TEMPO.CO, Jakarta - Lembaga Riset Keamanan Siber, CISSReC, menagih komitmen pemerintah ihwal upaya perlindungan data pribadi. Ketua CISSReC Pratama Persadha, mengatakan usia Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP) akan persis setahun pada 18 Oktober mendatang. Beleid ini mewajibkan penyesuaian selama 2 tahun, salah satunya berupa pembentukan lembaga khusus.
“Sangat disayangkan Presiden Joko Widodo sampai sekarang belum juga membentuk lembaga ini," ucapnya melalui keterangan tertulis, Kamis, 19 September 2024.
Alih-alih reda, insiden kebocoran justru semakin marak pasca pengesahan UU PDP. Sistem Pusat Data Nasional Sementara (PNDS) sempat bermasalah lantaran disusupi ransomware pada Juni 2024. Tak lama setelahnya, data pribadi 4,7 juta aparatur sipil juga sempat dijajakan di situs gelap.
Yang terbaru adalah kebocoran 6 juta data NPWP dan informasi pribadi lainnya. Kumpulan data ini diduga diperjualbelikan dengan harga sekitar Rp 150 juta, berdasarkan unggahan akun Bjorka pada Rabu kemarin, 18 September 2024. Beberapa data yang dijual juga ditengarai milik Presiden Jokowi dan putra-putranya.
“NPWP milik Jokowi, Gibran, Kaesang, Menkominfo, Sri Mulyani, dan menteri lainnya juga dibocorkan di sampel yang diberikan oleh pelaku,” ujar konsultan keamanan siber, Teguh Aprianto, (@secgron) dalam cuitannya di platform X, Rabu.
Dari tangkapan gambar yang diunggah Teguh, terlihat sebagian field di dalam sampel, yang keseluruhannya meliputi NIK, NPWP, Nama, Alamat, Kelurahan, Kecamatan, Kabkot, Provinsi, Kode_klu, Klu, Nama_kpp, Nama_kanwil, Telp, Fax, Email, Ttl, Tgl_daftar, Status_pkp, Tgl_pengukuhan_ pkp, Jenis_wp, Badan_hukum, serta 25 nama teratas yang termasuk di dalam 10.000 sampel.
Menurut Pratama, maraknya kebocoran data ini bisa meningkatkan modus penipuan. Data yang dicuri bisa dipakai untuk mengambil pinjaman online (pinjol), juga untuk menerima pengiriman iklan tentang judi online.
"Belum ada sanksi, baik sanksi administratif maupun sanksi berupa denda, kepada perusahan atau organisasi yang mengalami kebocoran data,” tutur dia.
Sanksi tersebut hanya bisa dijatuhkan oleh lembaga atau komisi yang dibentuk secara khusus, sesuai UU PDP. Amanat soal pengembangan lembaga ini ada dalam Pasal 58 hingga 61 UU PDP. Tanpa lembaha pemberi, organisasi yang mengalami kebocoran data pribadi seolah-olah abai terhadap insiden keamanan siber.
"Bahkan mereka juga tidak mempublikasikan laporan terkait insiden tersebut padahal hal tersebut melanggar pasal 46 ayat 1 UU PDP,” kata Pratama.
Pilihan Editor: Gunung Merapi Lima Kali Semburkan Awan Panas Kurang dari 24 Jam