Kasus Bjorka dan Keamanan Data di Indonesia

Penangkapan pemuda penjual minuman es asal Madiun pada Rabu (14/9/2022) menjadi salah satu bagian dalam alur panjang peretasan data pemerintah Indonesia dalam kasus Bjorka. Setelah ditangkap dan diinterogasi, sang pemuda bernama Muhammad Agung Hidayatullah menyampaikan dirinya bersalah pada Sabtu (17/9/2022).

Tim Siber Mabes Polri menetapkan Agung terlibat dalam kasus peretasan dengan menjual chanel Telegram ke Bjorka. Agung yang tinggal di Dusun Mawatsari, Desa Banjarsari, Kecamatan Dagangan dikenai Undang-Undang tentang Informasi dan Transaksi Elektronik (UU ITE).

Tidak hanya kepada Agung, tudingan juga mengarah kepada pemuda Desa Klayan, Kecamatan Gunung Jati, Cirebon, Muhamad Said Fikriansyah. “Semalam saya belum makan. Saya minta ditemenin teman. Kalau sendirian, kepikiran (tuduhan itu) lagi,” ucap Said, Kamis (15/9/2022), menjelaskan dampak tuduhan pada dirinya. Sebuah akun Instagram menuduhnya sebagai Bjorka, Selasa (13/9/2022) dengan memaparkan wajah dan rumah Said sebagai Bjorka.

Padahal, foto dan rumah yang ditampilkan sama sekali berbeda dengan milik Said. Rumah Said berada di lorong dengan lebar satu sepeda motor, berbeda dengan kabar rumah Bjorka yang tinggal di perumahan elite. “Saya bukan Bjorka. Saya juga enggak tahu kenapa di-tag sama akun itu. Saya juga enggak kenal. Saya sampai bertanya dalam hati. Kok gini ya?” ujarnya. (Kompas,16/9/2022, “Siapa Pun Rentan Jadi Peretas Sekaligus Korban ‘Bjorka'”).

Ragam dampak pada masyarakat kecil tersebut terjadi sebagai buntut dari kasus pembobolan server pemerintah dan penyerbaluasan data ke publik sejak akhir Agustus. Beberapa kali, sebuah akun anonim yang menggunakan nama Bjorka memberikan informasi data konfidensial.

Mulai dari memasarkan data pribadi dari registrasi kartu SIM semua operator telekomunikasi, data dari situs Komisi Pemilihan Umum (KPU), hingga menyebarkan data surat-menyurat Presiden dan data pribadi sejumlah pejabat negara. Berawal dari media Telegram, Bjorka lantas beralih ke Twitter.

Sebagai bentuk respon atas kasus ini, pemerintah lantas membentuk Satuan Tugas (Satgas) perlindungan data pada Rabu (14/9/2022). Pembentukan Satgas diumumkan langsung oleh Menteri Koordinator Bidang Politik, Hukum, dan Keamanan (Menko Polhukam) Mahfud MD. Satgas ini ditunjukkan untuk mengusut kebocoran data yang dilakukan oleh Bjorka, terutama setelah menyebarkan data identitas pejabat dan surat-menyurat Presiden.

Meski begitu, pakar digital forensik sekaligus pendiri Digital Forensic Indonesia, Ruby Alamsyah, pada Rabu (14/9/2022), justru menyayangkan tindakan demikian. Seharusnya, pemerintah tidak semata bertindak hanya dan untuk mengusut kebocoran oleh akun peretas Bjorka, sebab permasalahan kebocoran data pribadi telah terjadi sejak begitu lama dan menyerang masyarakat luas.

Data pribadi masyarakat yang telah disebarkan secara masif dalam beberapa tahun ke belakang pun jumlahnya nyaris tak terhitung lagi. Selain itu, elemen data yang tersebar pun lumayan lengkap karena terkait seluruh identitas warga. “Semestinya Satgas Perlindungan Data ini bisa mengusut kebocoran data pribadi masyarakat yang terjadi sudah sejak lama, tidak hanya fokus pada data rahasia negara dan pejabat tertentu saja,” kata Ruby.

Ruby menegaskan seharusnya Satgas juga menginvestigasi secara menyeluruh kasus dan sistem yang mengakibatkan kebocoran ini sendiri yang merugikan publik (Kompas, 15/9/2022, “Satgas Harus Lakukan Investigasi Menyeluruh”).

Tanggapan akan perlunya evaluasi secara menyeluruh juga selaras dengan yang disampaikan oleh Chairman Communication & Information System Security Research Center Pratama Persadha, pada Jumat (19/8/2022), di Jakarta. Pratama berangkat dari kasus kebocoran data pelanggan perusahaan BUMN negara, PT Perusahaan Listrik Negara (PLN) yang terjadi kurang lebih sebulan sebelum kasus Bjorka.

