Semarang (ANTARA) - Kebocoran data pribadi terulang kembali, kali ini data BRI Life diduga diretas dan dijual di situs gelap (dark web). Kendati demikian, kasus peretasan yang sering terjadi di Tanah Air belum mampu mendorong kelahiran Undang-Undang Pelindungan Data Pribadi.
Pemerintah sebenarnya telah menyiapkan Rancangan Undang-Undang tentang Pelindungan Data Pribadi (RUU PDP), bahkan tercatat dalam Daftar Prolegnas RUU Prioritas Tahun 2021 dengan nomor 23.
RUU ini terdapat pula di situs web Kementerian Komunikasi dan Informatika (web.kominfo.go.id) dengan nama dokumen "Rancangan UU PDP Final (Setneg 061219)". Akan tetapi, hingga sekarang RUU PDP belum disahkan menjadi undang-undang.
Baca juga: CISSReC ungkap penjualan jutaan data Dukcapil empat daerah.
Adapun yang menjadi pertimbangan UU PDP, antara lain pelindungan data pribadi merupakan salah satu hak asasi manusia (HAM) yang merupakan bagian dari pelindungan diri pribadi, perlu diberikan landasan hukum yang kuat untuk memberikan keamanan atas data pribadi berdasarkan UUD NRI Tahun 1945.
Selain itu, pelindungan data pribadi ditujukan untuk menjamin hak warga negara atas pelindungan diri pribadi dan menumbuhkan kesadaran masyarakat serta menjamin pengakuan dan penghormatan atas pentingnya pelindungan data pribadi.
Namun, menurut Ketua Lembaga Riset Siber Indonesia CISSReC Dr. Pratama Persadha, UU PDP mempunyai pasal yang benar-benar kuat dan bertujuan mengamankan data masyarakat.
Apalagi kebocoran data di Tanah Air sudah kritis sehingga pemerintah dan DPR RI bisa sepakat untuk menggolkan UU PDP. Hal ini mengingat Indonesia masih rawan peretasan karena memang kesadaran keamanan siber masih rendah.
Tanpa UU PDP yang kuat, para pengelola data pribadi baik lembaga negara maupun swasta tidak akan bisa dimintai pertanggungjawaban lebih jauh. Selain itu, tidak akan bisa memaksa mereka untuk meningkatkan teknologi, sumber daya manusia (SDM), dan keamanan sistem informasi.
Baca juga: Pratama: Pengguna medsos perlu verifikasi dua langkah cegah peretasan
Agar kejadian kebocoran data seperti yang dialami BRI Life tidak terulang, kehadiran UU PDP sangat dibutuhkan. Oleh karena itu, perlu keseriusan pembuat undang-undang, dalam hal ini pemerintah dan DPR RI.
Sambil menunggu kelahiran UU PDP, Pratama memandang perlu penguatan sistem dan SDM. Di samping itu adopsi teknologi, terutama untuk pengamanan data juga perlu dilakukan.
Pelacakan
Terkait dengan kebocoran data BRI Life, Lembaga Riset Siber Indonesia Communication and Information System Security Research Center (CISSReC) lantas melakukan pelacakan. Kesimpulan lembaga ini menyebutkan sumber kebocoran data akibat peretasan bukan akibat jual beli data dari pihak internal atau pegawai.
Publik tahu adanya kebocoran data BRI Life berawal dari informasi perusahaan pemantau kejahatan siber Hudson Rock via akun Twitternya. Disebutkan bahwa pencurian data dialami BRI Life.
Dalam screenshot atau tangkapan layar yang dibagikan, terlihat banyak domain dan sub-domain dari BRI yang datanya diambil. Bila diperhatikan dari tangkapan layar yang dibagikan Hudson Rock, data jelas diambil karena pembobolan situs.
Pada saat dicek di RaidForums (tempat pengumpul data hasil kebocoran database), kata Pratama yang juga pakar keamanan siber, ada akun bernama Reckt sempat mengunggah (upload) sampel data yang dia jual, namun beberapa saat kemudian dihapus.
Pratama menyebutkan akun tersebut menjual database nasabah BRI Life Insurance kurang lebih 2.000.000 nasabah dan hasil pemindaian (scan) dokumen lebih dari 463.000 lembar. Bahkan, database-nya memiliki pin polis asuransi (sha1), detail lengkap tentang pelanggan yang menggunakan PT Asuransi BRI Life, total manfaat, dan total periode tahun.
Selain itu, juga ada dokumen bermacam-macam, seperti kartu tanda penduduk (KTP), kartu keluarga (KK), nomor pokok wajib pajak (NPWP), foto buku rekening bank, akta kelahiran, akta kematian, surat perjanjian, bukti transfer, bukti keuangan, bukti surat kesehatan, seperti elektrokardiogram (EKG) dan diabetes.
