Jakarta, beritamega4d.com Indonesia — Tingginya kasus kebocoran data yang kerap terjadi di Indonesia berhubungan dengan absennya sanksi tegas bagi badan publik/pemerintah, rendahnya tingkat kesadaran dan prioritas serta lemahnya infrastruktur keamanan siber.
Berdasarkan data dari Databoks, kasus kebocoran data paling banyak terjadi di sektor publik/pemerintah, sebanyak 69 persen atau 71 insiden terjadi pada 2023.
Kasus yang baru-baru ini terjadi adalah kebocoran 4,7 juta data Aparatur Sipil Negara (ASN) Badan Kepegawaian Negara (BKN) dan dijual di Breachforums.
“Memang tidak ada sistem IT yang bebas dari ancaman kebocoran data dan serangan siber,” kata jelas Peneliti Center for Indonesian Policy Studies (CIPS) Muhammad Nidhal, dalam keterangan tertulisnya.
“Akan tetapi dalam konteks Indonesia, tingginya kejadian kebocoran data, khususnya dalam instansi pemerintah, disebabkan oleh setidaknya tiga hal, yaitu infrastruktur siber yang lemah, pelaksanaan regulasi Perlindungan Data Pribadi (PDP) dan keamanan siber yang belum optimal, serta kurangnya kesadaran pemilik data dan ahli siber,” lanjutnya.
Menurut dia, upaya pemerintah sejauh ini juga masih di level hulu, yaitu di level pencegahan dan penyusunan sejumlah kebijakan.
Beberapa kebijakan terkait termasuk Peraturan Presiden (Perpres) No. 82/2022 tentang Perlindungan Infrastruktur Informasi Vital, Perpres No. 47/2023 tentang Strategi Keamanan Siber Nasional (SKSN) dan Manajemen Krisis Siber.
Selain itu, Undang-Undang No.1/2024 tentang Informasi dan Transaksi Elektronik, UU No. 27/2022 tentang PDP, PP No. 71/2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik serta kebijakan di level sektoral lainnya.
Sayangnya, kata Nidhal, pelaksanaannya di lapangan juga masih terkendala serta kurangnya respons cepat, efektif, dan akuntabilitas ketika terjadi kebocoran data pada infrastruktur kritis.
Selain itu, terkait dengan ketahanan siber nasional, ia menilai perlu investasi yang besar untuk meningkatkan keterampilan ahli siber nasional khususnya di lembaga pemerintah seperti Kemenkominfo dan Badan Siber dan Sandi Negara (BSSN).
“Perlu juga dibentuk dan/atau diperbarui, mekanisme penanganan yang terstandarisasi antara kementerian/lembaga dan perlu diperjelas mandat di antara badan-badan kementerian, termasuk pada level koordinasi kelembagaan, agar publik mengetahui ke mana harus melapor,” kata Nidhal.
Lembaga PDP
Meski UU Perlindungan Data Pribadi (PDP) telah disahkan, ia menyebut implementasi teknis penegakan penuh seluruh pasalnya masih harus menunggu hingga Oktober tahun ini atau seluruh aturan turunannya sudah dikeluarkan.
Hingga saat ini Lembaga PDP yang akan menerapkan sanksi-sanksi PDP juga belum dibentuk.
“Pembentukan lembaga PDP sudah sepantasnya jadi prioritas, mempertimbangkan banyak kasus kebocoran data dan untuk menjaga kepercayaan para subjek data,” jelasnya.
Terkait aturan turunan regulasi PDP mengenai sanksi, diskusi di tingkat regulator (Kemenkominfo) masih sedang bergulir mengenai formula yang tepat terkait sanksi bagi Penyelenggara Sistem Elektronik publik apabila terjadi kebocoran.
Pasal 12 UU PDP menyebutkan, Subjek Data Pribadi berhak menggugat dan menerima ganti rugi atas pelanggaran data pribadi dirinya. Namun tidak dijelaskan lebih jauh kepada siapa gugatan tersebut dapat dilayangkan serta mekanisme spesifik masih menunggu aturan PP turunannya.
Lembaga PDP yang nantinya dibentuk akan membantu menyediakan fasilitas pengaduan, komplain, ataupun memfasilitasi masyarakat yang akan mengajukan gugatan.
“Kembali lagi, tanpa adanya konsekuensi pidana dan perdata yang tegas, instansi pemerintah mungkin merasa bahwa mereka tidak ada kewajiban hukum dalam mengambil tindakan preventif yang lebih serius,” ujarnya.
“Paradigma ini harus berubah dan masyarakat sipil harus tegas meminta pertanggungjawaban pemerintah atas seluruh kebocoran data yang terjadi di lembaga pemerintah,” jelas Nidhal.Sebelumnya, Wakil Menteri Komunikasi dan Informatika (Wamenkominfo) Nezar Patria menyebut aturan yang menggawangi lembaga tersebut tengah digodok.
“Ini lagi kita bahas, PP-nya lagi digodok. Itu isunya apakah dia di bawah Kominfo ataukah dia langsung di bawah presiden, badan ini,” kata dia, di Jakarta, Selasa (20/8).
Direktur Jenderal Aplikasi Informatika Kominfo Hokky Situngkir menyebut lembaga PDP bakal dinaungi setidaknya oleh dua aturan, yakni Peraturan Pemerintah dan Peraturan Presiden.
“Oktober itu batas waktu, ada kemungkinan Perpres duluan daripada PP-nya. Dua-duanya pararel dikerjakan, akan ada badan perlindungan sesuai amanat UU,” ujarnya di Jakarta, Jumat (9/8).