Disampaikan Pratama, pemerintah harus melakukan upaya untuk berfokus pada evaluasi sistem mereka. Caranya adalah lewat tindakan forensik digital menyeluruh sehingga dicapai pemahaman terhadap celah keamanan yang diterobos (Kompas, 20/8/2022, “Masalah Keamanan Data Kembali Mengemuka”).

Dalam koridor kebahasaan, peretasan berpadanan dengan kata “hack” dalam Bahasa Inggris. Secara etimologis, kata ini terbentuk dari masa Inggris kuno yang mengadopsi Bahasa Jerman Barat, yakni “haccian”. Makna aslinya tersebut merujuk pada kayu yang terpotong-potong.

Dalam kata turunan di Inggris modern, haccian menjadi kata kerja hack. Meski masih mempertahankan unsur makna aslinya, turut ditambahkan definisi baru dari kata ini, yakni “menggunakan komputer untuk mendapatkan akses tidak sah ke data dalam suatu sistem”. Dari pemahaman ini, peretas merujuk pada sosok yang melakukan tindakan hack tersebut.

Dalam Kamus Besar Bahasa Indonesia sendiri, makna modern kosakata ini masih belum terakomodir. Namun, konteks terminologisnya soal “perolehan data secara tidak sah” telah dipahami oleh masyarakat Indonesia.

Tindakan hack atau peretasan digital termasuk dalam kategori data breach (pelanggaran data atau kebocoran data). Istilah ini lantas juga digunakan sebagai penamaan wadah bagi jual-beli data yang diperoleh secara tidak sah tersebut. Sebut saja forum daring Breach Forums yang melakukan jual beli terhadap data bocor pelanggan PT PLN (Kompas, 20/8/2022, “Masalah Keamanan Data Kembali Mengemuka”).

Dalam kenyataannya, konsep-konsep terkait keamanan dan pelanggaran data tersebut telah begitu akrab dalam konteks Indonesia. Hal ini disebabkan oleh masifnya pelanggaran dan kasus data daring yang terus menerus terjadi.

KOMPAS/WISNU WIDIANTORO

Tampilan laman Raidforums.com, forum diskusi pembobolan basis data internet, yang diakses warga di Jakarta, Senin (6/7/2020). Keamanan sistem informasi di ruang siber di Indonesia masih perlu ditingkatkan guna mencegah pencurian data dari laman daring pemerintah dan swasta.

Mengacu pada artikel ilmiah “Perlindungan Data Personal Siber di Indonesia”, disebutkan pada 2013 Indonesia berada di peringkat kedua tertinggi dalam hal sumber serangan siber. Hal ini mengindikasikan bahwa sejak satu dekade lalu, kapasitas pemerintah Indonesia dalam mengelola ruang siber sangat lemah.

Tidak adanya perubahan signifikan tersebut ditunjukkan melalui data National Cyber Security Index (NCSI) pada tahun 2022. NCSI atau Indeks Keamanan Siber Nasional, keamanan siber Indonesia berada peringkat ke-83 dari 160 negara. Dalam peringkat tersebut, di lingkup Asia Tenggara, Indonesia memperoleh kedudukan terendah kelima.

Peringkat tersebut berangkat dari Indeks Keamanan Siber Nasional yang hanya memperoleh angka 38,96 dari nilai maksimal 100. Angka tersebut jauh di bawah skor negara-negara tetangga. Malaysia misalnya, memiliki keamanan siber terbaik di kawasan Asia Tenggara dengan skor 79,22.

Lebih lanjut, Singapura berada di posisi kedua dengan mencatatkan skor keamanan siber sebesar 71,43. Selanjutnya, ada Thailand (64,9), Filipina (42,86), dan Brunei Darussalam (41,56).

Indeks ini digunakan untuk menjadi acuan kapasitas keamanan siber sebuah negara yang diimplementasikan oleh pemerintah negara terkait. Penilaian NCSI dilakukan dengan dasar sejumlah indikator, di mana rendahnya skor NCSI secara keseluruhan yang diperoleh Indonesia, turut menunjukkan kedangkalan kapasitas pemerintah dalam indikator-indikator spesifik terkait. Indikator yang dimaksud, antara lain:

1. Aturan hukum negara terkait keamanan siber.
2. Kehadiran lembaga pemerintah di bidang keamanan siber.
3. Kerja sama pemerintah dalam masalah keamanan siber.
4. Bukti-bukti publik seperti situs resmi pemerintah atau program lain yang terkait.

Keterbatasan perihal keamanan siber tersebut turut ditegaskan dalam penelitian yang dilakukan oleh Kompas pada Oktober 2021 dalam statistik Penilaian Kerentanan. Penilaian dilakukan dalam kerja sama dengan konsultan keamanan siber terhadap 30 situs pemerintah di level kabupaten/kota, provinsi, dan pusat.

Secara lebih rinci, situs-situs tersebut terdiri atas empat situs KPU tingkat kabupaten/kota, tiga situs Pengadilan Negeri, empat situs Dewan Perwakilan Rakyat Daerah tingkat kabupaten/kota, empat situs lembaga di tingkat pusat, lima situs milik pemerintah kabupaten/kota, lima situs milik pemerintah provinsi, dan lima situs kementerian.

