Bicara soal keamanan data ibarat buah simalakama
Bila terbukti lalai, penyedia jasa sistem elektronik bisa dikenai tuntutan sampai 20 juta euro
Semarang (ANTARA) - Pemerintahan Presiden RI Joko Widodo dan Wakil Presiden Ma'ruf Amin menargetkan jumlah perusahaan rintisan pada tahun 2024 sebanyak 3.500 startup. Target ini disampaikan K.H. Ma'ruf Amin pada debat antarcalon wakil presiden di Jakarta, Minggu (17/3/2019) malam.
Bahkan, Ma'ruf Amin mengemukakan bahwa pihaknya akan mendorong unicorn menjadi decacorn (startup dengan nilai valuasi di atas 10 miliar dolar AS atau setara Rp140 triliun).
Namun, di tengah perjalanan, masyarakat kembali dikagetkan dengan bocornya data nasabah KreditPlus, 16 Juli lalu. Sebelumnya, di awal Mei 2020 Tokopedia dihantam kebocoran data sekitar 91 juta akunnya.
Hal itulah yang mendorong Ketua Lembaga Riset Keamanan Siber dan Komunikasi (Communication and Information System Security Research Center/CISSReC) Dr. Pratama Persadha mengingatkan kembali kepada pemerintah dan DPR RI untuk segera merampungkan Rancangan Undang-Undang tentang Perlindungan Data Pribadi (RUU PDP) setelah 819.976 data nasabah Kreditplus bocor di forum internet.
Apalagi, data nasabah Kreditplus yang bocor itu sangat lengkap yang meliputi nama, KTP, surel (e-mail), status pekerjaan, alamat, data keluarga penjamin pinjaman, tanggal lahir, dan nomor telepon. Data ini akan memancing kelompok kriminal untuk melakukan penipuan dan tindak kejahatan lainnya.
Hingga sekarang belum ada undang-undang yang memaksa para penyelenggara sistem dan transaksi elektronik (PSTE) untuk mengamankan dengan maksimal data masyarakat yang mereka himpun. Tidak pelak lagi, data yang seharusnya semua dienkripsi, masih bisa dilihat dengan mata telanjang.
Pentingnya perlindungan data pribadi ini juga sempat mengemuka dalam lokakarya keamanan siber yang diselenggarakan secara virtual oleh CISSReC dan Centre for Strategic Cyberspace and International Studies (CSCIS) di Jakarta, Kamis (6/8) siang.
Dalam forum ini Pratama menilai sejumlah pemilik platform media sosial sebagai penyelenggara sistem elektronik masih lip service terkait dengan keamanan data. Mereka menganggap tidak penting, bahkan terkesan cuek ketika terjadi kebocoran data.
Penyelenggara sistem dan transaksi elektronik (PSTE) ini malah merasa menjadi korban.
Lokakarya yang bertema "Perlindungan Data dan Peraturan Data di Indonesia" yang dimoderatori Arifin R. dari Certified Information Systems Security Professional (CISSP) ini sempat mengemuka sejumlah pertanyaan, antara lain seberapa penting perlindungan data, kemudian sejauh mana dampak dari pelanggaran (kebocoran data) terhadap masyarakat pengguna platform.
Direktur Proteksi Ekonomi Digital Badan Siber dan Sandi Negara (BSSN) Anton Setiawan dan Komisaris PT Telkom Dr. Marcelino Pandin, keduanya pembicara, juga sempat mempertanyakan hal itu.
"Pertanyaan pertama betapa pentingnya data. Kalau aset itu berharga/penting, akan dilindungi dengan segala upaya, kemudian berapa besar menggaji tenaga expert (ahli)," kata Anton Setiawan di hadapan 151 peserta lokakarya secara virtual itu.
Di "Leher Dirut"
Selanjutnya, Anton Setiawan yang juga Juru Bicara BSSN sependapat dengan Marcelino soal pengelolaan keamanan data di posisi "leher direktur utama", bukan di bawah.
"Kalau di tingkat divisi, ya, belum menganggap penting soal keamanan data," kata Anton.
Menjawab seberapa serius organisasi dan masyarakat di Indonesia menangani masalah perlindungan data, Marcelino menyoroti budaya organisasi, antara lain tidak ada tindakan tegas berupa pemecatan terhadap karyawan yang melakukan pelanggaran serius, seperti kebocoran data.
