JAKARTA, KONTRASNEW.com – Lembaga Studi dan Advokasi Masyarakat atau ELSAM mendesak Kementerian Komunikasi dan Informasi (Kominfo) bertindak sebagai otoritas pelindungan data. Hal ini bertujuan untuk menutup kekosongan institusi penegakan kepatuhan dalam pelindungan data pribadi.
ELSAM menegaskan pentingnya otoritas pelindungan data setelah beberapa insiden bocornya data dan peretasan 6 juta data pribadi yang dijualbelikan di dark web oleh peretas bernama Bjorka. “Sampai dengan terbentuknya lembaga pelindungan data pribadi, sebagaimana dimandatkan Undang-undang Pelindungan Data Pribadi (UU PDP), Kementerian Kominfo harus bertindak sebagai otoritas pelindungan data,” ujar ELSAM dalam keterangan tertulis pada Rabu, 19 September 2024.
Menurut ELSAM, permintaan tersebut didasarkan pada Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PSTE). Dalam rilis dua halaman itu, ELSAM menyatakan, Kominfo berwenang untuk mengawasi Penyelenggara Sistem Elektronik (PSE) dalam lingkup publik dan privat. Pelaksanaan kewajiban Kementerian sebagai PSE, termasuk kewajiban pelindungan data pribadi, sebagaimana termaktub Pasal 35 PP PSTE.
Dewan Perwakilan Rakyat (DPR) bersama pemerintah telah mengesahkan Rancangan Undang-Undang Pelindungan Data Pribadi (PDP) menjadi undang-undang dalam Rapat Paripurna DPR pada 20 September 2022. Regulasi tersebut sejatinya mulai berlaku sejak tanggal diundangkan pada 17 Oktober 2022 sesuai Pasal 76 Undang-undang Nomor 27 Tahun 2022.
Kelanjutan proses tersebut adalah pembuatan Peraturan Pemerintah (PP) dan pembentukan badan pengawas untuk mengawasi pelindungan data pribadi (PDP) sesuai amanat Undang-Undang Nomor 27 Tahun 2022. Peraturan Presiden mengenai Badan Pengawas PDP sejatinya akan disahkan sebelum Oktober 2024.
ELSAM mengatakan, Kementerian Kominfo harus segera mengambil langkah proaktif untuk menginvestigasi kasus kebocoran data. Kementerian juga diminta agar menghentikan kebocoran data pribadi, termasuk memberikan rekomendasi perbaikan dalam pelaksanaan standar kepatuhan.
Insiden kebocoran data terbaru diketahui pada Rabu, 18 September 2024. Pendiri Ethical Hacker Indonesia Teguh Aprianto menyebutkan terdapat 6 juta data Nomor Pokok Wajib Pajak (NPWP) yang dibocorkan oleh akun bernama Bjorka di dark web. Informasi tersebut ia sebarkan melalui cuitannya di aplikasi media sosial X. “Sebanyak 6 juta data NPWP diperjualbelikan dengan harga sekitar 150 juta rupiah. Data yg bocor diantaranya NIK, NPWP, alamat, no hp, email dll,” tulis Teguh dalam akun X yakni @secgron.
Direktur Eksekutif Lembaga Studi dan Advokasi Masyarakat (Elsam) Wahyudi Djafar mengomentari informasi 6 juta data NPWP diduga diperjualbelikan dengan harga sekitar Rp 150 juta, berdasarkan unggahan akun Bjorka pada Rabu, 18 September 2024. Data yang bocor di antaranya NIK, NPWP, alamat, nomor kontak hp, email, dan lainnya. Termasuk di dalamnya diduga milik Presiden Jokowi, Menteri Keuangan Sri Mulyani Indrawati, hingga Menteri Perdagangan Zulkifli Hasan.
Wahyudi menduga bocornya data NPWP di situs dark web berasal dari Direktorat Jenderal Pajak.
“Kalau dari sample datanya, kuat sepertinya berasal dari DJP,” kata Wahyudi dalam keterangannya, Kamis 19 September 2024.
Dia menjelaskan meskipun sampling data yang ditampilkan hanya data-data pribadi pejabat publik, termasuk presiden, terdapat kemungkinkan bahwa kebocoran data pribadi ini menimpa masyarakat Indonesia. Atas kejadian ini, ia menyampaikan, harus ada investigasi yang dilakukan oleh otoritas.
“Ada kemungkinkan juga breach data pribadi warga negara secara umum,“ jelas Wahyudi.
Wahyudi menambahkan, data yang paling rawan adalah NIK, karena menjadi akses semua layanan, termasuk NPWP.
