Bocornya Data Pribadi dan Mendesaknya UU PDP

REPUBLIKA.CO.ID, oleh Mabruroh, Fauziah Mursid

Untuk kesekian kalinya masyarakat Tanah Air kembali disajikan dengan kabar kebocoran data pribadi. Kali ini data pribadi dua juta pengguna BRI Life bocor.

Perusahaan pemantau kejahatan siber, Hudson Rock, menyebutkan dalam akun Twitternya bahwa pencurian data dialami BRI Life. Dalam screenshot atau tangkapan layar yang dibagikan, terlihat banyak domain dan subdomain dari BRI yang datanya diambil.

Pakar Keamanan Siber, Pratama Persadha menjelaskan bahwa pada saat dicek di Raidforums, ada akun bernama Reckt sempat mengunggah sampel data yang dia jual, namun beberapa saat kemudian dihapus. Akun tersebut menjual Database Nasabah BRI Life Insurance (2 juta lebih nasabah) dan scan dokumen (lebih dari 463 ribu).

Pratama menambahkan, databasenya memiliki pin polis asuransi, detail lengkap tentang pelanggan yang menggunakan Asurasi BRI Life, total manfaat, total periode tahun. Lalu juga ada dokumen bermacam-macam seperti KTP, KK, NPWP, foto buku rekening bank, akta kelahiran, akta kematian, surat perjanjian, bukti transfer, bukti keuangan, bukti surat kesehatan seperti EKG, diabetes dan lainnya.

“Ada sebanyak 463.519 file dokumen dengan ukuran mencapai 252 GB dan juga ada file database berisi 2 juta nasabah BRI Life berukuran 410MB. Untuk sampel sendiri yang diberikan berukuran 2,5 GB berisi banyak file dokumen. Dua file lengkap tersebut ditawarkan dengan harga 7.000 dollar US dan dibayarkan dengan bitcoin,” terang chairman lembaga riset siber CISSReC ini.

Dari sampel yang didapat, datanya sangat lengkap. Mulai dari data mutasi rekening, bukti transfer setoran asuransi, KTP, ada juga tangkapan layar perbicangan WA nasabah dengan pegawai BRI Life, dokumen pendaftaran asuransi, KK, beberapa formulir pernyataan diri dan kesanggupan, bahkan lengkap dengan polis asuransi jiwa juga ada lengkap disertakan.

“Artinya dari klaim Hudson Rock sebagai pihak yang menginformasikan kebocoran maupun pelaku penjual data, kemungkinan besar benar. Bahwa data yang mereka klaim tersebut memang berisi berbagai data dari nasabah BRI Life,” jelasnya.

Pratama menambahkan, bahwa kasus ini tentu menjadi perhatian serius. Karena bila diperhatikan dari tangkapan layar yang dibagikan Hudson Rock, data jelas diambil karena pembobolan situs. Bisa dilihat bagaimana situs-situs BRI Life disebutkan bahkan beserta username atau akun login, password dan IP.

“Perlu dilakukan forensik digital untuk mengetahui celah keamanan mana yang dipakai untuk menerobos, apakah dari sisi SQL (Structured Query Language) sehingga diekspos SQL Injection atau ada celah keamanan lain. Seperti adanya compromised dari akun BRI Life yang juga berpotensi dimanfaatkan hacker untuk masuk ke dalam sistem,” tuturnya.

Pratama menjelaskan, dari kejadian ini dapat disimpulkan bahwa sumber kebocoran data adalah akibat peretasan, bukan akibat jual beli data dari pihak internal atau pegawai. Tentu tidak ada yang menginginkan peristiwa ini berulang, karena itu UU PDP (Perlindungan Data Pribadi) sangat diperlukan kehadirannya, asalkan mempunyai pasal yang benar-benar kuat dan bertujuan mengamankan data masyarakat.

Menurut Pratama, sebaiknya penguatan sistem dan SDM harus ditingkatkan, adopsi teknologi utamanya untuk pengamanan data juga perlu dilakukan. Indonesia sendiri masih dianggap rawan peretasan karena memang kesadaran keamanan siber masih rendah.

"Yang terpenting dibutuhkan UU PDP yang isinya tegas dan ketat seperti di eropa. Ini menjadi faktor utama, banyak peretasan besar di tanah air yang menyasar pencurian data pribadi," ucapnya.

