Oleh : Yudhistira Nugraha S.T., M.ICT Adv., D.Phil Kepala Jakarta Smart City
SOROTAN kini tertuju pada maraknya dugaan kebocoran data dan serangan Bjorka; sosok anonim yang tengah menjadi pembicaraan publik karena diduga meretas dan membocorkan data pribadi dari sejumlah penyelenggara negara dan badan usaha di Indonesia. Saling “lempar – melempar” tanggung jawab sempat terjadi pada saat penanganan dugaan kebocoran data yang dilakukan Bjorka.
Menteri Komunikasi dan Informatika (Menkominfo) Johnny G. Plate dalam rapat dengan Komisi 1 DPR RI menyebutkan bahwa serangan siber dan insiden kebocoran data yang terjadi belakangan ini adalah tugas dan fungsi (tupoksi) Badan Siber dan Sandi Negara (BSSN), bukan Kementerian Kominfo. Menkominfo menyampaikan bahwa, “Kami menjawab itu semuanya hanya agar publik mengetahuinya, tetapi bukan menjadi domain dan tugasnya Kemenkominfo dalam kaitan dengan hal-hal teknis serangan siber.
Serangan siber sepenuhnya domain (tanggung jawab) BSSN.” Merespons pernyataan Menkominfo, juru bicara BSSN Ariandi Putra menyampaikan, “Keamanan siber pada dasarnya merupakan tanggung jawab bersama seluruh pemangku kepentingan baik penyelenggara negara, pelaku usaha, akademisi, maupun komunitas/masyarakat.” Jadi siapakah yang bertanggung jawab jika terjadi kegagalan sistem seperti kebocoran data?
Bagaimana peran pemerintah dalam menangani insiden keamanan siber dan kebocoran data? Apakah sudah terjadi kebocoran data yang dilakukan oleh Bjorka? Apa yang perlu dilakukan sebagai langkah pengamanan dan mitigasi risiko kebocoran data yang saat ini marak terjadi? Dari perspektif penyelenggara negara dan badan usaha sebagai Penyelenggara Sistem Elektronik (PSE) yang menyediakan, mengelola, dan/atau mengoperasikan Sistem Elektronik, jelas disebutkan dalam Peraturan Pemerintah tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PP PSTE) No. 71 Tahun 2019, pasal 3 ayat 1 bahwa “Setiap Penyelenggara Sistem Elektronik harus menyelenggarakan Sistem Elektronik secara andal dan aman serta bertanggung jawab terhadap beroperasinya Sistem Elektronik sebagaimana mestinya”.
Dengan kata lain, PSE adalah pihak yang bertanggungjawab terhadap penyelenggaraan Sistem Elektronik-nya termasuk apabila terjadi kegagalan sistem seperti kebocoran data. Oleh karena itu, untuk memenuhi kepatuhan terhadap regulasi, PSE wajib menerapkan pengamanan atas penyelenggaraan Sistem Elektronik yang dikelolanya. Seperti contoh, pengamanan terhadap komponen Sistem Elektronik seperti perangkat lunak, perangkat keras dan tenaga ahli yang mengelola Sistem Elektronik yang memproses data elektronik seperti data pribadi.
PSE juga diwajibkan menerapkan sistem pengamanan yang mencakup prosedur dan sistem pencegahan dan penanggulangan terhadap ancaman dan serangan yang menimbulkan gangguan, kegagalan, dan kerugian. Untuk mendukung proses pengawasan termasuk penelusuran atas penyelenggaraan Sistem Elektronik, PSE juga diwajibkan menyediakan rekam jejak audit terhadap seluruh kegiatan penyelenggaraan Sistem Elektronik. Jika terjadi kegagalan dalam perlindungan terhadap data pribadi yang dikelolanya, PSE wajib memberitahukan secara tertulis kepada pemilik data pribadi tersebut terkait dengan pelanggaran data pribadi. Namun dalam hal terjadi kegagalan sistem seperti kebocoran data yang berdampak serius, PSE wajib segera melaporkan dalam kesempatan pertama kepada aparat penegak hukum dan kementerian atau lembaga terkait serta melakukan mitigasi dan pengamanan untuk mengurangi dampak akibat kebocoran data.
Posisi Pemerintah
Bagaimana peran pemerintah? Menurut PP PSTE, Menkominfo memiliki kewenangan dalam melakukan pengawasan terhadap penyelenggaraan Sistem Elektronik yang mencakup pemantauan, pengendalian, pemeriksaan, penelusuran, dan pengamanan dengan melibatkan kementerian atau lembaga terkait.
