JURNAL MEDAN - Pakar keamanan siber Pratama Persadha mengatakan audit digital forensik perlu dilakukan terhadap lembaga yang mengalami kebocoran data.
Hal ini diungkapkannya setelah KPU diduga mengalami kebocoran 105 juta data pemilih yang ditawarkan di sebuah forum online, Selasa, 6 September 2022.
Peristiwa ini jadi perbincangan sekaligus menimbulkan kekhawatiran masyarakat Indonesia yang terus menerus disuguhkan insiden kebocoran data.
Bulan Agustus 2022, kebocoran data di terjadi di PLN, Indihome, database 21 ribu perusahaan, 1,3 Miliar data registrasi SIM card masyarakat Indonesia, dan 105 juta data pemilih KPU diduga bocor.
Pratama Persadha menuturkan kebocoran data yang diunggah anggota forum situs breached.to dengan nama identitas 'Bjorka' juga membocorkan data riwayat browsing pelanggan Indihome dan 1,3 Miliar data registrasi SIm card.
Kini, Bjorka membocorkan 105 juta data pemilih KPU dengan memberikan sampel sebesar 1.048.576 data pemilih dari berbagai provinsi dalam file Exel sebesar 75 MB saja.
Data yang diunggah yaitu provinsi, kota, kecamatan, kelurahan, TPS, NIK-KK, nama, tempat lahir, tanggal lahir, usia, jenis kelamin dan alamat.
Baca Juga: KPU Bantah Kebocoran Data, Gandeng Polri Mengusut Pelaku yang Seolah-olah Menyatakan DPT 2019 Bocor
"Data berjumlah 105.003.428 ini dijual dengan harga US$ 5.000 dalam file sebesar 4GB saja bila dalam keadaan dikompres," kata Pratama yang juga chairman lembaga riset cyber CISSReC (Communication and Information System Security Research Center), Kamis, 8 September 2022.
Data tersebut bisa dicek validitasnya, misalnya, dengan data lain hasil kebocoran data seperti 91 juta data Tokopedia yang bocor pada awal 2020 atau data bocor registrasi SIM card.
Bjorka juga membuka akses telegram grup bagi siapapun yang ingin menguji validitas data yang dijualnya.
Anggota grup bisa meminta request dengan nama maupun NIK dan Bjorka akan memberikan datanya secara spesifik lengkap.
"Ada beberapa institusi yang memiliki data ini, yaitu KPU, Dukcapil, Bawaslu, bisa jadi juga Partai Politik dan lembaga lain, KPU lebih tahu soal ini. Sepertinya perlu diaudit satu per satu agar tahu dimana kebocorannya," jelas dia.
Pratama menggarisbawahi hal ini penting diinvestigasi mengingat saat ini sudah hangat situasi politik tanah air.
Jangan sampai data pemilih bocor ini menjadi hal yang kontraproduktif pada proses penyelenggaraan pemilu.
"Ada hal mengganjal soal jumlah data 105 juta, padahal total pemilih 2019 saja sudah 192 juta. Artinya ada 87 juta lebih data yang belum ada. Saya sudah coba mengkonfirmasi ke Bjorka namun belum mendapat jawaban," terangnya.
Baca Juga: CISSReC Soroti Keamanan Data GoTo yang Bakal Menguasai Jalur Distribusi Manusia, Barang, dan Makanan
Data pemilih bocor tentu saja membuat masyarakat mengalihkan perhatian ke KPU.
KPU, kata dia, tinggal melakukan pengecekan apakah ada anomali trafik di sistemnya. Jika tidak ada, maka terbuka kemungkinan terjadi insider threat attack.
Selain itu, Pratama meminta BSSN juga masuk lebih dalam pada berbagai kasus kebocoran data di tanah air.
Minimal BSSN menjelaskan ke publik bagaimana dan apa saja yang dilakukan berbagai lembaga publik yang mengalami kebocoran data akibat peretasan.
Sementara itu, hingga kini Indonesia tak kunjung memiliki UU Perlindungan Data Pribadi yang melindungi data warganya.
Tidak ada upaya memaksa dari negara kepada peneyelenggara sistem elektronik (PSE) untuk mengamankan data dan sistem yang mereka kelola dengan maksimal atau dengan standar tertentu.
"Akibatnya, banyak terjadi kebocoran data, namun tidak ada yang bertanggungjawab, semua merasa menjadi korban," jelasnya.
Pratama menjelaskan, jika bicara soal sanksi kebocoran data, maka sementara ini yang bisa dipakai permenkominfo nomor 20 tahun 2016, karena UU PDP sampai saat ini belum disahkan.
Adapun sanksi dalam permen teraebut hanya sanksi administrasi diumumkan ke publik, yang paling tinggi dihentikan operasionalnya sementara.
Selain itu, dalam Pasal 100 ayat (2) PP Nomor 71 Tahun 2019 tentang PSTE (Penyelenggara Sistem Transaksi Elektronik), terdapat pemberian sanksi administrasi atas beberapa pelanggaran perlindungan data pribadi.
Diantaranya sanksi teguran tertulis, denda administratif, penghentian sementara, pemutusan akses dan dikeluarkan dari daftar.***