Dalam penilaian kerentanan terhadap 30 situs milik pemerintah tersebut, hanya tiga situs yang tidak dapat dideteksi kerentanannya. Sementara 27 situs lainnya, memiliki kualitas kerentanan dalam tingkat yang beragam, mulai dari tingkat kerentanan kritis, tinggi, sedang, hingga rendah.

Dari peringkat tersebut, sembilan di antaranya berada pada tingkat “kerentanan kritis” dan 26 situs milik pemerintah memiliki tingkat “kerentanan tinggi”. Secara umum, kerentanan tersebut diakibatkan ketiadaan pembaruan server web atau masih menggunakan versi lamanya. Kerentanan menjadi celah bagi masuknya peretas/hacker untuk melakukan akses masuk tanpa melalui otentifikasi masuk ke jaringan.

Disampaikan oleh Ruby Alamsyah, semakin kritis tingkat kerentanan sebuah situs dan semakin banyak kerentanannya, semakin mudah situs tersebut dibobol peretas. Hal demikian turut menjelaskan faktor di balik rendahnya angka keamanan data di negara Indonesia (Kompas, 29/10/2021, “Situs Pemerintah Mudah Diretas, Data Warga Dijual Bebas”).

Selain itu, Ruby juga menyampaikan bahwa Indonesia tengah berada dalam situasi darurat kedaulatan siber. Ia menyoroti kasus pembocoran data bertubi-tubi terjadi di Indonesia, dan kian meningkat dalam waktu tiga tahun terakhir.

“Padahal, tiga tahun terakhir saja ada tren peningkatan kebocoran data, baik secara kuantitas maupun kualitas data. Artinya, data yang telah dibocorkan dan dipasarkan pihak tertentu semakin menarik dan sifatnya semakin rahasia,” tuturnya.

Kehadiran data-data empiris tersebut menjadi peringatan besar sekaligus fakta kontradiktif apabila dikaitkan dengan perkembangan masyarakat daring Indonesia. Sebab di sisi lain, Indonesia menempati posisi nomor satu dengan jumlah pengguna internet terbanyak di dunia.

Mengacu pada Statistik Telekomunikasi Indonesia 2021 yang dipublikasikan oleh Badan Pusat Statistik (BPS), didapatkan bahwa hingga 62,10 persen populasi Indonesia telah mengakses internet pada tahun 2021. Pada tahun tersebut, bahkan turut tercatat hingga 90,54 persen rumah tangga di Indonesia telah memiliki setidaknya satu nomor telepon seluler. Data-data tersebut diperoleh dari hasil pendataan Survei Susenas 2021.

Data yang dipublikasikan oleh Hootsuite (We Are Social) bahkan menunjukkan angka yang lebih besar. Hingga Januari 2022, hasil dari pendataan yang dilakukan menunjukkan ada 204,7 juta pengguna internet di Indonesia. Jumlah tersebut sama dengan 73,7 persen dari total populasi pada jangka waktu yang sama.

Selain pada tataran demografis pengguna internet, besarnya pemanfaatan digital di Indonesia juga tampak di sektor ekonomi. Pertumbuhan ekonomi digital Indonesia adalah yang tertinggi di Asia Tenggara. Angkanya mencapai 70 miliar dollar AS pada 2021 dan diperkirakan akan mencapai 146 miliar dollar AS pada 2025 (Kompas, 2/8/2022, “Meneguhkan Kedaulatan Digital”).

Dengan angka yang demikian masif, seharusnya pemerintah Indonesia melengkapi kehadiran masyarakat informasi tersebut dengan keamanan data. Minimnya kapasitas pemerintah atas hal ini berarti turut menjatuhkan atau bahkan membiarkan 73,7 persen masyarakat Indonesia dalam potensi kebocoran data pribadi.

Oleh karenanya, tingginya tingkat penetrasi internet harus dilengkapi dengan tingkat keamanan yang baik pula. Bertolak dari tingginya digitalisasi di sektor ekonomi, Indonesia juga perlu memperthatikan capaian kedaulatan digital. Kedaulatan digital menjadi faktor determinan dalam melindungi pertumbuhan ekonomi.

Ketimpangan antara penggunaan internet yang tinggi di kalangan masyarakat, dengan minimnya kapasitas pemerintah Indonesia dalam mengembangkan sistem keamanan data yang baik, berdampak pada kemunculan kasus-kasus peretasan data. Situs pemerintah terbukti tidak mumpuni untuk menjaga keamanan data.

Sebagai dampaknya, sebagaimana telah disampaikan Ruby Alamsyah, jumlah kasus peretasan dan kebocoran data di Indonesia telah tak terhitung jumlahnya. Dari jumlah tersebut yang telah terjadi selama bertahun-tahun, setidaknya terdapat beberapa kasus besar yang menarik perhatian masyarakat maupun pemerintah.

