Akhir pekan lalu publik dikejutkan oleh pemberitaan tentang kebocoran data kependudukan Indonesia yang secara bebas dijual di forum online pada peretas, Raid Forum.
Menurut informasi yang tersebar luas di media sosial, penawaran tersebut menyediakan 279 juta data penduduk di Tanah Air, termasuk data orang yang sudah meninggal dunia. Dari total jumlah itu ada 20 juta orang yang dilengkapi dengan data base foto pribadi.
Lebih lanjut dalam deskripsinya, data yang ditawarkan tersebut meliputi nama, nomor KTP, nomor telepon, email, dan alamat. Bahkan untuk meyakinkan calon pembeli, forum tersebut sempat memberikan tautan berisi 1 juta data sampel untuk dicek sendiri kebenarannya secara gratis, meskipun link itu kini sudah dihapus.
Sontak saja informasi kebocoran data ini langsung heboh diperbincangkan. Sejumlah dugaan muncul dan menyebutkan sumber kebocoran data berasal dari BPJS Kesehatan.
Segudang pertanyaan berikutnya pun menyeruak dari diskursus ini salah satunya yaitu bagaimana mungkin data tersebut bisa ada di tangan pihak ketiga? Bukankah semestinya data penduduk ini bersifat rahasia dan dilindungi oleh pemerintah?
Memang pemerintah langsung merespons dengan menyelidiki kasus kebocoran tersebut. Bahkan secara lugas DPR telah memberikan mandat kepada kepolisian untuk membentuk tim khusus agar kasus ini dapat diusut secara tuntas.
Pertimbangannya, kebocoran data ini sangat mengkhawatirkan karena informasi penduduk tidak seharusnya berada di pihak yang tak bertanggung jawab. Akan tetapi, sejatinya kasus kebocoran data penduduk seperti ini bukanlah kali pertama. Masih ingat dalam ingatan beberapa peristiwa serupa terjadi meskipun dalam skala lebih kecil.
Pada 18 Juni 2020 misalnya, data sekitar 230.000 orang terkait kasus Covid-19 berhasil dicuri dan dijual dalam forum peretas lain, RapidForums. Penjual ini berani menawarkan informasi nama, status kewarganegaraan, tanggal lahir, umur, nomor telepon, alamat rumah, NIK, bahkan hingga hasil tes Corona.
Kasus lainnya terjadi pada Mei 2020 dengan penawaran data 2,3 juta warga dan pemilih Indonesia yang dijual di forum peretas lain. Masih pada bulan dan tahun yang sama, ada data 1,2 juta pengguna Bhinneka dibanderol dengan harga US$1.200.
Berikutnya, ada penawaran atas 91 juta akun pengguna Tokopedia plus 7 juta akun merchant pada 20 Maret dan pada Maret 2019 data 13 juta pelanggan Bukalapak dilaporkan dicuri oleh hacker asal Pakistan. Pada 2018 jagat maya juga dihebohkan dengan tawaran data konsumen sektor jasa keuangan.
Tentu saja para peretas ini bekerja dengan cara hit and run sesuai dengan keahliannya. Dengan aksi yang terjadi berkali-kali itu, hampir dapat dipastikan jaringan peretas ini akan sulit untuk ditangkap melalui cara-cara standar tanpa melibatkan praktisi di bidang teknologi informasi.
Harian ini mengingatkan jika kasus kebocoran data ini masih disikapi dengan pernyataan kesiapan semata untuk menyelidiki kasus tanpa keahlian memadai, kasus serupa dapat saja muncul di kemudian hari.
Alhasil, selain meningkatkan kemampuan dari sisi teknis, pemerintah juga sudah saatnya memiliki Undang-Undang Perlindungan Data Pribadi. Ini mengingat upaya penyelidikan kasus-kasus sebelumnya tidak terungkap secara tuntas. Agaknya Indonesia saat ini berada dalam kondisi darurat perlindungan data.
Untuk itu, Indonesia perlu memiliki UU Perlindungan Data Pribadi agar pemerintah tidak melulu responsif berhasrat mengejar para tikus tetapi juga mempunyai proteksi dari sisi hilir, yaitu institusi penyimpan data.
Eksistensi UU tersebut diharapkan dapat mengatur secara lebih jelas dan tegas kewajiban institusi pemroses data pribadi bagi siapa pun itu; badan publik, lembaga negara atau sektor swasta. Dengan demikian, institusi pemroses data pribadi memiliki porsi tanggung jawab untuk turut menjaga data.