JAKARTA – Belum selesai dengan insiden PDNS (Pusat Data Nasional Sementara) milik Kementerian Informasi dan Informatika yang diserang oleh Ransomware Brain Cipher, kini sejumlah data ASN (Aparatur Sipil Negara) yang dikelola oleh BKN (Badan Kepegawaian Negara) diduga mengalami kebocoran.
Dari data yang diterima oleh Redaksi The Editor pada Selasa (13/8) kemarin, tercatat 4.759.218 data ASN ditawarkan seharga 160 juta Rupiah di forum hacker Breachforums.
Data tersebut terdiri atas nama, TTL, gelar, tanggal CPNS, tanggal PNS, NIP, nomor SK CPNS, nomor SK PNS, golongan, jabatan, instansi, alamat, nomor HP, email, pendidikan, jurusan, hingga tahun lulus.
Direktur Eksekutif Lembaga Studi dan Advokasi Masyarakat (ELSAM) Wahyudi Djafar dalam keterangan tertulisanya mengatakan bila kebocoran data di sektor publik menunjukkan tingkat kepatuhan pelindungan data yang rendah pada lembaga-lembaga negara, dalam kapasitas mereka sebagai pengendali data.
Menurutnya, sebagai pengendali, lembaga yang mengumpulkan, memproses, dan mengelola data pribadi, dilekati kewajiban untuk menjamin kerahasiaan dan keharusan menerapkan sistem keamanan yang kuat.
“Sistem keamanan yang kuat ini menjadi salah satu persyaratan utama yang harus dipenuhi dalam pengembangan sistem informasi pemerintah,” ungkapnya.
Ia juga menilai pemerintah tidak pernah belajar dari insiden yang terjadi berulang-ulang di negeri ini. Hal ini terlihat dari tidak pernah adanya penyelesaian atas insiden yang terjadi, khususnya yang berkaitan dengan peningkatan kepatuhan dan perbaikan sistem keamanan, untuk mencegah insiden tidak terjadi kembali.
“Bahkan setiap kali terjadi insiden data breach, institusi pengendali data tidak pernah memberikan notifikasi kepada subjek data, atau pun publik secara luas, ketika datanya menyangkut pelayanan publik pemerintah, sebagaimana diwajibkan ketentuan Pasal 46 UU PDP,” katanya.
Selain itu, lanjutnya, rentetan insiden keamanan siber yang berdampak pada kebocoran data pribadi yang dikelola oleh badan publik, juga memperlihatkan adanya permasalahan konsistensi dalam melakukan assessment dan audit keamanan, untuk menjamin keandalan sistem yang akan dioperasikan dalam pemrosesan data, termasuk penyimpanan.
Semestinya, menurut Wahyudi, keseluruhan pra-syarat keamanan diterapkan dengan konsisten, sebelum sistem dioperasikan, juga audit keamanan secara berkala, untuk mengidentifikasi setiap risiko keamanan yang mungkin terjadi, termasuk pada situasi tertentu perlu melakukan data protection impact assessment (DPIA).
Mencermati dugaan insiden kegagalan pelindungan data pribadi ASN yang dikendalikan BKN, Wahyudi mencatat beberapa poin masalah.
Pertama, dugaan data breach ini akan sangat berisiko terhadap subjek data (para ASN) karena melibatkan sejumlah kombinasi data pribadi, yang selama ini seringkali menjadi instrumen verifikasi dan autentifikasi mereka, sehingga memiliki risiko lebih besar manakala terjadi kegagalan.
Dengan kombinasi data-data yang diduga bocor tersebut, maka semakin mudah dan spesifik juga seseorang dapat teridentifikasi, sekaligus dikendalikan oleh pihak lain.
Tak hanya risiko terhadap ASN, kebocoran ini juga memiliki risiko yang lebih luas terhadap pelayanan publik maupun pengembangan SPBE secara keseluruhan ke depan.
Kedua, ketiadaan penegakan hukum yang jelas terhadap sekian rangkaian insiden yang terjadi, termasuk yang terjadi pada BKN, telah memperpanjang deretan keberulangan kegagalan pelindungan data pribadi.
