Sebagai Chairman IDPRO, saya menghadiri event internasional Data Center Dynamics Asia Connect di Bali. Event internasional ini dihadiri sekitar 1000 peserta dari lebih dari 14 negara. Satu hal yang membuat saya kurang nyaman adalah hampir semua pembicaraan yang saya ikuti dimulai dengan pengalaman buruk dari rekan-rekan WNA di proses imigrasi di Bandara. Sebagai Chairman IDPRO banyak dari mereka yang menanyakan mengapa begitu rapuhnya infrastruktur digital yang dikelola pemerintah kita.
Tentu saja berita tentang serangan ransomware yang menyerang Pusat Data Nasional Sementara (PDNS) beberapa waktu lalu benar-benar membuat banyak pihak cemas, Kita tahu kedaulatan digital ini sama pentingnya dengan kedaulatan teritorial. Serangan ini bukan sekadar serangan teknis biasa, tapi sebuah peringatan besar bagi kita semua tentang betapa rentannya kedaulatan data dan digital warga negara Indonesia, dan betapa mudahnya data pribadi masyarakat terbajak sempurna.
Beberapa media menginterview saya dan memang sangat aneh kalau layanan digital pemerintah bisa down lebih dari 24 jam.
Dampak Serangan Ransomware di PDNS
Insiden ini tidak main-main. Ratusan instansi pusat dan pemerintah daerah yang menggunakan PDNS terkena dampaknya. Berbagai layanan administrasi pemerintahan dan layanan publik berbasis elektronik terganggu, menyebabkan kekacauan yang luar biasa. Bayangkan saja, layanan yang kita andalkan setiap hari untuk mengurus segala macam urusan, dari administrasi kependudukan hingga perizinan, tiba-tiba lumpuh karena data yang terenkripsi oleh ransomware. Ini adalah bencana nasional yang terjadi karena ketidak disiplinan dalam menjalankan SOP, atau ada kemungkinan coordinated attack dengan faktor orang dalam.
Kita harus berbesar hati untuk mengakui bahwa tetap ada kemungkinan pihak internal melakukan konspirasi untuk melakukan serangan ini. Perlu ada investigasi yang komprehensif terhadap para penyelenggara PDNS ini baik dari pihak regulator maupun operatosnya.
Saya sempat melihat tayangan ulang pertemuan antara Komisi 1 DPR dan pihak penyelenggara PDNS, satu kata yang saya bisa sampaikan "malu". Benar-benar sedih melihat inkompetensi dari pejabat negara untuk bisa menjalankan infrastruktur digital yang vital di negara ini.
Pentingnya Perlindungan Data Pribadi
Di balik semua ini, ada satu hal yang sangat krusial: data pribadi. IDPRO sendiri bersama MASTEL sudah menggaungkan pentingnya UU PDP ini ditegakkan sejak dari tahun 2019, https://www.merdeka.com/teknologi/idpro-soroti-urgensi-pemerintah-ganti-aturan-terkait-data-center.html.
Dalam proses layanan administrasi pemerintahan dan layanan publik, data pribadi pengguna menjadi inti dari sistem tersebut. Dan ketika sistem tersebut diserang, data pribadi kita berada dalam risiko besar. Dan hal ini sudah terjadi beberapa kali baik dari public sector; KPU, Kemenkes, BSSN, etc maupun dari pihak swasta; Gojek, Bukalapak, dll.
Dari sudut pandang UU Pelindungan Data Pribadi (PDP), insiden ini membawa kita pada tiga istilah penting:
- Kegagalan Perlindungan Data Pribadi
- Pelanggaran Perlindungan Data Pribadi
- Tindak Pidana Data Pribadi
Pemetaan Pihak Terkait Insiden
Untuk memahami insiden ini lebih dalam, kita perlu memetakan para pihak yang terlibat:
- Subyek Data Pribadi: Semua individu yang datanya ada di PDNS.
- Pengendali Data Pribadi: Instansi pusat dan pemerintah daerah yang menggunakan PDNS dan memproses data pribadi berdasarkan dasar hukum yang sah.
- Prosesor Data Pribadi: Kominfo dan rekanan yang memproses data pribadi atas permintaan Pengendali DP.
Langkah-langkah Respon Insiden Sesuai UU PDP
Menanggapi insiden ini, kita harus mengambil langkah-langkah sesuai dengan amanat UU PDP. Berikut adalah langkah-langkah yang perlu diambil:
- Mengakui Insiden: Mengakui bahwa telah terjadi insiden keamanan siber yang berpotensi menjadi Kegagalan PDP.
- Asesmen Dampak: Pengguna PDNS selaku Pengendali DP harus melakukan asesmen untuk mengetahui apakah ada data pribadi yang terdampak oleh insiden ini.
- Laporan Ke Lembaga: Pengendali DP harus melaporkan insiden ini ke lembaga yang berwenang (meskipun lembaga ini belum terbentuk).
- Pemberitahuan Kepada Subyek DP: Pengendali DP juga harus memberitahu Subyek DP yang terindikasi datanya terdampak.
- Penelusuran Kegagalan PDP: Lembaga yang berwenang harus menelusuri Kegagalan PDP untuk mengidentifikasi apakah ada indikasi Pelanggaran PDP.
- Analisis Pelanggaran PDP: Jika ada indikasi Pelanggaran PDP, langkah selanjutnya adalah menganalisis apakah termasuk ke dalam kategori Tindak Pidana DP.
- Proses Hukum: Jika ada indikasi Tindak Pidana DP, maka Aparat Penegak Hukum (APH) akan melanjutkan proses pidananya.
- Sanksi Administratif: Lembaga yang berwenang akan memberikan sanksi administratif jika diperlukan.
- Sanksi Pidana: Pengadilan akan memberikan sanksi pidana jika terbukti ada Tindak Pidana DP.
- Perbaikan Sistem: Baik Pengendali DP maupun Prosesor DP yang terlibat harus segera melakukan perbaikan atas pelaksanaan PDP dalam lingkup masing-masing.
Refleksi dan Harapan
Insiden ini seharusnya menjadi wake-up call bagi kita semua. Keamanan data pribadi adalah tanggung jawab bersama, dan kita harus serius dalam melindungi data ini dari ancaman yang semakin canggih. Semoga ke depan, kita bisa belajar dari insiden ini dan memperkuat sistem kita agar lebih tahan terhadap serangan siber. Ada beberapa hal yang bisa kita dorong bersama ;
- Mari kita terus tingkatkan kesadaran dan kepatuhan terhadap UU PDP
- Dan meningkatkan kewaspadaan di level tertinggi untuk secara mandiri melindungi data pribadi kita semua.
- Di sisi lain juga regulator harus mempercepat pengesahan UU Keamanan dan Ketahanan Siber.
- Memberikan hukuman yang berat untuk pihak-pihak yang lalai dalam menjaga kedaulatan data.
- Meningkatkan kompetensi cyber security untuk semua pihak yang menggunakan platform digital
#CyberSecurity #DataProtection #UU_PDP #PDNS
No comments:
Post a Comment