UU PDP dan Pentingnya Peningkatan Risiko Siber Korporasi

Dampak Implementasi UU PDP Terhadap Pentingnya Peningkatan Ketahanan Risiko Siber Korporasi 

Pesatnya kemajuan teknologi di berbagai sektor industri di Indonesia di tandai oleh tingginya ketersediaan aplikasi digital untuk memudahkan pelayanan  terhadap konsumen. Di Indonesia sendiri saat ini hampir semua sektor industri berlomba-lomba membuat aplikasi teknologi baik untuk memberikan kemudahan kepada pengguna ataupun untuk memenangkan persaingan di era industri 4.0. Bahkan beberapa Perusahaan Pemerintahan yang dikenal sangat rigidpun bertranformasi ke arah digitalisasi. Namun disisi lain, perubahan ke arah digitalisasi ini tidak serta merta diimbangi dengan upaya peningkatan keamanan pemilik data sebagai pengguna aplikasi. Dimana mereka kerap kali menjadi korban dari kebocoran data baik akibat lemahnya system keamanan dan ketahanan  siber Perusahaan maupun tidak adanya perlindungan hukum yang jelas yang dapat melindungi pemilik data.

Dari sisi Risiko, era digital ini tentunya merubah tantatan Risiko semua sektor korporasi yang sebelumnya hanya bersifat physical risk seperti (kebencanaan) menjadi digital risk (seperti kebocoran data). Dalam hal ini, data dan informasi menjadi sangat bernilai dan berharga terutama bagi sebuah korporasi karena dengan data tersebut mereka mampu membuat analisa dan strategi bisnis.

Kebocoran Data di Indonesia 

Tingginya kebocoran data dan penyalahgunaan data pribadi di Indonesia menjadi hal yang sangat menganggu kenyamanan warga negara Indonesia. Berdasarkan data, di Indonesia sendiri lebih dari 20 perusahaan terkemuka pernah mengalami insiden kebocoran data. Rentannya kebocoran data yang sangat masif di Indonesia menjadi momok yang menakutkan baik bagi korporasi dan juga pemilik data dalam hal ini warga negara Indonesia. Salah satu insiden terbesar mengenai kebocoran data di Indonesia terjadi di Bulan Mei 2021, lebih dari 270 juta data warga negara Indonesia bocor dan data tersebut diperjual belikan dalam situs online dengan nilai 0.15 bitcoin atau senilai 87.6 juta rupiah. Tentunya kejadian kebocoran data pribadi ini pada hakikatnya telah melanggar hak asasi manusia dan sangat merugikan masyarakat baik secara materiil dan imateriil. Kebocoran data terus terjadi dan seakan tidak ada solusinya.

Di Sahkannya UU PDP Baru

Implementasi UU PDP terbaru yang baru saja di sahkan per tanggal 20 September 2022 memberikan harapan yang positif khususnya bagi warga negara Indonesia dimana UU PDP ini diharapkan akan menjadi solusi terhadap tingginya kebocoran data di Indonesia. Disisi lain, aplikasi UU PDP tentunya akan memberikan peringatan keras terhadap semua korporasi di semua sektor untuk berbenah dan memperbaiki sistem keamanan sibernya sehingga mereka dapat melindungi data nasabahnya dari kebocoran data se optimal mungkin. Secara umum regulasi UU PDP mengadopsi UU Perlindungan Data di Uni Eropa (GDPR) dimana implementasi GDPR di Eropa telah terbukti sangat efektif untuk memberikan kenyamanan bagi subjek pemilik data sedangkan bagi korporasi GDPR menjadi momok yang sangat menakutkan karena semua korporasi memiliki kewajiban yang sangat ketat dan sanksi yang tegas untuk melindungi data pribadi nasabahnya.

Dampak Diberlakukannya UU PDP

Dari segi Dampak, aplikasi UU PDP ini berdampak positif pada masyarakat umumnya terutama dalam hal kenyamanan terhadap data pribadinya, selain itu kepedulian masyarakat untuk menjaga data pribadi juga akan terus meningkat. Disisi lain bagi korporasi, dengan diberlakukannya UU PDD ini akan meningkatkan potensi tuntutan dari pemilik data untuk menuntut pihak yang menyalahgunakan data pribadinya dan upaya korporasi dapat memenuhi semua kewajiban dalam UU PDP termasuk upaya peningkatan ketahanan / keamanan siber.

Berikut gambaran deskriptif dari implementasi UU PDP :