Menurut CISSReC, ada 463.519 file dokumen dengan ukuran mencapai 252 gigabita dan juga ada file database berisi 2.000.000 nasabah BRI Life berukuran 410 megabita.
Untuk sampel sendiri yang diberikan berukuran 2,5 gigabita berisi banyak file dokumen. Dua file lengkap tersebut ditawarkan dengan harga 7.000 dolar Amerika Serikat dan dibayarkan dengan bitcoin (uang elektronik).
Dari sampel yang didapat, datanya sangat lengkap, mulai dari data mutasi rekening, bukti transfer setoran asuransi, KTP, ada juga tangkapan layar perbicangan WA nasabah dengan pegawai BRI Life, dokumen pendaftaran asuransi, KK, beberapa formulir pernyataan diri dan kesanggupan, bahkan lengkap dengan polis asuransi jiwa.
Artinya, kata Pratama, dari klaim Hudson Rock sebagai pihak yang menginformasikan kebocoran maupun pelaku penjual data, kemungkinan besar benar. Bahwa data yang mereka klaim tersebut memang berisi berbagai data dari nasabah BRI Life.
Bila diperhatikan dari tangkapan layar yang dibagikan Hudson Rock, menurut Pratama, data jelas diambil karena pembobolan situs. Hal ini bisa dilihat bagaimana situs-situs BRI Life disebutkan, bahkan beserta username atau akun login, password, dan internet protocol (IP).
Oleh karena itu, perlu forensik digital untuk mengetahui celah keamanan mana yang dipakai untuk menerobos apakah dari sisi SQL (Structured Query Language) sehingga diekspos SQL Injection atau ada celah keamanan lain. Misalnya, adanya compromised dari akun BRI Life yang juga berpotensi dimanfaatkan hacker (peretas) untuk masuk ke dalam sistem.
Kominfo Bergerak
Kementerian Komunikasi dan Informatika (Kominfo) bersama BRI Life langsung bergerak. Saat ini mereka sedang menangani dugaan data nasabah yang bocor tersebut.
Begitu pula penyidik Direktorat Tindak Pidana Ekonomi Khusus (Dittipideksus) Bareskrim Polri juga sedang menangani kasus ini.
Atas dugaan kasus kebocoran data tersebut, kata Juru Bicara Kominfo Dedy Permadi kepada ANTARA, Rabu (28/7) malam, Kementerian Kominfo akan menindaklanjuti hasil pertemuan dengan melakukan komunikasi intensif dengan BRI Life dan memberikan pendampingan terhadap upaya BRI Life dalam mengamankan sistem maupun tata kelola data yang ada.
Kominfo bertemu direksi PT Asuransi BRI Life yang merupakan bagian dari investigasi dugaan data nasabah bocor. Pemanggilan ini sesuai dengan Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik, bahwa Kominfo berwenang mengadakan pemeriksaan terhadap penyelenggaraan sistem elektronik.
Dari pertemuan tersebut, terungkap bahwa ada dugaan celah keamanan di sistem elektronik BRI Life yang disalahgunakan. Dalam hal ini BRI sudah merespons dugaan tersebut dengan menutup akses.
Saat ini BRI Life sedang menyelidiki lebih dalam keamanan sistem elektronik yang mereka kelola dengan melibatkan tim internal BRI Life dan konsultan forensik digital.
Berdasarkan PP No. 71/2019 dan Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (UU ITE) sebagaimana diubah dengan UU No. 19/2016, berkoordinasi dengan Badan Siber dan Sandi Negara serta Polri untuk menangani kasus ini.
Di dalam Pasal 100 Ayat (2) PP Penyelenggaraan Sistem dan Transaksi Elektronik juga temaktub sanksi administratif berupa teguran tertulis, denda administratif, penghentian sementara, pemutusan akses, dan/atau dikeluarkan dari daftar.
Namun, dendanya tidak seperti di Uni Eropa. Dalam regulasi perlindungan data pribadi bagi warga atau General Data Protection Regulation (GDPR) ada ketentuan bahwa setiap data yang dihimpun harus diamankan dengan enkripsi. Bila terbukti lalai, penyedia jasa sistem elektronik bisa dikenai tuntutan sampai 20 juta euro.
Oleh karena itu, Pratama memandang perlu adanya UU PDP yang isinya tegas dan ketat seperti di Uni Eropa. Pasalnya, ini menjadi faktor utama terkait dengan banyak peretasan besar di Tanah Air yang menyasar pencurian data pribadi.
Baca juga: Perlu mitigasi risiko untuk halau serangan siber
Baca juga: Perusahaan negara dianjurkan libatkan BSSN terkait forensik digital
