29 Juni 2024

opini musri nauli : Serangan Siber dan Data Pribadi


Akhir-akhir ini, isu utama yang paling menarik perhatian publik ketika serangan terhadap Server Pusat Data Nasional Sementara (PDNS). Tidak tanggung-tanggung, PDSN menjadi portal utama penyimpanan data 282 badan publik di Indonesia.  Dan terkena dampak terdiri dari Kementerian / lembaga : 30 instansi (10,64 persen), Provinsi : 15 instansi (5,32 persen), Kabupaten : 148 instansi (52,48 persen), Kota : 46 instansi (16,31 persen). Atau hanya  43 instansi yang tidak terkena dampaknya. 


Kepala BSSN Hinsa Siburian menyebutkan Server Pusat Data Nasional Sementara (PDNS) mengalami gangguan sejak hari Kamis 20 Juni 2024 lalu, sehingga menyebabkan beberapa layanan publik termasuk layanan imigrasi terkendala. Badan Siber dan Sandi Negara (BSSN) Republik Indonesia mengungkap insiden itu terjadi karena ulah ransomware.


Namun yang menjadi keheranan, ketika serangan terjadi tanggal 20 Juni 2024, baru tanggal 24 Juni dikabarkan adanya serangan. Dan tentu saja Indonesia kewalahan menghadapi serangan siber. 


Apabila diperhatikan kronologis serangan siber disebutkan BSSN menemukan adanya upaya penonaktifkan fitur keamanan Windows Defender yang terjadi mulai 17 Juni 2024 pukul 23.15 WIB, sehingga memungkinkan aktivitas malicious dapat berjalan. Lalu, aktivitas malicious mulai terjadi pada 20 Juni 2024 pukul 00.54 WIB, diantaranya melakukan instalasi file malicious, menghapus filesystem penting, dan menonaktifkan service yang sedang berjalan. File yang berkaitan dengan storage, seperti: VSS, HyperV Volume, VirtualDisk, dan Veeam vPower NFS mulai di-disable dan crash. Dan kemudian Diketahui tanggal 20 Juni 2024, pukul 00.55 WIB, Windows Defender mengalami crash dan tidak bisa beroperasi,” jelas Hinsa.


Sebelum melihat apakah serangan siber yang memberikan dampak kepada Indonesia, ada yang menarik melihat perangkat yang digunakan. Adanya kata-kata “Windows Defender” tentu saja menimbulkan keheranan bagi penulis. 


Sebagai masyarakat pengguna internet, aplikasi didalam sistem untuk sebuah siber begitu penting. Sehingga ditempatkan pondasi. Biasa dikenal dengan Cyber security. 


Menurut data, Cyber security atau disebut sebagai pengaman siber merupakan praktik melindungi komputer, perangkat seluler, server, sistem elektronik, dan data dari risiko serangan jahat. Sedangkan pertahanan Microsoft adalah cara sederhana untuk melindungi kehidupan digital dan semua perangkat Anda. Langganan disertakan sebagai bagian dari langganan Microsoft 365 Family, atau Pribadi, tanpa biaya tambahan.


Bagaimana mungkin didalam sistem perangkat keamanan (security software) hanya menggunakan sistem yang lazim dipakai untuk umum.  Mengapa tidak disiapkan sebuah sistem dan perangkat yang memang didesain untuk melindungi begitu pentingnya data. Bukankah bisa dilakukan pelelangan terbuka untuk aplikasi yang dapat digunakan. Sehingga sama sekali tidak tercampur dengan berbagai aplikasi yang umum. Apalagi untuk umum dan tanpa adanya biaya. 


Namun yang unik ketika dilakukan rapat di DPR yang mendatangkan pemangku kepentingan yang bertugas mengamankan data. Dengan enteng mereka hanya berkilah “terjadi karena ulah ransomware. Dan tentu saja kemudian menuding “Amerika Serikat saja bisa diserang”. 


Benar berbagai situs Amerika pernah diserang hacher. Misalnya situs bandara, insiden situs US Army. Namun serangan ini tampaknya hanya berdampak pada "wajah" situs bandara tersebut, namun tidak berdampak pada keseluruhan layanan bandara. Pihak berwajib AS sendiri mengaku kalau insiden ini hanya berdampak pada kenyamanan orang yang mau mencari informasi dari situs tersebut. Atau tidak ada kekhawatiran adanya operasional yang terganggu. 


