Perusahaan Korban Pembobolan Data Diminta Transparan
Insiden pembobolan ataupun kebocoran data pribadi pengguna dari sejumlah layanan digital terus berulang di Indonesia selama dua tahun terakhir. Perusahaan yang menjadi korban diminta setransparan mungkin menanganinya.
Oleh
satrio pangarso wisanggeni
·3 menit baca
JAKARTA, KOMPAS — Perusahaan yang menjadi korban pembobolan siber diminta terbuka dan transparan, khususnya jika data yang bocor menyangkut data pribadi penggunanya. Hal ini akan meminimalisasi hilangnya rasa kepercayaan masyarakat.
Insiden pembobolan ataupun kebocoran data pribadi pengguna dari sejumlah layanan digital terus berulang di Indonesia selama dua tahun terakhir.
Terbaru, akhir Oktober 2020 ini, basis data pengguna platform teknologi finansial Cermati.com diduga bocor dan diperjualbelikan di internet. Selain itu, basis data pengguna dalam ukuran besar milik platform e-dagang, seperti Bukalapak dan Tokopedia, pun menjadi korban.
Organisasi yang mengalami insiden serupa diminta untuk lebih terbuka dan transparan kepada masyarakat penggunanya.
Head of Curriculum Management and Training dari firma keamanan siber Acronis, Ron Eo mengatakan, begitu seorang pelaku pembobolan data berhasil mendapatkan akses, menyalin data, dan menyebarkannya di internet, pada prinsipnya sudah tidak ada yang bisa dilakukan.
Menurut dia, sangat kecil kemungkinan untuk bisa menghilangkan data yang sudah tersebar ataupun membatasi akses peredarannya. Pasti ada seseorang ataupun satu pihak yang sudah menyalin data tersebut.
Oleh karena itu, langkah terbaik bagi organisasi yang mengalami insiden pembobolan data semacam ini adalah untuk bersikap seterbuka dan setransparan mungkin.
”Ini akan menjaga kepercayaan dari pengguna dan investor. Langkah ini juga yang biasanya kami rekomendasikan. Perlu dijelaskan kepada masyarakat apa yang terjadi, apa kira-kira penyebabnya, apa yang akan dilakukan,” kata Ron dalam sebuah diskusi yang digelar virtual pada Senin (9/11/2020).
Di samping itu, menurut Ron, langkah lain yang bisa dilakukan adalah mitigasi kerugian yang lebih besar (damage mitigation) untuk menemukan penyebab terjadinya insiden tersebut dan meminimalisasi terulangnya peristiwa itu.
Direktur Tata Kelola Aplikasi Informatika Kementerian Komunikasi dan Informatika (Kemenkominfo) Mariam F Barata mengatakan, dalam Rancangan Undang-Undang Pelindungan Data Pribadi (RUU PDP) yang saat ini sedang dibahas pemerintah dan DPR, perusahaan yang mengendalikan data pribadi wajib menyampaikan pemberitahuan tertulis apabila terjadi kegagalan pelindungan data pribadi.
”Si pengendali data pribadi ini harus menyampaikan pemberitahuan tertulis kalau ada kebocoran data. Bagaimana itu terungkap dan bagaimana upaya penanganannya,” kata Mariam.
Mariam juga menganjurkan untuk segera mengganti kode sandi yang digunakan di platform lain apabila masyarakat sudah mengetahui jika data pribadi mereka bocor dari suatu platform digital.
Selain itu, ia pun membuka layanan pelaporan kebocoran data pribadi melalui formulir yang dapat diminta melalui alamat surel pengendalianaptika@kominfo.go.id.
Lebih jauh, Ketua Forum Keamanan Siber Indonesia (Indonesia Cyber Security Forum/ICSF) Ardi Sutedja mengatakan, organisasi yang mengelola data milik masyarakat juga harus benar-benar disiplin mematuhi standar pengamanan siber. ”Ada juga kerugian ekonomi yang muncul akibat insiden ini. Perusahaan bisa dituntut oleh penggunanya dan juga masalah reputasi ke depannya. Reputasi bisa rusak cukup dengan satu insiden,” tutur Ardi.
Masyarakat, menurut Ardi, juga memiliki peran untuk mendorong perusahaan pengelola data pribadi penggunanya untuk benar-benar menganggap serius ancaman siber.
”Kalau mereka tidak peduli masalah ini, ya, sudah. Kita sebagai masyarakat tidak harus menggunakan layanan mereka, kan, ada pilihan layanan yang lain,” kata Ardi.
Ardi juga mengingatkan bahwa, selain kerugian finansial akibat reputasi yang hancur, RUU PDP juga akan memberikan efek jera bagi pihak-pihak yang lalai atau bahkan sengaja melanggar hukum pelindungan data pribadi masyarakat.
Contohnya, dalam draf RUU yang telah disampaikan oleh pemerintah kepada DPR pada awal 2020 ini, setiap orang ataupun korporasi yang dengan sengaja membocorkan data pribadi dapat terkena denda Rp 20 miliar. Mereka yang menyalahgunakan data tersebut bisa terkena denda Rp 70 miliar.
Ardi berharap sebelum tahun ini berakhir, RUU PDP yang akan menjadi payung universal upaya pelindungan data pribadi di Indonesia dapat diselesaikan.
”Apa yang namanya RUU PDP ini pasti tidak sempurna 100 persen. Namun, paling tidak masyarakat memiliki bentuk perlindungan hukum,” katanya.
Hingga saat ini, progres pembahasan RUU PDP masih di pembicaraan tingkat I di DPR. DPR telah menggelar rapat kerja dengan pemerintah dan rapat dengar pendapat umum dengan sejumlah perwakilan industri dan masyarakat sipil serta akademisi.