TEMPO.CO, Jakarta – Kasus dugaan bocornya data dua juta nasabah PT Asuransi BRI Life (BRI Life) menjadi lampu merah bagi pemerintah untuk memperkuat regulasi keamanan data pribadi masyarakat. Direktur Information and Communication Technology atau ICT Institute Heru Sutadi mengatakan kasus tersebut membuktikan bahwa regulasi yang dimiliki otoritas sangat lemah.

“Aturan kita masih lemah. Tidak ada fungsi pemaksa bagi wali data untuk melindungi data penggunanya,” ujar Heru saat dihubungi Tempo pada Kamis, 29 Juli 2021.

Data dua juta nasabah BRI Life diduga bocor dan dijual secara online. Informasi bocornya data nasabah BRI Life diunggah sebuah akun Twitter pada Selasa, 27 Juli 2021. Dalam unggahan tersebut, tertulis bahwa pelaku mengancam menjual data sensitif milik BRI Life. Peretas disinyalir mencuri 250 gigabyte data nasabah perusahaan asuransi tersebut dan dijual seharga US$ 7.000 atau Rp 101,5 juta.

Kasus kebocoran data pribadi nasabah BRI Life bukan yang pertama atau kedua kali terjadi dalam kurun waktu singkat. Heru mengatakan tren kebocoran data meningkat, bahkan ditemukan hampir setiap bulan.

Berdasarkan data Kementerian Komunikasi dan Informatika, dalam tiga tahun terakhir, terdapat 29 lembaga yang datanya dibobol. Pada Mei 2021 lalu, data 279 peserta BPJS Kesehatan bocor dan dijual di Raid Forums seharga 0,15 Bitcoin atau sekitar Rp 87,1 juta.

Setahun sebelumnya, data 91 juta pengguna Tokopedia, termasuk tujuh juta merchant, juga bocor. Data ini dijual di situs gelap Empire Market seharga US$ 5.000.

Heru mengatakan tidak pernah ada penindakan yang serius terhadap kasus-kasus pembobolan data pribadi masyarakat. Regulator pun tampak abai. Beberapa kasus terkesan menghilang begitu saja. “Penindakan tidak ada yang harus ganti rugi ke pengguna atau masuk pengadilan. Ini masih lemah,” kata Heru.

Bahkan regulator maupun instansi yang bertanggung jawab atas keamanan data beberapa kali terlihat tidak mengakui adanya kasus pembobolan data dan tidak transparan terhadap berbagai kasus. Dia mencontohkan kasus pencurian data Facebook beberapa tahun lalu.

“Mark Zuckerberg sendiri minta maaf dan mengakui ada kebocoran, di Indonesia dinyatakan tidak ada kebocoran,” ujar Heru.

<!--more-->

Menurut Heru, selama pemerintah tidak transparan terhadap kasus kebocoran data serta tidak memiliki aturan sanksi tegas, peristiwa serupa akan terus mengancam pada masa mendatang di tengah meningkatnya ekosistem digital. Akibatnya, masyarakat yang mempercayakan datanya akan menjadi korban. Pada kasus-kasus kebocoran data pribadi, data masyarakat berpotensi digunakan untuk berbagai kejahatan, utamanya kejahatan siber.

Menteri Komunikasi dan Informatika Johnny Gerald Plate mengatakan kasus kebocoran data muncul karena adanya permainan pihak dalam entitas. “Kamu melihat tata-kelola teknologinya, manajemen, sumber daya manusia di penyelenggara sistem elektronik itu untuk menjaga datanya,” kata Johnny.

Kementerian Komunikasi dan Informatika telah memanggil Direksi BRI Life untuk meminta keterangan ihwal dugaan kebocoran itu, kemarin. Berdasarkan pertemuan itu, Kementerian menduga adanya celah keamanan pada sistem elektronik BRI Life yang disalah-gunakan oleh pihak-pihak yang tidak bertanggung jawab.