Kasus Peretasan Bjorka (2022)

Kasus peretasan dan jual-beli data oleh akun anonim yang menggunakan nama Bjorka menjadi salah satu kasus paling aktual hingga bulan September 2022. Ia melakukan pemasaran data pribadi, dokumen konfidensial pemerintah, hingga data pribadi sejumlah pejabat tinggi negara.

Mengacu pada Kompas (12/9/2022, “Kebocoran Data Terus Terjadi”), tindakan peretasan yang dilakukan Bjorka dimulai dengan memasarkan 1,3 miliar data registrasi kartu SIM. Data tersebut disebut berasal dari semua operator telekomunikasi pada akhir Agustus lalu.

Berselang enam hari setelahnya, akun Bjorka memasarkan 105 juta data penduduk yang diklaim hasil membobol situs KPU. Data-data ini dipasarkan melalui forum daring Breached.to.

Tak berhenti di situ, pada Sabtu (10/9/2022), Bjorka kembali muncul dengan mengklaim dirinya telah mengunduh 679.180 dokumen negara. Ia juga mengunggah sejumlah dokumen yang dikirimkan kepada Presiden Joko Widodo, termasuk surat-menyurat dari Badan Intelijen Negara (BIN) dengan label rahasia.

Selain itu, Bjorka juga mengunggah data pribadi milik sejumlah pejabat negara. Termasuk di dalamnya adalah Menteri Komunikasi dan Informatika (Menkoinfo) Johnny G Plate, Ketua DPR Puan Maharani, dan Menteri Badan Usaha Milik Negara Erick Thohir.

Kegiatan intervensinya terhadap kedaulatan data negara dilanjutkan dengan penyebaran pesan terkait peristiwa pembunuhan aktivis hak asasi manusia Munir serta bank data aplikasi Mypertamina milik PT Pertamina. Kasus Munir akhirnya dibuka dengan memberikan sosok tersangka pembunuhan.

Dalam rentetan peristiwa tersebut, pihak Istana justru membantah terjadinya kebocoran data. Kepala Sekretariat Presiden Heru Budi Hartono saat dikonfirmasi terkait dugaan peretasan, Sabtu (10/9/2022), menyampaikan tidak ada isi data penting di Istana Kepresidenan yang bocor di dunia maya. “Tidak ada isi data yang diretas. Surat-surat penting pasti kami mempunyai mekanisme lain dan berbeda,” katanya.

Mengomentasi masalah ini, Ruby menilai manuver Bjorka adalah imbas ketidakmampuan negara dalam memitigasi risiko kebocoran data. Alih-alih menginvestigasi sistem keamanannya, otoritas terkait justru mengeluarkan pernyataan tidak substantif dan saling melempar tanggung jawab. Sejumlah lembaga yang disebut oleh Bjorka bahkan menyangkal adanya kebocoran.

Kompas.id (15/9/2022, “Benarkah Aksi ”Bjorka” Didukung Warganet?”) memaparkan bahwa kasus Bjorka memiliki keunikan bila dibandingkan dengan kasus peretasan data sebelumnya. Manuver-manuver Bjorka berhasil menarik perhatian bahkan dukungan publik, secara khusus masyarakat dunia maya (warganet).

Media sosial Twitter sendiri menjadi wadah paling “ribut” yang membahas kasus ini. Polemik pro dan kontra terus mengemuka dalam diskusi demokratis digital. Kehadirannya selaras dengan protes publik yang tengah gerah dengan kapasitas Kementerian Kominfo terhadap kasus kebocoran data yang terus terjadi di Indonesia.

Sejumlah pihak menyebut Bjorka sebagai sosok “Robin Hood”. Ia dianggap mewakili suara masyarakat kecil terhadap kekuasaan digital pemerintah yang semena-mena. Namun, muncul pula sikap skeptisisme terhadap motif tindakan Bjorka. Secara khusus anggapan bahwa kemunculannya diduga untuk mengalihkan perhatian publik dari isu-isu penting. Termasuk seperti isu kenaikan harga BBM, kenaikan harga bahan pokok, kasus Ferdy Sambo, hingga pembebasan bersyarat 23 tahanan korupsi pada September 2022. Dalam pemikiran ini, kasus Bjorka dianggap sebagi pengalihan isu belaka.

Kebocoran data pengguna aplikasi e-HAC Kemenkes (2021)

Pada akhir Agustus 2021, data pribadi dalam aplikasi e-HAC diketahui bocor. Hal ini diketahui dari informasi oleh sebuah situs pengulas perangkat lunak VPN, yakni VpnMentor. Situs tersebut mempublikasikan adanya temuan kebocoran pada bank data e-HAC. Kebocoran ternyata bahkan telah terjadi sejak 15 Juli 2021.