• UU PDP berlaku untuk semua sektor atau tidak hanya untuk sektor finansial seperti Bank, Fintek, ataupun Perusahaan berbasis perdagangan dengan sistem elekronik (E-commerce) sebagaimana diatur dalam UU No. 71 Tahun 2019 Tentang Penyelenggara Sistem dan Transaksi Elektronik. Hal ini berdampak pada semua perusahaan apapun industrinya harus memenuhi UU PDP tanpa terkecuali.
• Jenis Data Pribadi secara ekplisit ditentukan dalam UU PDP (Data Pribadi yang bersifat spesifik, Data Pribadi yang bersifat umum). Dalam hal ini sensitivitas data menjadi sangat jelas terdefinisikan sehingga berdampak pada tingginya risiko tuntutan bagi perusahaan yang gagal dalam melakukan perlindungan data pribadi nasabahnya.
• Hak Pemilik Data Pribadi tertuang sangat jelas dalam UU PDP. Pada Bab IV mengenai Hak Subjek Data Pribadi Pasal 12,  Subjek Data Pribadi berhak menggugat dan menerima ganti rugi atas pelanggaran pemrosesan Data Pribadinya sesuai dengan ketentuan Peraturan Undang-Undang. Dalam hal ini proteksi UU PDP terhadap Subjek Pemilik Data Pribadi sangat jelas sehingga Perusahaan perlu menjalankan pemrosesan Data Pribadi dengan penuh kehati-hatian sesuai dengan ketentuan yang berlaku.
• Kewajiban terhadap pihak pengendali Data Pribadi berlaku dalam UU PDP berlaku  untuk seluruh sektor Industri dengan mengikuti standard keamanan cyber internasional. Dalam ISO 27001 misalnya perusahaan perlu mengelola dan mengendalikan serta menjaga risiko keamanan informasi perusahaan yang meliputi kerahasiaan (confidentiality), integritas (integrity) dan ketersediaan (availability) dimana prinsip tersebut juga tertuang dalam UU PDP di Bab VI mengenai Kewajiban Pengendali Data Pribadi dan Prosesor Data Pribadi dalam Pemrosesan Data Pribadi. Oleh karena itu, secara tidak langsung perusahaan perlu memenuhi prinsip keamanan siber internasional seperti ISO 270001, NIST, dsb.
• Sanksi berupa Denda sebanyak 2% dari pendapatan tahunan di UU PDP.  Aturan Sanksi berupa denda sebanyak 2% dari pendapatan tahunan ini tidak terdapat pada PP No. 71 Th. 2019 tentang Penyedia Sistem and Transaksi Elektronik dan Permenkominfo No. 20 Tahun 2016 tentang Perlindungan Data Pribadi Dalam Sistem Elektronik. Tentunya aturan ini secara langsung membuat semua perusahaan perlu memenuhi UU PDP dengan sebaik-baiknya.
• Ketentuan Pidana selama 4 -- 5 tahun penjara dan/atau denda sebanyak Rp. 4.000.000.000 -- Rp. 5.000.000.000. Dalam UU PDP aturan ini disempurnakan untuk memberikan efek yang positif untuk melindungi Data Pribadi Warga Negara Indonesia sebagaimana ketentuan di UU PDP Bab XIV mengenai Ketentuan Pidana, Pasal 67 dan Pasal 68.

Sanksi dan Ketentuan Pidana UU PDP :

Dari implementasi UU PDP yang sangat ketat tersebut diperlukan Manajemen Risiko yang tepat dalam menangani Risiko siber dalam terutama untuk sebuah korporasi.  Berikut diantaranya manajemen risiko yang dapat dilakukan sebagai upaya pemenuhan UU PDD dan meminimalisasi kebocoran data :  

• Mengukur maturitas keamanan dan ketahanan risiko siber dengan standard Internasional seperti NIST CSF, CIS CSC-20, dan ISO 27001.
• Mengkuantifikasi risiko dan dampak finansial yang terjadi akibat kebocoran data.
• Mempersiapkan incident response playbook bilamana terjadi kebocoran data.
• Melakukan pelatihan terhadap karyawan.
• Membuat IT Road Map (Peta Jalan) untuk mencapai ketahanan cyber yang memadai.
• Membuat strategi Manajemen Risiko termasuk upaya transfer risiko.

Untuk membantu mewujudkan manajemen risiko diatas korporasi dapat menggunakan jasa konsultan yang memiliki kapabilitas, tim yang berpengalaman, serta dan teknologi yang terpercaya. Tentunya dengan upaya tersebut akan memudahkan korporasi dalam membuat strategi dan Road Map / peta jalan yang tepat dalam upaya peningkatan sistem keamanan siber Perusahaan anda dalam rangka memenuhi UU PDP.

"UU PDP lahir sebagai upaya perlindungan Data Pribadi Warga Negara Indonesia yang perlu diimbangi kemampuan stakeholders (korporasi) dalam meningkatkan sistem keamanan sibernya"

"Diperlukan pendekatan yang komprehensif (Manusia, Teknologi, dan Risiko) untuk meningkatkan sistem keamanan siber Anda"

 

Tentang Penulis :

Damy Nugraha berpengalaman selama 13 sebagai risk consultant di Perusahaan multi nasional. Di bidang siber, ia berpengalaman sebagai konsultan manajemen risiko siber untuk 4 Perusahaan unicorn di Indonesia dan salah satu bank terbesar di Indonesia. Ia juga berpengalaman dalam membantu kliennya dalam proses klaim insiden siber kebocoran data yang juga merupakan salah satu insiden terbesar di Asia Tenggara.

Di bidang risk consultant ia mengawali karirnya di Jardine Lloyd Thompson Asia di tahun 2009. kemudian bergabung di Willis Towers Watson (WTW Indonesia) di tahun 2012 sebagai Head of FINEX dan Risk & Analytics. Saat ini ia menjabar sebagai Vice President -- Business Development di Marsh (Marsh McLennan Group Companies).

Pendidikan :

• Institut Teknologi Bandung (Bachelor of Engineering)
• IISP Skill Cyber Security -- Axis London
• Cyber Security Fundamental -- IBM
• University of California Berkeley (Micro Master, Marketing Analytics)

Pengalaman Sebagai Pembicara  :

• Sebagai pembicara di banyak even Cyber dan Risiko seperti Badan Siber dan Sandi Negara (BSSN), Badan Nasional Penanggulangan Bencana (BNPB), Asosiasi Pialang Asuransi dan Reasuransi Indonesia (APARI), dan Event yang diselenggarakan oleh Willis Towers Watson.