Kebocoran Data: Membongkar Ketidakacuhan pada Keamanan Siber

Privasi seakan tidak ada harganya lagi. Masyarakat Indonesia sudah terus-menerus diselimuti ketakutan akibat ketidakacuhan pada keamanan data. Setelah sekian perkara keamanan data, tampaknya belum ada pihak yang kapok. Suatu kasus besar baru menggemparkan kepercayaan masyarakat kepada suatu instansi, yakni pembocoran data yang diduga terkait dengan BPJS. 

Mengapa hal ini terjadi berulang kali? Apakah rasionalitas di balik ketidakpedulian terhadap keamanan data?

Sengkarut Informasi Seputar Kasus Pembocoran Data Terakhir

Minggu-minggu terakhir Mei dihujani berita bercampur rumor mengenai pembocoran data masyarakat Indonesia. Media beramai-ramai meliput berita miliaran data masyarakat Indonesia dijual di forum peretas bernama Raid Forums. Sang penjual, sebuah akun bernama Kotz, mengklaim memiliki data 279 miliar penduduk yang masih hidup maupun sudah meninggal. 

Data tersebut mencakup nama lengkap, Nomor Induk Kependudukan (NIK), alamat surel, nomor telepon, tempat dan tanggal lahir, serta gaji. Semua ini ditawarkan Kotz dengan harga 2 Bitcoin, atau sekitar US$74,568 (Rp 1,64 miliar). Kementerian Komunikasi dan Informatika (Kemenkominfo) kemudian memblokir Raid Forums.

Perilaku Kemenkominfo ini menuai kritik karena terkesan menggampangkan isu. Di sisi lain, Yerry Niko Borang, pemerhati keamanan siber, menganggap keputusan tersebut sebagai kebijakan jangka pendek. Namun, Yerry setuju bahwa isu kebocoran data tidak diselesaikan dengan  blokir dan harus segera dilanjutkan dengan perbaikan pengelolaan data.

Sejarah Pelanggaran Keamanan Siber

Kejadian bulan Mei adalah kasus kesekian dari berbagai kasus yang pernah terjadi di Indonesia. Tahun lalu, salah satu marketplace terbesar di Indonesia, Tokopedia tertimpa rumor serupa. Dikabarkan  91 juta data penggunanya dijual. Namun, setelah serangkaian pemeriksaan, rumor tersebut terbantahkan. Begitu pula dengan Bukalapak yang dikabarkan kebocoran data 13 juta pengguna, tetapi 13 juta pengguna tersebut bukan data baru, melainkan data yang pernah dibocorkan peretas Pakistan, Gnosticplayers. Beberapa perusahaan seperti RedDoorz dan Bhinneka.com juga santer dengan kasus serupa. 

Perisai Data Pribadi

Dengan rentetan kasus yang dialami Indonesia, terutama selama setahun terakhir ini, wajar jika keberadaan peraturan keamanan data ditunggu-tunggu. Namun, sampai detik ini, Indonesia belum memiliki undang-undang perlindungan data. Pada zaman yang dimeriahkan dengan frasa Industrial Revolution 4.0, ini menjadi aib bagi Indonesia. Luka semakin terkoyak dengan fakta bahwa negara tetangga kita yang masih berkembang, Malaysia, telah mengesahkan peraturan ini lebih dari satu dekade yang lalu. 

Data masyarakat Indonesia hanya berlindung di bawah payung hukum Peraturan Pemerintah (PP) Nomor 71 tahun 2019. Namun, PP ini belum cukup dan hanya berperan sebagai peraturan transisional. Peraturan yang lebih komprehensif amat dibutuhkan. Rancangan Undang-Undang Perlindungan Data Pribadi (RUU PDP), yang telah terdengar suaranya sejak 2019 dan dijadikan prioritas pada 2020, belum disahkan hingga kini. 

Menteri Kemenkominfo, Johnny Plate, mengaku terhalangi pandemi Covid-19. Realitas di baliknya lebih keruh; pengesahan RUU PDP menghadapi berbagai hambatan. Christina Aryani, anggota Komisi I DPR, menyatakan bahwa terdapat kericuhan antara DPR dan Kemenkominfo. DPR menginginkan komisi perlindungan data yang independen, sedangkan Kemenkominfo menginginkan komisi tersebut terintegrasi dengan pemerintah. DPR juga memprotes bahwa segregasi data (klasifikasi data yang dapat diakses pihak ketiga) belum dibahas.

Selain RUU PDP, Kemenkominfo juga mengeluarkan Peraturan Menteri Komunikasi dan Informatika No. 5 Tahun 2020 (Permenkominfo 5/2020) yang memicu pertanyaan berbagai pihak. Permen ini membahas Penyelenggara Sistem Elektronik (PSE) Lingkup Privat yang ada di Indonesia. PSE diwajibkan mendaftar kepada Kemenkominfo enam bulan setelah Permen keluar. 

Semua layanan harus tunduk pada sistem yang sama. Kejanggalan tidak berhenti di sana.  PSE harus memberi pemerintahan akses pada sistem dan data kapanpun diminta atas alasan pengawasan. Terdapat pula  pasal yang ambigu, seperti ketentuan informasi dan dokumen elektronik yang dilarang dalam Pasal 9 ayat (4) terutama bagian pada kata-kata "meresahkan masyarakat". Klausa ini subjektif dan tidak didefinisikan lebih lanjut. Bahkan, tidak tercantum prosedur pengajuan banding atau penentangan. Permen ini malah terkesan represif dan membungkam kebebasan berekspresi, bahkan mengancam privasi data. 