Sebelumnya, aplikasi e-HAC sendiri merupakan akronim dari electronic-Health Alert Card atau Kartu Kewaspadaan Kesehatan Elektronik. Dengan berwujud digital, sistem di dalamnya akan berisi catatan seluruh pelaku perjalanan domestik dan internasional selama masa pandemi Covid-19. E-HAC termuat sebagai fitur dalam aplikasi PeduliLindungi. Keduanya merupakan buatan Kementerian Kesehatan (Kemenkes).

Kembali pada kasus kebocoran yang terjadi, VpnMentor menjelaskan bahwa kebocoran data e-HAC disebabkan oleh kegagalan pengembang aplikasi dalam mengimplementasikan protokol privasi data yang memadai. Dampaknya, jumlah kebocoran mencakup 1,3 juta data pribadi.

Lingkup entitas data pribadi yang bocor begitu luas. Termasuk di dalamnya data hasil tes Covid-19, akun e-HAC, rumah sakit, data pribadi pengguna (nomor induk kependudukan atau NIK, paspor, nama lengkap, nomor telepon, tanggal lahir, jenis kelamin, alamat, dan nama orang tua), hingga data petugas pengelola e-HAC.

Sebagaimana respon Istana terhadap kasus kebocoran data oleh Bjorka, pihak Kemenkes juga membantah laporan kebocoran data pribadi dalam aplikasi e-HAC. Disampaikan oleh Kepala Pusat Data dan Informasi Kemenkes Anas Ma’ruf, “Kemenkes memastikan bahwa data masyarakat yang ada di dalam sistem e-HAC tidak bocor dan dalam perlindungan. Data masyarakat yang ada di dalam e-HAC juga tidak mengalir ke platform mitra.”

Menurut Anas, yang terjadi hanyalah temuan informasi kerentanan dari platform mitra e-HAC, bukan kebocoran. Untuk kerentanan ini, pihak dari Badan Siber dan Sandi Negara (BSSN) telah melakukan verifikasi dan melaporkannya kembali pada Kemenkes di tanggal 25 Agustus 2021. Usaha perbaikan sistem pun dilakukan.

Juru Bicara BSSN Anton Setiawan menjelaskan bahwa laporan diperoleh dari VpnMentor pada 22 Agustus. Setelah ditindaklanjuti, BSSN mengakui adanya kerentanan yang harus ditutup oleh tim dari Kemenkes. Kerentanan tersebut akan berdampak pada dimungkinkannya data e-HAC untuk diakses secara langsung oleh pihak lain tanpa ada otentikasi.

Mengomentari hal tersebut, Direktur Eksekutif Lembaga Studi dan Advokasi Masyarakat (Elsam) Wahyudi Djafar menyampaikan betapa deretan panjang kasus kebocoran data tidak pernah membuat institusi publik belajar. Menurutnya, salah satu penyebab adalah belum adanya acuan regulasi mengenai perlindungan data pada saat tersebut.

Namun, ia menambahkan, ketiadaan tersebut juga tidak bisa dijadikan alasan. “Setidaknya kalau ada hasil investigasi dari kasus kebocoran sebelumnya, dan ada rekomendasi dari investigasi itu, semestinya pengendali data yang lain dapat mempelajarinya,” ujar Djafar (Kompas, 2/9/2021, “Kebocoran Data Seolah Dibiarkan Terus Terjadi”).

Kebocoran data BPJS Kesehatan (2021)

Hanya berselang tiga bulan sebelum kebocoran data e-HAC terjadi, sebanyak 270 juta data pribadi masyarakat Indonesia dijual di forum Raidforums.com. Penjualnya adalah akun dengan nama Kotz yang dilakukan pada Mei 2021.

Berdasarkan pantauan Kompas, Kotz menjualnya dengan harga 0,35 bitcoin atau setara Rp297.850.000 menurut kurs pada 28 Oktober 2021, pukul 15.08. Data-data tersebut berasal dari bank data yang dikelola oleh Badan Penyelenggara Jaminan Sosial (BPJS) Kesehatan.

Meski begitu, pihak pemerintah dan kepolisian tidak mampu memberikan respon cepat-tanggap yang memadai terkait hal ini. Pihak Polri juga belum dapat memastikan siapa pelaku pembobolan dan penjualan data tersebut. Sementara BPJS Kesehatan membantah data yang diperjualbelikan tersebut berasal dari instansinya.

Achmad Yurianto, Ketua Dewan Pengawas BPJS Kesehatan, membantah bahwa data Kotz adalah data dari lembaganya. Yurianto bahkan tidak bersedia untuk menjawab pertanyaan lanjutan terkait data tersebut. “Sampai hari ini (Kamis, 15/10/2021), kami meyakini belum ada data yang keluar dari BPJS. Audit internal menyebutkan, data itu tidak sama dengan data yang kami miliki,” katanya.