Dalam hal terjadi kegagalan sistem dalam perlindungan data pribadi, Menkominfo dapat memberikan sanksi administrasi atas beberapa pelanggaran data pribadi yang dilakukan oleh PSE seperti insiden kebocoran data, berupa: teguran tertulis, denda administratif, penghentian sementara, pemutusan akses, dan dikeluarkan dari daftar.
Menkominfo dapat juga secara proaktif menindaklanjuti semua laporan dugaan kebocoran data pribadi dan melakukan evaluasi terhadap laporan tersebut. Menkominfo dengan melibatkan kementerian atau lembaga terkait memastikan agar PSE melakukan mitigasi terhadap kebocoran data dan melakukan evaluasi kepatuhan PSE terhadap regulasi dan standar teknis yang berlaku terkait sistem pengamanan dalam penyelenggaraan Sistem Elektronik, dan penjatuhan sanksi kepada PSE sesuai dengan peraturan-perundangan yang berlaku. Bagaimana peran BSSN? Merujuk Peraturan Presiden Nomor 28 Tahun 2021 tentang Badan Siber dan Sandi Negara, tugas BSSN adalah melaksanakan tugas pemerintahan di bidang keamanan siber dan sandi untuk membantu Presiden dalam menyelenggarakan pemerintahan.
Tugas tersebut diperjelas menjadi beberapa poin fungsi BSSN antara lain melakukan perumusan dan penetapan kebijakan teknis serta pelaksanaan kebijakan teknis di bidang keamanan siber dan sandi. Salah satu amanat PP PSTE kepada Kepala BSSN adalah membuat ketentuan lebih lanjut mengenai sistem pengamanan yang mencakup prosedur dan sistem pencegahan dan penanggulangan terhadap ancaman dan serangan yang menimbulkan gangguan, kegagalan, dan kerugian.
Peta Peran
Dari penjelasan dan uraian di atas, maka dapat disimpulkan bahwa PSE, baik itu orang, penyelenggara negara, badan usaha, dan masyarakat bertanggung jawab penuh terhadap kegagalan sistem pada penyelenggaraan Sistem Elektronik yang mengakibatkan kebocoran data pribadi. Sedangkan pemerintah secara umum berperan melindungi kepentingan masyarakat dari segala gangguan sebagai akibat dari penyalahgunaan data pribadi yang dapat mengganggu ketertiban umum meliputi pengaturan standar keamanan informasi, penyelenggaraan penanganan insiden keamanan informasi, dan penyelenggaraan penanganan tanggap darurat.
Dalam hal ini, Menkominfo memiliki kewenangan untuk melakukan pengawasan bersama dengan kementerian atau lembaga terkait atas penyelenggaraan Sistem Elektronik dalam sektor tertentu. Sedangkan Kepala BSSN memiliki tugas untuk merumuskan, menetapkan dan melaksanakan kebijakan teknis sistem pengamanan terhadap ancaman dan serangan yang dapat menimbulkan gangguan, kegagalan, dan kerugian.
Sedangkan dari perspektif pelaku terkait dugaan kebocoran data dan serangan yang dilakukan oleh Bjorka, kebocoran data dapat terjadi dengan mengakses Sistem Elektronik milik orang lain dengan cara apa pun termasuk menjebol sistem pengamanan untuk memperoleh Informasi Elektronik dan/atau Dokumen Elektronik termasuk data pribadi. Oleh karena itu, tindakan yang dilakukan oleh Bjorka terkait insiden kebocoran data dapat dikenakan sanksi pidana penjara dan/atau denda sesuai ketentuan UU ITE N0 11 Tahun 2008.
Namun pertanyaan selanjutnya, apakah Bjorka benar-benar melakukan pembobolan sistem di sejumlah penyelenggara negara dan badan usaha di Indonesia? Seperti yang terungkap di media sosial, sejumlah data pejabat RI diduga dibobol oleh Bjorka yang menampilkan sejumlah data pribadi seperti nama, nomor telepon, pekerjaan, NIK, nomor KK, alamat rumah hingga ID vaksin. Namun untuk memastikan terjadinya kebocoran data perlu dilakukan pemeriksaan dan penelusuran apakah data pribadi pejabat RI yang ditampilkan dan diungkap oleh Bjorka valid dan berasal upaya untuk mengakses Sistem Elektronik milik penyelenggara negara dan atau badan usaha dengan cara apa pun termasuk menjebol sistem pengamanan untuk memperoleh data pribadi pejabat RI tersebut.
