Kebocoran Data Imbas Minimnya Sanksi Tegas untuk Instansi Pemerintah

TINGGINYA kasus kebocoran data yang kerap terjadi di Indonesia disebabkan karena tidak adanya sanksi tegas bagi badan publik atau instansi pemerintah, rendahnya tingkat kesadaran, dan prioritas serta lemahnya infrastruktur keamanan siber.

"Memang tidak ada sistem IT yang bebas dari ancaman kebocoran data dan serangan siber. Akan tetapi dalam konteks Indonesia, tingginya kejadian kebocoran data, khususnya dalam instansi pemerintah, disebabkan oleh setidaknya tiga hal, yaitu infrastruktur siber yang lemah, pelaksanaan regulasi Perlindungan Data Pribadi (PDP) dan keamanan siber yang belum optimal, serta kurangnya kesadaran pemilik data dan ahli siber," jelas Peneliti Center for Indonesian Policy Studies (CIPS) Muhammad Nidhal dalam keterangan resmi, Kamis (30/8).

Ia menambahkan, berdasarkan data dari Databoks, kasus kebocoran data paling banyak terjadi di sektor publik/pemerintah, sebanyak 69% atau 71 insiden terjadi pada 2023.

Baca juga : Masyarakat Diminta tidak Khawatir dengan Isu Kebocoran Data KAI

Kasus yang baru-baru ini terjadi adalah kebocoran 4,7 juta data Aparatur Sipil Negara (ASN) Badan Kepegawaian Negara (BKN) dan dijual di Breach Forums.

Menurutnya, upaya pemerintah sejauh ini juga masih di level hulu, yaitu di level pencegahan dan penyusunan sejumlah kebijakan. Beberapa kebijakan terkait termasuk Peraturan Presiden (Perpres) No. 82/2022 tentang Perlindungan Infrastruktur Informasi Vital, Perpres No. 47/2023 tentang Strategi Keamanan Siber Nasional (SKSN) dan Manajemen Krisis Siber, Undang-Undang No.1/2024 tentang Informasi dan Transaksi Elektronik, UU No. 27/2022 tentang PDP, PP No. 71/2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik serta kebijakan di level sektoral lainnya.

"Sayangnya, pelaksanaannya di lapangan juga masih terkendala serta kurangnya respons cepat, efektif, dan akuntabilitas ketika terjadi kebocoran data pada infrastruktur kritis," kata dia.

Baca juga : Perkuat Literasi Keuangan, PNM Ajak Nasabah Lakukan 5 Hal untuk Lindungi Data Pribadi 

Nidhal menambahkan, spesifik soal sanksi, meskipun UU PDP telah disahkan, namun implementasi teknis penegakan penuh seluruh pasalnya masih harus menunggu hingga Oktober tahun ini atau seluruh aturan turunannya sudah dikeluarkan. Hingga saat ini Lembaga PDP yang akan menerapkan sanksi-sanksi PDP juga belum dibentuk.

“Pembentukan lembaga PDP sudah sepantasnya jadi prioritas, mempertimbangkan banyak kasus kebocoran data dan untuk menjaga kepercayaan para subjek data,” jelasnya.

Terkait aturan turunan regulasi PDP mengenai sanksi, diskusi di tingkat regulator (Kemenkominfo) masih sedang bergulir mengenai formula yang tepat terkait sanksi bagi Penyelenggara Sistem Elektronik publik apabila terjadi kebocoran.

Baca juga : Kebocoran Data Makin Marak, Keamanan Ruang Siber Indonesia Dipertanyakan

Pasal 12 UU PDP menyebutkan, Subjek Data Pribadi berhak menggugat dan menerima ganti rugi atas pelanggaran data pribadi dirinya. Namun tidak dijelaskan lebih jauh kepada siapa gugatan tersebut dapat dilayangkan serta mekanisme spesifik masih menunggu aturan PP turunannya.

Lembaga PDP yang nantinya dibentuk akan membantu menyediakan fasilitas pengaduan, komplain, ataupun memfasilitasi masyarakat yang akan mengajukan gugatan.

"Kembali lagi, tanpa adanya konsekuensi pidana dan perdata yang tegas, instansi pemerintah mungkin merasa bahwa mereka tidak ada kewajiban hukum dalam mengambil tindakan preventif yang lebih serius. Paradigma ini harus berubah dan masyarakat sipil harus tegas meminta pertanggungjawaban pemerintah atas seluruh kebocoran data yang terjadi di lembaga pemerintah," jelas Nidhal.

Baca juga : Aturan Turunan UU PDP Ditargetkan Rampung Tahun Ini

Melihat kondisi ini, Nidhal merekomendasikan untuk segera dibentuk lembaga PDP yang independen mengingat bulan Oktober tahun ini adalah batas maksimal pemberlakuan UU PDP secara penuh. Peran kunci dari implementasi UU PDP yang baik terletak pada lembaga UU PDP yang nantinya akan dibentuk.

Insiden kebocoran data yang kerap terjadi di badan publik memperlihatkan betapa sentralnya lembaga PDP yang tidak berpihak dan tidak dipengaruhi oleh lembaga manapun.

Selain itu, terkait dengan ketahanan siber nasional, perlu investasi yang besar untuk meningkatkan keterampilan ahli siber nasional khususnya di lembaga pemerintah seperti Kemenkominfo dan Badan Siber dan Sandi Negara (BSSN).

"Perlu juga dibentuk dan/atau diperbarui, mekanisme penanganan yang terstandarisasi antara kementerian/lembaga dan perlu diperjelas mandat di antara badan-badan kementerian, termasuk pada level koordinasi kelembagaan, agar publik mengetahui ke mana harus melapor," tutup Nidhal. (Z-9)