Sikap serupa juga ditunjukkan oleh Menkoinfo Johnny G Plate. Johnny justru menyampaikan sanggahan kepada akun Kotz. Menurut Johnny, investigasi sampel data pribadi yang dilakukan tidak menemukan jumlah satu juta data sebagaimana disampaikan penjual, melainkan 100.002 data pribadi (Kompas, 22/5/2021, “Data Pribadi Kembali Bocor”).

Selang hampir satu bulan, Polri menyampaikan bahwa pihaknya telah menemukan profil pemilik akun Kotz tersebut. Hal ini disampaikan oleh Kepala Biro Penerangan Masyarakat Divisi Humas Polri Brigadir Jenderal (Pol) Rusdi Hartono pada 15 Juni 2021. Selain itu, ia menyampaikan pihaknya juga telah menemukan catatan aset kripto milik Kotz (Kompas, 16/6/2021, “Pelaku Kebocoran Data BPJS Diidentifikasi”).

Untuk memastikan kebenaran data yang diperjualbelikan di Raidforums.com tersebut, tim investigasi Kompas mendalami dua juta sampel data Kotz dan menemukan bahwa nama-nama penginput data mirip dengan nama pegawai BPJS Kesehatan. Pada saat yang sama, tim Kompas juga menghubungi Kotz dan menelusuri validitas data yang dijual.

Caranya dengan mengirimkan dua Nomor Induk Kependudukan (NIK). Dari data NIK itu, Kotz merespons dengan memberikan data kependudukan (nama lengkap, alamat, agama, tanggal lahir, golongan darah), gaji selama tiga tahun (2017–2019), dan nomor kartu BPJS Kesehatan (Noka). Seluruh data tersebut, termasuk Noka yang diberikan, identik dengan nomor yang tertera pada kartu BPJS Kesehatan pemilik NIK.

Kasus peretasan terhadap sistem digital BPJS Kesehatan ini hanya berselang beberapa hari dengan peretasan terhadap situs BSSN. Padahal lembaga tersebut dibentuk sebagai salah satu garda terdepan dalam menghadapi serangan siber. Subdomain situs BSSN diretas sehingga mengalami perubahan tampilan muka (defacement) (Kompas, 29/10/2021, “Situs Pemerintah Mudah Diretas, Data Warga Dijual Bebas”).

Kebocoran DPT Pemilu KPU (2013)

Setelah berturut-turut terus terjadi selama dua tahun terakhir, kasus kebocoran data ternyata juga telah terjadi sejak hampir satu dekade yang lalu. Pada tahun 2013, sebanyak 2,3 juta data kependudukan milik warga Indonesia bocor dan diretas dari situs KPU. Data tersebut lantas dibagikan lewat forum komunitas hacker.

Isu kebocoran data pemilih ini diungkapkan melalui Twitter oleh akun dengan nama @underthebreach pada 21 Mei 2020. Sebanyak 2,3 juta data pemilih dari Daftar Pemilih Tetap (DPT) Pemilu 2014 dibagikan lewat forum komunitas peretas. Menurut akun tersebut, peretasan data dilakukan terhadap situs Komisi Pemilihan Umum (KPU) pada tahun 2013.

Data DPT 2014 yang dimiliki berformat Portable Document Format (PDF). Data tersebut berisi sejumlah informasi, seperti nama lengkap, nomor kartu keluarga, nomor induk kependudukan (NIK), tempat dan tanggal lahir, alamat rumah, serta beberapa data pribadi lainnya.

Serupa dengan kasus-kasus kebocoran data instansi pemerintah sebelumnya, pihak KPU menampik apabila kebocoran tersebut berasal dari server mereka. Namun lembaga tersebut mengiyakan bahwa ada kebocoran terhadap data-data soft-file Daftar Pemilih Tetap (DPT) Pemlu 2014.

Respon penolakan tersebut disampaikan melalui Komisioner KPU Viryan Azis. “Dari metadatanya bukan dari KPU RI. Kami sudah mengecek database kami. Kondisinya baik, tidak ada peretasan,” ujar Viryan.

Menanggapi hal ini, pihak Kependudukan dan Pencatatan Sipil (Dukcapil), Kementerian Dalam Negeri (Kemendagri) juga segera melakukan klarifikasi bahwa data-data tersebut tidak berasal dari sistem mereka. Hal tersebut disampaikan langsung oleh Direktur Jenderal Dukcapil Zudan Arif Fakrulloh.

“Kami sudah memeriksa data centre, log, dan traffic-nya. Semua tidak ada masalah,” ucapnya mengenai potensi kebocoran data Dukcapil (Kompas.id, 22/5/2020, “Isu Kebocoran Data Pemilih Diselidiki”).

Atas terjadinya kasus kebocoran dan peretasan data yang terjadi secara terus-menerus, berbagai pihak menekankan pemerintah Indonesia untuk melakukan evaluasi penanggulangan data. Hal demikian bisa dilakukan lewat aktor-aktor terkait dan kehadiran regulasi hukum.