Pemerintah seperti tidak pernah belajar dari rentetan insiden keamanan siber, yang berdampak pada kebocoran data, yang terjadi sebelumnya secara berturut-turut dan masif. Hal ini ditengarai oleh tiadanya
Ketiga, investigasi terhadap insiden tidak pernah tuntas, termasuk dengan memberikan laporan akuntabilitas baik kepada subjek data maupun publik.
PEMERINTAH TIDAK PERNAH MAU BERTANGGUNGJAWAB
Tindakan terhadap kebocoran informasi, Menurut Wahyudi, seringkali baru dilakukan pasca-insiden tersebut memperoleh perhatian publik.
Tak hanya itu, lanjutnya lagi, respon yang diberikan pemerintah juga sebatas penyangkalan dan tidak ada pertanggungjawaban kepada publik terkait hasil investigasi.
Padahal, menurut Wahyudi, semestinya berdasarkan hasil investigasi yang dilakukan, pemerintah segera melakukan pembenahan menyeluruh terhadap sistem informasi yang digunakan dalam mengelola data pribadi.
Langkah pembenahan ini dapat diawali dengan proses audit menyeluruh terhadap instrumen kebijakan tata kelola data pemerintah, penguatan kapasitas sumber daya manusia; dan upaya sistematik untuk memastikan kepatuhan institusi pemerintah terhadap seluruh standar dan kewajiban pelindungan data.
APA REKOMENDASI ELSAM?
Dengan berbagai kerentanan terkait dengan keamanan data yang diproses dan dikelola oleh institusi pemerintah, Wahyudi merekomendasikan beberapa hal. Diantaranya:
- BKN bertindak cepat untuk melakukan investigasi internal terkait dugaan insiden kebocoran ini, termasuk juga memberikan notifikasi tertulis kepada subjek data sebagaimana diwajibkan Pasal 46 UU PDP. Pemberitahuan tersebut harus memuat informasi setidaknya mengenai data yang terungkap, kapan dan bagaimana data tersebut terungkap, serta upaya dan penanganan pemulihannya, termasuk bila dimungkinkan menjelaskan langkah-langkah mitigasi yang dapat dilakukan oleh subjek datanya, untuk meminimalisir risiko yang mungkin terjadi akibat kebocoran data.
- Kementerian Kominfo sebagai otoritas pelindungan data mengacu PP 71/2019 tentang PSTE (sampai dengan terbentuknya Lembaga PDP), dengan fungsi pengawasan yang dimilikinya menurut Pasal 35 PP PSTE, segera melakukan investigasi terhadap dugaan insiden ini, dan melakukan langkah-langkah untuk menghentikan kebocoran, termasuk rekomendasi perbaikan pelaksanaan kepatuhan PDP.
- Badan Siber dan Sandi Negara (BSSN) melakukan investigasi terhadap insiden keamanan siber yang berdampak pada terjadinya kebocoran data pribadi ini, untuk kemudian menindaklanjutinya dengan perbaikan sistem keamanan, termasuk juga meneruskannya kepada penegak hukum, bila ditemukan adanya dugaan unsur pidana dari insiden yang terjadi.
- Presiden memastikan adanya audit secara menyeluruh terhadap seluruh sistem informasi yang dikelola oleh pemerintah, sebagai basis dalam pengembangan sistem pemerintahan berbasis elektronik (SPBE), termasuk audit terhadap keseluruhan kebijakan yang menjadi dasar dalam pengembangan SPBE.
- Pemerintah secara sistemik mengembangkan upaya peningkatan kapasitas pengendali data sebagai penyelenggara layanan publik pemerintahan, agar semakin memahami kewajiban kepatuhan terhadap PDP, serta memastikan komitmen untuk menerapkan seluruh standar kepatuhan PDP.
- Presiden memastikan pembentukan lembaga pelindungan data pribadi, mengingat masa engagement periode UU PDP hampir berakhir pada Oktober 2024, lembaga harus segera dibentuk dengan memperhatikan independensi pada fungsi-fungsinya, termasuk dalam penegakan hukum PDP.