Alasan di Balik Penundaan Perlindungan Data

Mengapa berbagai pihak, perusahaan swasta maupun pemerintah, seakan tidak acuh pada keamanan data? Ekonomi perilaku mengungkap bahwa pemikiran manusia sering kali keliru. Pemikiran ini juga terbawa ke kasus keamanan siber.

Penelitian Alex Blau menunjukkan bahwa beberapa pengambil keputusan menggunakan model mental yang tidak tepat ketika menentukan investasi keamanan siber. Pengambil keputusan cenderung berpikir bahwa pertahanan siber sebatas membangun sebuah benteng dengan dinding-dinding kuat. Terkadang, mereka tidak terpikir bahwa peretas bisa menemukan celah untuk menyusup. 

Ada pula pemikiran bahwa investasi keamanan siber tidak perlu ditingkatkan. Sebabnya, mereka sedang tidak atau tidak pernah mengalami penyerangan siber. Deretan kekeliruan inilah yang menyebabkan tidak adanya atau kurangnya investasi dari sisi manajemen risiko karena hanya berfokus pada mitigasi risiko. 

Harga Sebuah Reputasi

Model mental yang salah tidak hanya mengancam keamanan data pelanggan, tetapi juga menyeret nama baik perusahaan, seperti kasus kebocoran data yang dikaitkan dengan BPJS. Saat ini, BPJS memang belum dipastikan bersalah dan mengaku telah menjaga keamanan datanya. Meskipun demikian, nama BPJS tetap menjadi sorotan. Lebih buruk lagi nasib pelaku sesungguhnya ketika hasil pemeriksaan dirilis. Namun, seberapa burukkah pengaruh pembocoran data pada reputasi?

Any press is good press. Aksioma ini tidak berlaku pada kasus ini. Varonis, perusahaan keamanan siber di Amerika Serikat menyimpulkan bahwa pelanggaran data menurunkan minat pelanggan pada perusahaan. Penurunan reputasi suatu perusahaan dapat melalui tiga cara: kehilangan kepercayaan, word of mouth yang negatif, dan beralihnya pelanggan ke kompetitor. 

Intensitas penurunan reputasi pada setiap kasus juga bervariasi. Berbagai faktor yang memengaruhinya antara lain adalah transparansi perusahaan akan kasus, loyalitas konsumen, jenis industri, dan demografi konsumen. Industri yang relatif baru di masyarakat, seperti layanan ride sharing (Uber, Gojek, dan Grab), harus lebih berhati-hati daripada industri-industri seperti retail yang telah lama dikenal masyarakat. 

Industri baru cenderung kurang dipercaya dibandingkan industri lama. Perusahaan dengan jumlah pelanggan generasi milenial yang signifikan juga harus tanggap dengan kasus pelanggaran data. Generasi tersebut memiliki tingkat kepercayaan rendah akibat sensitivitas yang lebih tinggi akan kemunculan pelanggaran data berskala besar.

Keamanan data memang menjadi prioritas pelanggan sehingga kasus kebocoran data tentu berdampak buruk pada reputasi dan kelangsungan bisnis. Ketika mengalami musibah tersebut, korban pembocoran data hanya dapat secepatnya mengumumkan kasus kepada publik, melakukan investigasi, dan meningkatkan investasi pada keamanan siber. 

Berkutat dengan Perang yang Tidak Berkesudahan

Kemajuan zaman tidak berarti permasalahan akan musnah begitu saja seiring inovasi. Oleh karena itu, sudah sepantasnya gema modernisasi dibalas dengan tindakan aktual, bukan asumsi belaka. Masalah akan terus muncul, tetapi dampaknya akan dibentuk oleh reaksi kita dan lingkungan sekitar. Apakah kita akan membiarkannya berkembangbiak dan menumbuhkan cabang, atau kita mencabut permasalahan ketika masih bertunas?

Diulas oleh: Amara Beatrice Hosianna Silalahi | Ilmu Ekonomi 2020 | Staf Divisi Kajian Kanopi FEB UI 2021

Daftar Referensi

Aqil, A. M. I. (2021, May 23). Alleged breach of BPJS data points to Indonesia's weak data protection: Experts. The Jakarta Post.

Bestari, N. P. (2021, January 11). Kapan UU Perlindungan Data Pribadi Terbit? Ini Kata Kominfo. CNBC Indonesia.

Blau, A. (2019, August 23). The Behavioral Economics of Why Executives Underinvest in Cybersecurity. Harvard Business Review

CNN Indonesia. (2019, November 13). Pemerintah Janjikan RUU PDP Diserahkan ke DPR Pada Desember. CNN Indonesia.

Hospelhorn, S. (2020, March 30). Analyzing Company Reputation After a Data Breach: Varonis. Inside Out Security.

Human Rights Watch. (2021, May 21). Indonesia: Suspend, Revise New Internet Regulation. 

Mawangi, G. T. (2021, March 16). DPR soroti dua isu yang berpotensi hambat pengesahan RUU PDP. Antara News.

Nistanto, R. K. (2021, April 29). Safenet Ungkap Pasal-pasal Bermasalah di Permenkominfo 5/2020. KOMPAS.com.

Nugroho, R. S. (2021, May 23). Kominfo Blokir Raid Forums Usai Kebocoran Data Penduduk Dinilai Tak Efektif, Ini Alasannya Halaman all. KOMPAS.com.