Di atas kertas, aktor pemerintah yang memiliki tugas demikian adalah lembaga Kemkominfo dan BSSN. Sementara untuk regulasi hukum, telah diterbitkan Undang-Undang Perlindungan Data Pribadi (UU PDP).

Lembaga Penanggulangan Data Indonesia

Teknologi informasi berada dalam koridor tanggung jawab Kemkominfo. Seiring dengan dinamika teknologi informasi, perkembangan ekonomi digital, dan pesatnya perkembangan di bidang Teknologi Informasi dan Komunikasi (TIK), Kemkominfo pun turut serta harus berfokus pada upaya-upaya pemberian dukungan terhadap tranformasi digital.

Hal demikian selaras dengan profil tugas dan fungsi utama Kemkominfo yang termuat pada situs resminya, Kominfo.go.id. Dituliskan secara jelas bahwa tugas dan fungsi utama lembaga kementerian ini adalah merumuskan kebijakan nasional, kebijakan pelaksanaan, dan kebijakan teknis di bidang komunikasi dan informatika. Di dalamnya meliputi dimensi pos, telekomunikasi, penyiaran, teknologi informasi dan komunikasi, layanan multimedia, hingga desiminasi informasi.

Ketentuan tersebut termaktub melalui Undang-Undang Nomor 39 Tahun 2008 tentang Kementerian Negara. Kehadirannya menjadi wujud penyelenggaraan urusan pemerintahan di bidang komunikasi dan informatika untuk membantu Presiden. Dalam kasus-kasus peretasan data teraktual, Kemkominfo berada dalam pimpinan Johnny Gerard Plate selaku Menkominfo sejak 23 Oktober 2019.

Sementara Badan Siber dan Sandi Negara atau BSSN merupakan lembaga pemerintah yang dibentuk oleh Kemkominfo pada akhir Mei 2017. Kehadirannya merupakan pengejawantahan dari Peraturan Presiden (Perpres) Republik Indonesia Nomor 53 Tahun 2017.

Mengacu pada laman Kominfo.go.id, Perpres tersebut menempatkan BSSN sebagai institusi yang secara spesifik memastikan sistem keamanan elektronik milik pemerintah. Oleh karenanya, dalam tugas yang dijalankan BSSN harus melakukan fungsi koordinasi keamanan siber dengan berbagai institusi pemerintah. Kehadiran BSSN berasal dari penggabungan dua lembaga, yakni Lembaga Sandi Negara dan Direktorat Jenderal Aplikasi dan Informatika (Aptika) dari Kemkominfo.

Kehadiran BSSN juga dipertegas melalui Perpres Nomor 95 Tahun 2018 tentang Sistem Pemerintahan Berbasis Elektronik (SPBE). Perpres tersebut mengatur penyelenggara sistem elektronik (PSE) publik atau pemerintah yang harus tunduk pada BSSN. Dengan demikian, BSSN menjadi institusi yang memastikan sistem keamanan dari sistem elektronik pemerintah dan memiliki fungsi koordinasi keamanan siber institusi pemerintah.

Meski telah hadir dua aktor lembaga besar tersebut, kasus peretasan dan kebocoran terhadap sistem data pemerintah masih terus terjadi. Hal demikian menimbulkan ketidakpercayaan oleh publik, selaku pihak yang menjadi korban utama kebocoran data. Kasus Bjorka yang menimbulkan keramaian dan keberpihakan pada sosok peretas telah menunjukkan tingginya ketidakpercayaan ini.

Selain menimbulkan hal tersebut, masyarakat juga proaktif mewujudkan sendiri forum/lembaga anti-pembobolan data. Kehadiran wadah ini diinisiasi oleh pihak swasta maupun independen. Contohnya adalah Posko Pengaduan Kebocoran Data yang dibentuk oleh Aliansi Jurnalis Independen (AJI) Indonesia, Lembaga Bantuan Hukum (LBH) Jakarta, LBH Pers, Perhimpunan Bantuan Hukum dan Hak Asasi Manusia, SAFEnet, dan Yayasan Lembaga Bantuan Hukum Indonesia (YLBHI) (Kompas, 13/9/2022, “Menanti Negara Hadir”).

Lewat fungsinya, BSSN sendiri telah menyebutkan bahwa serangan siber yang dilaporkan selama 2021 minim sekali ditindaklanjuti oleh instansi pemerintah, baik kementerian maupun lembaga. Sepanjang Januari 2022 hingga 13 September 2022 saja, BSSN telah mengirimkan 1.261 notifikasi soal upaya peretasan keamanan siber ke semua kementerian/lembaga. Namun, dari angka tersebut, hanya 72 notifikasi atau enam persen yang memperoleh respon.

Menurut Wahyudi Djafar, hal ini pada kelanjutannya, secara spesifik menunjukkan kapasitas BSSN sendiri yang belum optimal. Selain itu, secara umum, juga menunjukkan ada masalah lebih besar yang membutuhkan evaluasi. “Ini berarti ada permasalahan dalam tata kelola keamanan siber pemerintah, yang menjadikan fungsi pengamanan dan koordinasi BSSN tidak berjalan optimal,” katanya (Kompas, 16/9/2022, “Tata Kelola Keamanan Siber Perlu Dievaluasi”).