Bahkan kelompok hacker Indonesia, Ganosec Team atau Garuda Anon Security, menyerang Amerika Serikat (AS) beberapa waktu yang lalu dan berhasil meretas CCTV di negara yang mendukung Israel itu.


Selain itu adanya himbauan agar para hacker tidak menyerang siber Indonesia. Sekaligus meminta kampus-kampus agar mengirimkan mahasiswa terbaiknya untuk membantu menyelesaikannya. 


Terlepas dari alasan dari pemangku kepentingan, cara “ngeles” sekaligus tidak menunjukkan rasa bersalah membalikkan idiom yang sering berlaku dari semula “The right man in the right place” menjadi “no Man. No right place”. 


Benar-benar geleng kepala terhadap jawaban dari pemangku kepentingan. Selain sistem yang digunakan, para penanggungjawab yang sama sekali tidak menguasai persoalan juga kemudian menempatkan Indonesia menjadi bahan tertawaan. 


Selain itu yang membuat kita menjadi geram, bagaimana data-data yang tersimpan rapi kemudian sama sekali tidak bisa diakses. Bahkan hanya 44 instansi yang mempunyai back up data. Lalu bagaimana pertanggungjawaban publik yang telah mempercayakan kepada lembaga yang bertugas untuk menyimpan data. 


Membicarakan data pribadi tidak dapat dilepaskan pengaturan didalam UU Pelindungan Data Pribadi (UU Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi). Didalam Pasal 47 secara tegas disebutkan “Pengendali Data Pribadi wajib bertanggung jawab atas pemrosesan Data Pribadi dan menunjukkan pertanggungjawaban dalam pemenuhan kewajiban pelaksanaan prinsip Pelindungan Data Pribadi.


Presiden RI Joko Widodo pada tanggal 13 April 2021 menandatangani Peraturan Presiden (Perpres) Nomor 28 Tahun 2021 tentang Badan Siber dan Sandi Negara (BSSN).  Perpres ini kemudian menata  organisasi BSSN dalam rangka mewujudkan keamanan, perlindungan, dan kedaulatan siber nasional serta meningkatkan pertumbuhan ekonomi nasional. Sekaligus untuk mengoptimalkan pelaksanaan tugas dan fungsi di bidang keamanan siber dan sandi dalam organisasi BSSN sehingga dapat dilakukan dengan lebih efektif dan efisien.


Namun yang menjadi “masalah” justru terhadap pelanggaran. Atau dengan kata lain pengendali data pribadi yang tidak mampu melaksanakan tugasnya justru hanya dikenakan sanksi seperti sanksi administratif berupa peringatan tertulis, penghentian sementara kegiatan pemrosesan data pribadi, penghapusan atau pemusnahan data pribadi, dan/atau denda administratif. Mekanisme ini biasa dikenal didalam ranah Hukum Administrasi negara. 


Sama sekali tidak memberikan tanggungjawab pidana apabila pengendali data pribadi yang telah gagal menjalankan tugasnya. Baik dilihat dari kesalahan maupun dari kelalaian pelaku. 


Bayangkan. Begitu pentingnya data pribadi yang kemudian tidak dapat dilindungi oleh hukum, para pelaku hanya dikenakan sanksi didalam hukum administrasi negara. 


Padahal ditengah zaman begitu modern dan kemajuan teknologi yang berkembang begitu pesat, data pribadi dan perlindungan pribadi begitu penting. Bahkan justru dapat dihargai dengan harga emas di pasaran. 


Di zaman Sekarang ini, penguasaan data pribadi maupun ketelodoran mengelola data sekaligus kesalahan didalam melindungi data pribadi harus ditempatkan sebagai bagian penting dari penegakkan hukum Perlindungan Data Pribadi. 


Bukan sekedar “remeh-temeh” sanksi administrasi negara. 


Lalu bagaimana akibat dari “penggunaan data” yang tidak mampu dilindungi oleh negara ? Bagaimana harus percaya kepada sistem adminstrasi negara yang harus melindungi data pribadi dan perlindungan data pribadi apabila para pelaku hanya diselesaikan dengan “sanksi administrasi negara / 

Advokat. Tinggal di Jambi