Ilustrasi
Sender.co.id - Lembaga Riset Keamanan Siber, CISSReC, menagih komitmen pemerintah ihwal upaya perlindungan data pribadi. Ketua CISSReC Pratama Persadha, mengatakan usia Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP) akan persis setahun pada 18 Oktober mendatang. Beleid ini mewajibkan penyesuaian selama 2 tahun, salah satunya berupa pembentukan lembaga khusus.
“Sangat
disayangkan Presiden Joko Widodo sampai sekarang belum juga membentuk lembaga
ini," ucapnya melalui keterangan tertulis, Kamis, 19 September 2024.
Alih-alih
reda, insiden kebocoran justru semakin marak pasca pengesahan UU PDP. Sistem
Pusat Data Nasional Sementara (PNDS) sempat bermasalah lantaran disusupi
ransomware pada Juni 2024. Tak lama setelahnya, data pribadi 4,7 juta aparatur
sipil juga sempat dijajakan di situs gelap.
Yang
terbaru adalah kebocoran 6 juta data NPWP dan informasi pribadi lainnya.
Kumpulan data ini diduga diperjualbelikan dengan harga sekitar Rp 150 juta,
berdasarkan unggahan akun Bjorka pada Rabu kemarin, 18 September 2024. Beberapa
data yang dijual juga ditengarai milik Presiden Jokowi dan putra-putranya.
“NPWP
milik Jokowi, Gibran, Kaesang, Menkominfo, Sri Mulyani, dan menteri lainnya
juga dibocorkan di sampel yang diberikan oleh pelaku,” ujar konsultan keamanan
siber, Teguh Aprianto, (@secgron) dalam cuitannya di platform X, Rabu.
Dari
tangkapan gambar yang diunggah Teguh, terlihat sebagian field di dalam sampel,
yang keseluruhannya meliputi NIK, NPWP, Nama, Alamat, Kelurahan, Kecamatan,
Kabkot, Provinsi, Kode_klu, Klu, Nama_kpp, Nama_kanwil, Telp, Fax, Email, Ttl,
Tgl_daftar, Status_pkp, Tgl_pengukuhan_ pkp, Jenis_wp, Badan_hukum, serta 25
nama teratas yang termasuk di dalam 10.000 sampel. (AL)
Menurut
Pratama, maraknya kebocoran data ini bisa meningkatkan modus penipuan. Data
yang dicuri bisa dipakai untuk mengambil pinjaman online (pinjol), juga untuk
menerima pengiriman iklan tentang judi online.
"Belum
ada sanksi, baik sanksi administratif maupun sanksi berupa denda, kepada
perusahan atau organisasi yang mengalami kebocoran data,” tutur dia.
Sanksi
tersebut hanya bisa dijatuhkan oleh lembaga atau komisi yang dibentuk secara
khusus, sesuai UU PDP. Amanat soal pengembangan lembaga ini ada dalam Pasal 58
hingga 61 UU PDP. Tanpa lembaha pemberi, organisasi yang mengalami kebocoran
data pribadi seolah-olah abai terhadap insiden keamanan siber.
"Bahkan
mereka juga tidak mempublikasikan laporan terkait insiden tersebut padahal hal
tersebut melanggar pasal 46 ayat 1 UU PDP,” kata Pratama. (AL)
Komentar