Pertanyaan selanjutnya, seberapa mendesaknya untuk memiliki regulasi PDA (Personal Data Act) khusus di Indonesia? Dalam hal ini, Pratama Persadha mempertanyakan kenapa pemerintah dan DPR RI tidak segera membahas RUU PDP, atau hanya memasukkan RUU itu dalam Program Legislasi Nasional (Prolegnas) ke Prolegnas tahun berikutnya.
Padahal, sejumlah kasus kebocoran data yang mencuat bakal bermuara pada aksi penipuan. Sementara itu, pemilik platform fine-fine saja, malah menyatakan sebagai korban.
Oleh karena itu, Pratama memandang perlu koordinasi dan kolaborasi antara BSSN, Cyber Crime Polri, dan Deputi Siber Badan Intelijen Negara (BIN).
Menyinggung soal regulasi, Anton Setiawan menyebutkan Undang-Undang Nomor 19 Tahun 2016 tentang Perubahan atas Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik. Selain itu, Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik.
Di dalam Pasal 100 Ayat (2) PP Penyelenggaraan Sistem dan Transaksi Elektronik juga temaktub sanksi administratif berupa teguran tertulis, denda administratif, penghentian sementara, pemutusan akses, dan/atau dikeluarkan dari daftar.
Namun, dendanya tidak seperti di Uni Eropa. Dalam regulasi perlindungan data pribadi bagi warga di Eropa atau General Data Protection Regulation (GDPR) ada ketentuan bahwa setiap data yang dihimpun harus diamankan dengan enkripsi. Bila terbukti lalai, penyedia jasa sistem elektronik bisa dikenai tuntutan sampai 20 juta euro.
Dalam hal ini Pemerintah tampaknya sangat berhati-hati. Di satu sisi sanksi tersebut tidak berdampak pada ekonomi, sementara di sisi lain masyarakat tidak menjadi korban penipuan terkait dengan kebocoran data.
Agar tidak bertemu dengan buah simalakama, perlu kesadaran penyedia jasa sistem dan transaksi elektronik untuk memprioritaskan keamanan data. Di satu pihak, perlu pula menumbuhkan kesadaran keamanan dalam masyarakat agar mereka tidak mudah teperdaya.
Dengan demikian, cita-cita pemerintahan sekarang ini yang menargetkan sebanyak 3.500 startup bakal terwujud sekaligus membuka lapangan kerja makin luas. Masyarakat pun merasa nyaman berbelanja secara daring di tengah pandemik COVID-19 sekarang ini.
Bahkan, Ma'ruf Amin mengemukakan bahwa pihaknya akan mendorong unicorn menjadi decacorn (startup dengan nilai valuasi di atas 10 miliar dolar AS atau setara Rp140 triliun).
Namun, di tengah perjalanan, masyarakat kembali dikagetkan dengan bocornya data nasabah KreditPlus, 16 Juli lalu. Sebelumnya, di awal Mei 2020 Tokopedia dihantam kebocoran data sekitar 91 juta akunnya.
Hal itulah yang mendorong Ketua Lembaga Riset Keamanan Siber dan Komunikasi (Communication and Information System Security Research Center/CISSReC) Dr. Pratama Persadha mengingatkan kembali kepada pemerintah dan DPR RI untuk segera merampungkan Rancangan Undang-Undang tentang Perlindungan Data Pribadi (RUU PDP) setelah 819.976 data nasabah Kreditplus bocor di forum internet.
Apalagi, data nasabah Kreditplus yang bocor itu sangat lengkap yang meliputi nama, KTP, surel (e-mail), status pekerjaan, alamat, data keluarga penjamin pinjaman, tanggal lahir, dan nomor telepon. Data ini akan memancing kelompok kriminal untuk melakukan penipuan dan tindak kejahatan lainnya.
Hingga sekarang belum ada undang-undang yang memaksa para penyelenggara sistem dan transaksi elektronik (PSTE) untuk mengamankan dengan maksimal data masyarakat yang mereka himpun. Tidak pelak lagi, data yang seharusnya semua dienkripsi, masih bisa dilihat dengan mata telanjang.
Pentingnya perlindungan data pribadi ini juga sempat mengemuka dalam lokakarya keamanan siber yang diselenggarakan secara virtual oleh CISSReC dan Centre for Strategic Cyberspace and International Studies (CSCIS) di Jakarta, Kamis (6/8) siang.
