konkret sebagai bentuk mitigasi kebocoran data perlu terus dilakukan dengan berbagai langkah protektif, dengan pendekatan yang holistik dan sistematis.
Selain itu, guna mencegah peretasan data yang selalu berulang di negeri ini, berbagai pendekatan yang komprehensif dan berlapis meski pemerintah lakukan guna mencegah kemungkinan yang berdampak fatal terjadi. Mulai dari penggunaan kata sandi yang kuat dan kompleks, mengimplementasikan otentikasi multi-faktor guna meningkatkan keamanan akses, melakukan pembaharuan dengan patch guna menutup kerentanan, menjaga keamanan jaringan, enkripsi data hingga keamanan endpoint. Selebihnya, dengan tetap melakukan beberapa langkah mitigasi guna mengurangi risiko dampak dari kebocoran data yang ditimbulkan.
Pertama, melakukan audit dan penilaian risiko. Audit keamanan secara berkala minimal untuk mengidentifikasi potensi kelemahan dalam sistem. Selebihnya, melakukan penilaian risiko untuk memahami potensi ancaman dan kerentanan yang ada.
Kedua, melakukan penguatan keamanan sistem melalui teknologi keamanan terbaru, termasuk firewall, sistem deteksi intrusi, dan enkripsi data. Sehingga, melalui perangkat lunak dan sistem yang diperbarui secara rutin bisa menutup celah keamanan.
Ketiga, memberikan pelatihan kepada karyawan mengenai praktik keamanan data yang baik, termasuk cara mengenali dan menghindari phishing dan serangan sosial engineering sehingga karyawan memiliki skill dalam mengantisipasi kemungkinan terjadi peretasan yang tidak diinginkan.
Keempat, konsisten terapkan kebijakan dan prosedur yang ada untuk menangani insiden kebocoran data dan menekan tingkat kerugian. Termasuk langkah-langkah pelaporan dan mitigasi sekaligus penerapan prinsip hak akses minimal, dengan memberikan akses data hanya kepada individu yang membutuhkannya. Diikuti, juga dengan mengimplementasikan solusi keamanan seperti Data Loss Prevention (DLP) untuk memantau dan melindungi data sensitif.
Melalui keempat upaya mitigasi kebocoran data tersebut di atas, maka jika diimplementasikan dengan baik dan maksimal, pemerintah dapat mengurangi risiko kebocoran data dan meningkatkan keamanan serta perlindungan informasi pribadi. Namun, sebaliknya jika gagal dalam mitigasi kebocoran data maka berbagai dampak serius bagi organisasi dan individu di negeri ini siap menghadang.
———– *** ————-