Kebocoran data pribadi mungkin sudah terjadi sebelumnya dan data pribadi yang diungkap berasal dari kebocoran data yang sudah terjadi tahun-tahun sebelumnya dan bercampur dengan data pribadi yang lain yang sudah tersedia secara publik. Oleh karena itu, risiko kebocoran data pribadi sangat besar karena apabila data pribadi tersebut sudah bocor dan dapat diakses oleh pihak lain, maka data pribadi tersebut yang tidak bisa dipulihkan atau diganti seperti NIK, tanggal lahir, golongan darah dan nama ibu kandung. Sedangkan ada beberapa jenis data pribadi apabila bocor atau terungkap ke publik masih bisa dilakukan pemulihan atau penggantian seperti username, kata sandi, dan nomor telepon.
Lima langkah antisipasi
Apa yang perlu dilakukan untuk dapat melakukan upaya pengamanan dan mitigasi risiko kebocoran data yang saat ini marak terjadi? Guna melakukan pengamanan penyelenggaraan Sistem Elektronik, izinkan penulis berbagai persyaratan pengamanan (security requirements) apa yang perlu menjadi pertimbangan dalam upaya memitigasi kebocoran data terhadap bentuk-bentuk ancaman siber seperti ilegal akses, ancaman orang dalam (insider threat), manipulasi dan eksfiltrasi data pribadi dalam lima poin.
Pertama, Manajemen Akses. PSE wajib memastikan pengiriman dan penerimaan data dilakukan melalui jalur komunikasi yang aman. PSE juga wajib menyediakan kontrol akses dalam upaya pengamanan khususnya data pribadi yang sifatnya spesifik seperti data rekam medis, serta implementasi pembatasan akses terhadap data sensitif dan rahasia.
Kedua, Manajemen Data. PSE wajib memastikan pengamanan data untuk setiap siklus data baik, data saat diproses (data in process), dikirim (data in transit) dan data saat disimpan (data at rest), terakait. Seperti contoh, perlu adanya kendali keamanan dalam hal data saling berbagi pakai. Di samping itu, PSE juga wajib menjaga kerahasiaan, keutuhan, keautentikan, keteraksesan, ketersediaan, dan dapat ditelusurinya suatu Informasi Elektronik dan/atau Dokumen Elektronik sesuai dengan ketentuan peraturan perundang-undangan.
Ketiga, Manajemen Identitas. PSE wajib melakukan pengujian keautentikan identitas dan memeriksa otorisasi pengguna Sistem Elektronik dengan menerapkan autentikasi dua faktor (two-factor authentication) atau autentikasi multi faktor (multi-factor authentication) untuk membantu melindungi login akses pada Sistem Elektronik selain kata sandi. PSE juga wajib memastikan pengendalian terhadap otorisasi dan hak akses terhadap sistem, basis data, dan aplikasi yang memproses data pribadi.
Keempat, Manajemen Ancaman (Malicious Management). PSE wajib melakukan analisis risiko dan merumuskan langkah mitigasi dan penanggulangan untuk mengatasi ancaman, gangguan, dan hambatan terhadap Sistem Elektronik yang dikelolanya. PSE juga wajib melakukan monitoring kebocoran data pribadi, akses perlindungan terhadap kebocoran atau penyalahgunaan monitoring data pribadi.
Terakhir, Manajemen Kepatuhan. PSE wajib menerapkan standar Sistem Manajemen Keamanan Informasi (SMKI) sesuai dengan standar SNI ISO/IEC 27001 atau standar keamanan lain yang terkait dengan keamanan siber yang ditetapkan oleh BSSN dan/atau kementerian atau lembaga terkait sektor. Nah, sudah jelaskan bahwa keamanan siber merupakan tanggung jawab semua pihak, maka perlu kerja bersama dan setiap pihak memiliki tanggung jawab masing-masing. Namun PSE merupakan pihak yang paling bertanggung jawab apabila terjadi serangan siber yang mengakibatkan kegagalan sistem seperti kebocoran data.
Yudhistira Nugraha S.T., M.ICT Adv., D.Phil. adalah Kepala Jakarta Smart City (2019-sekarang), setelah sebelumnya menjabat berbagai posisi di Kementerian Kominfo RI, antara lain Kasi Pengendalian Sistem Elektronik dan Ekonomi Digital (2018-2019) dan Kasubdit Layanan Aptika Perekonomian (2019). Alumni Doktoral Cyber Security Oxford University, Inggris ini juga Tim Ahli di Forum Alumni Universitas Telkom (FAST). Peraih PNS Berprestasi (2020) dan Satya Lancana Karya Satya (2020) ini juga menjadi Co-Founder Indonesia Blockchain Society dan Co-Founder Indonesia Digital Institute. Bisa dihubungi di [email protected]
Dikuti Kompas.com Rabu, 14 September 2022