Dalam forum ini Pratama menilai sejumlah pemilik platform media sosial sebagai penyelenggara sistem elektronik masih lip service terkait dengan keamanan data. Mereka menganggap tidak penting, bahkan terkesan cuek ketika terjadi kebocoran data.
Penyelenggara sistem dan transaksi elektronik (PSTE) ini malah merasa menjadi korban.
Lokakarya yang bertema "Perlindungan Data dan Peraturan Data di Indonesia" yang dimoderatori Arifin R. dari Certified Information Systems Security Professional (CISSP) ini sempat mengemuka sejumlah pertanyaan, antara lain seberapa penting perlindungan data, kemudian sejauh mana dampak dari pelanggaran (kebocoran data) terhadap masyarakat pengguna platform.
Direktur Proteksi Ekonomi Digital Badan Siber dan Sandi Negara (BSSN) Anton Setiawan dan Komisaris PT Telkom Dr. Marcelino Pandin, keduanya pembicara, juga sempat mempertanyakan hal itu.
"Pertanyaan pertama betapa pentingnya data. Kalau aset itu berharga/penting, akan dilindungi dengan segala upaya, kemudian berapa besar menggaji tenaga expert (ahli)," kata Anton Setiawan di hadapan 151 peserta lokakarya secara virtual itu.
Di "Leher Dirut"
Selanjutnya, Anton Setiawan yang juga Juru Bicara BSSN sependapat dengan Marcelino soal pengelolaan keamanan data di posisi "leher direktur utama", bukan di bawah.
"Kalau di tingkat divisi, ya, belum menganggap penting soal keamanan data," kata Anton.
Menjawab seberapa serius organisasi dan masyarakat di Indonesia menangani masalah perlindungan data, Marcelino menyoroti budaya organisasi, antara lain tidak ada tindakan tegas berupa pemecatan terhadap karyawan yang melakukan pelanggaran serius, seperti kebocoran data.
Pertanyaan selanjutnya, seberapa mendesaknya untuk memiliki regulasi PDA (Personal Data Act) khusus di Indonesia? Dalam hal ini, Pratama Persadha mempertanyakan kenapa pemerintah dan DPR RI tidak segera membahas RUU PDP, atau hanya memasukkan RUU itu dalam Program Legislasi Nasional (Prolegnas) ke Prolegnas tahun berikutnya.
Padahal, sejumlah kasus kebocoran data yang mencuat bakal bermuara pada aksi penipuan. Sementara itu, pemilik platform fine-fine saja, malah menyatakan sebagai korban.
Oleh karena itu, Pratama memandang perlu koordinasi dan kolaborasi antara BSSN, Cyber Crime Polri, dan Deputi Siber Badan Intelijen Negara (BIN).
Menyinggung soal regulasi, Anton Setiawan menyebutkan Undang-Undang Nomor 19 Tahun 2016 tentang Perubahan atas Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik. Selain itu, Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik.
Di dalam Pasal 100 Ayat (2) PP Penyelenggaraan Sistem dan Transaksi Elektronik juga temaktub sanksi administratif berupa teguran tertulis, denda administratif, penghentian sementara, pemutusan akses, dan/atau dikeluarkan dari daftar.
Namun, dendanya tidak seperti di Uni Eropa. Dalam regulasi perlindungan data pribadi bagi warga di Eropa atau General Data Protection Regulation (GDPR) ada ketentuan bahwa setiap data yang dihimpun harus diamankan dengan enkripsi. Bila terbukti lalai, penyedia jasa sistem elektronik bisa dikenai tuntutan sampai 20 juta euro.
Dalam hal ini Pemerintah tampaknya sangat berhati-hati. Di satu sisi sanksi tersebut tidak berdampak pada ekonomi, sementara di sisi lain masyarakat tidak menjadi korban penipuan terkait dengan kebocoran data.
Agar tidak bertemu dengan buah simalakama, perlu kesadaran penyedia jasa sistem dan transaksi elektronik untuk memprioritaskan keamanan data. Di satu pihak, perlu pula menumbuhkan kesadaran keamanan dalam masyarakat agar mereka tidak mudah teperdaya.
Dengan demikian, cita-cita pemerintahan sekarang ini yang menargetkan sebanyak 3.500 startup bakal terwujud sekaligus membuka lapangan kerja makin luas. Masyarakat pun merasa nyaman berbelanja secara daring di tengah pandemik COVID-19 sekarang ini.