Landasan Peraturan

Rancangan Undang-Undang Perlindungan Data Pribadi atau RUU PDP telah disahkan oleh Dewan Perwakilan Rakyat (DPR) dalam Rapat Paripurna, pada Selasa (20/9/2022). Dalam rapat yang digelar di kompleks parlementer, Senayan, Jakarta tersebut, para anggota DPR menyetujui RUU PDP disahkan menjadi UU PDP.

Sebelumnya, pembuatan UU ini saja memakan waktu begitu lama dan alot. RUU PDP sendiri telah diusulkan oleh pemerintah sejak 2014. Dalam waktu yang begitu lama, pada 2020 hanya memperoleh satu kali kesempatan pembahasan DPR.

Salah satu alasan lamanya penetapan UU ini adalah karena tidak dipandangnya urgensitas kehadiran hukum tersebut dan kebuntuan pada pembahasan di DPR. Pada Juni 2021, kebuntuan terkait dengan otoritas perlindungan data pribadi mulai muncul dan menghambat tiap pembahasannya di DPR (Kompas, 5/4/2022, “RUU PDP Alot, Warga Tanggung Kerugian”).

Setelah kehadirannya disahkan, perjuangan bukan berarti selesai. Upaya-upaya transisi, setidaknya selama dua tahun, harus dilakukan untuk menerapkan UU PDP secara nyata dan berguna. Regulasi pelaksana dan lembaga pelaksananya juga harus dibentuk dengan visi jauh ke depan sehingga dapat menyesuaikan diri dengan dinamika dunia digital yang begitu cepat.

Kehadiran UU ini juga masih tak lepas dari kekurangannya, Kelompok masyarakat sipil mengingatkan adanya pasal-pasal dalam UU PDP yang bertentangan dengan semangat keterbukaan informasi publik. Misalnya Pasal 67 Ayat 2 juncto Pasal 65 Ayat 2 UU PDP yang mengancam pidana terhadap seseorang yang mengungkapkan data pribadi bukan miliknya secara melawan hukum. Pasal tersebut dinilai mampu mengancam kerja-kerja pers (Kompas, 22/9/22, “Perjuangan Belum Selesai”).

UU PDP hadir sebagai produk legislasi dengan sifat lex specialis yang yang mengatur secara spesifik perlindungan data pribadi. Dalam teori hukum, kedudukan lex specialis menjadikan instrumen UU PDP sebagai alat utama bilamana terjadi konflik pengaturan (conflict of law) dengan UU yang telah hadir lainnya. Hal demikian sesuai dengan asas hukum lex specialis derogate legi generalis atau “hukum yang bersifat khusus mengesampingkan hukum yang bersifat umum”.

Kehadiran UU PDP juga menjadi instrumen penting dalam menghadapi transformasi digital dan masalah big data yang sangat strategis. Kehadirannya memberikan kepastian hukum, terutama dalam dimensi masalah tidak adanya standar perlindungan dan penggunaan data pribadi. Kepastian hukum demikian esensial bagi negara hukum seperti Indonesia, karena mewujudkan salah satu tujuan hukum, yakni kepastian. Dengan produk hukum yang tertulis ini, juga sesuai dengan sistem hukum Indonesia yang lekat dengan sistem hukum Eropa Kontinental dan mentitikberatkan hukum tertulis.

Pada akhirnya, dengan kembali berkaca pada kasus-kasus peretasan data yang telah terjadi, pihak pemerintah kerap gagal dalam merespon kasus siber yang terjadi secara sesuai. Pada kasus Bjorka, pihak pemerintah justru semata berfokus pada pelacakan peretas. Sementara pada seluruh kasus lainnya, ditemukan kecenderungan menyanggah kebocororan data berasal dari situs mereka.

Sikap demikian, diperparah dengan kehadiran aktor dan landasan hukum terkait yang masih tidak optimal. Kemkominfo dan BSSN yang telah hadir sejak lama tidak menunjukkan perubahan nyata dalam keamanan data. Sementara UU PDP yang masih sangat muda dan begitu lambat disahkan, telah menunjukkan kekurangannya.

Mengacu pada Kompas, (16/9/2022, “Tata Kelola Keamanan Siber Perlu Dievaluasi”) hal yang sangat penting dilakukan untuk mencapai keamanan data siber adalah evaluasi terhadap tata kelola keamanan secara menyeluruh. Evaluasi yang dimaksud tidak hanya pada kualitas sistem, namun juga inkompetensi dan keterbatasan komitmen pemerintah. Statistik ketidakamanan siber dan tingginya kasus peretasan di negeri ini menjadi kritikan sekaligus teguran bagi pemerintah Indonesia. (LITBANG KOMPAS)