Kementerian Kominfo berjanji akan menindaklanjuti hasil pertemuan tersebut dengan melakukan komunikasi intensif bersama BRI Life. Kominfo akan memberikan pendampingan terhadap BRI Life untuk mengamankan sistem maupun tata kelola data yang ada. Selain itu, Kominfo akan berkoordinasi dengan berbagai pihak, seperti Badan Siber dan Sandi Negara serta Polri, untuk menangani dugaan kebocoran data pribadi ini.

Manajemen BRI Life tengah melakukan investigasi terhadap kasus pembobolan data. Manajemen menyatakan terdapat intrusi oleh pelaku kejahatan siber ke sistem BRI Life Syariah. Namun, manajemen mengklaim sistem itu terpisah dari sistem utama BRI Life dan jumlah data yang ada tidak sebanyak yang diklaim peretas.

Corporate Secretary BRI Life Ade Ahmad Nasution menjelaskan berdasarkan hasil investigasi hingga hari Rabu, 28 Juli 2021, perseroan mencatatkan tidak lebih dari 25 ribu pemegang polis syariah individu yang datanya bocor. Data tersebut tidak berkaitan dengan data BRI Life maupun BRI Group lainnya.

Perseroan juga menyatakan data nasabah PT Bank Rakyat Indonesia (Pesero) Tbk. (BBRI) dan BRI Group aman. Kemudian, tautan awal mengenai data perseroan di forum jual beli sudah tidak dapat ditemukan.

<!--more-->

Otoritas Jasa Keuangan atau OJK sebenarnya telah merilis aturan manajemen risiko untuk penggunaan teknologi informasi guna menjaga data konsumen non-bank. Ketentuan itu tertuang dalam Peraturan OJK Nomor 4/pojk.05/2021 yang mengatur bisnis asuransi, dana pensiun, lembaga pembiayaan, dan jenis keuangan lainnya.

Lembaga jasa keuangan non-bank atau LJKNB LJKNB wajib menerapkan manajemen risiko secara efektif dalam penggunaan teknologi informasi. Penerapan manajemen risiko mencakup paling sedikit pengawasan dari direksi dan dewan komisaris serta kecukupan kebijakan dan prosedur penggunaan teknologi informasi.

Penerapan manajemen risiko dilakukan secara terintegrasi sejak proses perencanaan, pengadaan, pengembangan, operasional, pemeliharaan, hingga penghentian dan penghapusan sumber daya teknologi dan informasi. Kemudian, OJK mewajibkan LJKNB wajib memiliki rencana pemulihan bencana yang telah diujicobakan. Kemudian, OJK mewajibkan perusahaan dengan aset lebih dari Rp 1 triliun membentuk komite pengarah teknologi informasi.

Setelah kasus kebocoran data nasabah BRI Life terungkap, berbagai pihak mendesak percepatan pengesahan Rancangan Undang-undang Perlindungan Data Pribadi atau RUU PDP. Anggota Komisi I DPR RI Sukamta, mengajak pemerintah untuk segera menyelesaikan RUU tersebut.

"RUU PDP harus segera diselesaikan agar data rakyat terlindungi. Saat ini hambatan utama mengenai lembaga pengawas harus segera diatasi," kata Sukamta.

Sukamta mengatakan Lembaga PDP harus bersifat independen, memiliki otoritas mengawasi, menyelidiki, menengahi masalah antara pemilik dan pengguna data hingga memutuskan perkara sengketa data. Berdasarkan tugas dan wewenang tersebut, posisi lembaga ini harus independen bukan di bawah kementerian, namun sebuah badan atau komisi khusus.

Pembahasan lanjutan RUU PDP saat ini berhenti akibat perbedaan pendapat mengenai posisi lembaga Perlindungan Data Pribadi. Sukamta mengatakan pemerintah melalui Kementerian Komunikasi dan Informatika ingin lembaga tersebut di bawah mereka. Sedangkan DPR ingin sebuah lembaga independen di bawah presiden.

BACA: Data Nasabah BRI Life Bocor, DPR Minta Kominfo Lakukan Asesmen Menyeluruh

FRANCISCA CHRISTY ROSANA | YOHANES PASKALIS | EGI ADYATAMA | BISNIS