“Kebocoran data di Indonesia sudah kritis seperti ini seharusnya Pemerintah dan DPR bisa sepakat untuk menggolkan UU PDP. Tanpa UU PDP yang kuat, para pengelola data pribadi baik lembaga negara maupun swasta tidak akan bisa dimintai pertanggungjawaban lebih jauh dan tidak akan bisa memaksa mereka untuk meningkatkan teknologi, SDM dan keamanan sistem informasinya,” jelasnya.

Kementerian Komunikasi dan Informatika menemukan dugaan adanya celah keamanan dalam sistem elektronik BRI Life yang disalahgunakan oleh pihak-pihak yang tidak bertanggung jawab dalam kasus kebocoran data pribadi dua juta nasabah BRI Life. Temuan itu diperoleh Kemkominfo setelah melakukan pemanggilan terhadap Direksi PT Asuransi BRI Life (BRI Life) pada Rabu (28/7) hari ini.

"Terdapat dugaan adanya celah keamanan dalam sistem elektronik BRI Life yang disalahgunakan oleh pihak-pihak yang tidak bertanggung jawab," ujar Juru Bicara Kementerian Komunikasi dan Informatika, Dedy Permadi, dalam keterangan tertulisnya kepada Republika, Rabu (28/7).

Dedy menjelaskan, temuan adanya celah keamanan itu telah ditindaklanjuti BRI Life dengan mengambil langkah responsif untuk menghentikan upaya akses secara tanpa hak tersebut. Menurut Dedy, BRI Life saat ini sedang melakukan pemeriksaan mendalam terhadap keamanan sistem elektronik yang mereka kelola tersebut.

"Dengan menggandeng konsultan forensik digital dan tim internal BRI Life," kata Dedy.

Selanjutnya, Dedy mengatakan BRI Life akan segera menyampaikan temuan-temuan hasil pemeriksaan yang dilakukan kepada pihak-pihak terkait sesuai dengan amanat Undang-Undang. Sedangkan, Kementerian Kominfo akan menindaklanjuti hasil pertemuan tersebut dengan melakukan komunikasi intensif dengan BRI Life sebagai pengelola data pribadi yang diduga bocor.

Kemkominfo juga akan memberikan pendampingan terhadap upaya BRI Life dalam mengamankan sistem maupun tata kelola data yang ada. Dedy juga menyebut pemanggilan Kemkominfo kepada BRI Life telah sesuai dengan amanat Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PP 71/2019) Pasal 35.

"Dalam aturan itu, Kementerian Kominfo berwenang melakukan pemeriksaan terhadap penyelenggaraan Sistem Elektronik," katanya.

Ia menambahkan upaya ini juga dilakukan dengan koordinasi bersama BSSN sebagai Lembaga yang memiliki kewenangan menyusun kebijakan keamanan sistem elektronik sebagaimana diatur oleh Pasal 24 PP 71/2019. Koordinasi juga dilakukan bersama dengan Polri sebagai otoritas penegak hukum tindak pidana ITE, sesuai amanat UU No. 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik sebagaimana diubah oleh UU No. 19 Tahun 2016.

"Berdasarkan landasan hukum tersebut, Kementerian Kominfo akan terus berkoordinasi dengan BSSN dan Polri untuk penanganan lebih lanjut terhadap dugaan kebocoran data pribadi ini," katanya.

Kebocoran data nasabah BRI Life mencuat ketika seorang pengguna RaidForums mengaku menjual 460 ribu dokumen yang dikumpulkan dari 2 juta nasabah BRI Life seharga 7.000 dolar AS atau sekitar Rp 101 juta. Informasi bocornya data BRI Life diunggah dalam akun Twitter @UnderTheBreach pada Selasa (27/7).

Berdasarkan cicitannya, pemilik akun mengatakan perentas memiliki data 2 juta nasabah BRI Life dan 463 ribu dokumen dihargai 7.000 dolar AS.

Saat ini kasus ini juga telah ditangani Penyidik Direktorat Tindak Pidana Ekonomi Khusus (Dittipideksus) Bareskrim Polri dan sedang menyelidiki kasus dugaan kebocoran data nasabah dari PT Asuransi BRI Life yang diperjualbelikan secara daring. Kabareskrim Polri Komjen Agus Andrianto, mengatakan, dugaan awal perkara kebocoran data ini berkaitan dengan perbankan.

"Sedang dilidik Dittipideksus," kata Agus saat dikonfirmasi di Jakarta, Rabu (28/7).

Agus belum memberikan informasi lebih lanjut terkait penyelidikan kasus dugaan kebocoran data nasabah BRI Life tersebut. "Perkara terkait perbankan, data BRI Life. Datanya dugaan kan dari sana," ujarnya.