Adapun risiko lain yang dapat mengintai akibat bocornya data ini adalah risiko data keuangan pribadi termasuk perpajakan. Wahyudi menambahkan, dalam Undang-undang PDP Indonesia, data keuangan pribadi masuk kategori data sensitif.
“Sehingga risiko bagi subject datanya lebih besar jika terjadi eksploitasi,” kata Wahyudi.
Ia menambahkan, insiden ini menjadi pembelajaran penting menjelang berakhirnya Undang-undang PDP yang terkait dengan kepatuhan pengendali data publik pada seluruh standar kepatuhan Undang-undang PDP, termasuk keseriusan pemerintah dalam menangani insiden kebocoran data.
Direktorat Jenderal Pajak atau DJP menyanggah adanya indikasi kebocoran data langsung dari sistem informasi mereka. DJP menyebut bahwa struktur data yang tersebar bukanlah struktur data yang terkait dengan pelaksanaan hak dan pemenuhan kewajiban perpajakan wajib pajak.
“Data log access dalam enam tahun terakhir menunjukkan tidak adanya indikasi yang mengarah kepada kebocoran data langsung dari sistem informasi DJP,” kata Dwi Astuti, Direktur Penyuluhan, Pelayanan, dan Hubungan Masyarakat DJP dalam keterangannya, Jumat, 20 September 2024
Dwi Astuti menyatakan DJP telah berkoordinasi dengan Kementerian Komunikasi dan Informatika (Kemenkominfo), Badan Siber dan Sandi Negara (BSSN), dan Kepolisian RI untuk menindaklanjuti dugaan kebocoran data in sesuai dengan ketentuan yang berlaku.
DJP menegaskan akan berupaya untuk meningkatkan sistem keamanan dan perlindungan data pribadi dengan melakukan evaluasi dan penyempurnaan tata kelola data dan sistem informasi melalui pembaruan teknologi keamanan sistem dan security awareness.
Selain itu, DJP juga mengimbau masyarakat untuk menjaga keamanan datanya masing-masing serta melapor kepada DJP apabila menemukan adanya dugaan kebocoran data DJP melalui kanal pengaduan resminya.
“Antara lain dengan memperbarui antivirus, mengubah kata sandi secara berkala, dan menghindari baik mengakses tautan maupun mengunduh file mencurigakan agar terhindar dari pencurian data,” imbaunya.
Sebelumnya, pendiri Ethical Hacker Indonesia Teguh Aprianto melalui akun X miliknya menyampaikan, “Sebanyak 6 juta data NPWP diperjualbelikan dengan harga sekitar 150 juta rupiah,” tulisnya pada Rabu, 18 September 2024. Terdapat kebocoran berupa data Nomor Identitas Kependudukan (NIK), NPWP, alamat, nomor telepon, alamat email, dan lain sebagainya.
Teguh turut menyertakan gambar berupa tangkapan layar di forum jual beli data hasil peretasan. Di dalam foto, tampak akun anonim dengan nama Bjorka sebagai user, tertanggal Rabu, 18 September 2024. Akun tersebut mengklaim telah mengumpulkan lebih dari 6,6 juta data pribadi yang dijual di forum tersebut dengan harga US$ 10 ribu atau setara dengan Rp 152,96 juta.
Berdasarkan temuan Teguh, terdapat 10 ribu sampel di dalam daftar yang tersedia di forum ilegal untuk diperjualbelikan. “Field di dalam sampel: NIK, NPWP, nama, alamat, kelurahan, kecamatan, kabkot, provinsi, kode_klu, klu, nama_kpp, nama_kanwil, telp, fax, email, ttl, tgl_daftar, status_pkp, tgl_pengukuhan_ pkp, jenis_wp, badan_hukum,” tulis teguh lebih lanjut.
Teguh juga menyertakan daftar berisi 25 nama teratas yang terdapat di dalam 10 ribu sampel yang ada. Nama Jokowi duduk di urutan paling atas. Diikuti nama anak-anaknya, Gibran Rakabuming Raka dan Kaesang Pangarep. Di bawahnya, tertera nama Menteri Komunikasi dan Informatika (Menkominfo) Budi Arie Setiadi dan Menteri Keuangan Sri Mulyani Indrawati. Nama Airlangga Hartarto, Menteri Koordinator Bidang Perekonomian, juga ada di dalam daftar tersebut bersama nama Menteri BUMN Erick Thohir dan Menteri Perdagangan Zulkifli Hasan, serta data pejabat pemerintah lainnya.
“Di dalam sampel, anda akan menemukan informasi pribadi tentang Presiden Indonesia dan anak-anaknya serta pejabat di Kementerian Keuangan dan menteri lainnya yang juga tidak berguna,” demikian tertulis dalam narasi berbahasa Inggris pada halaman berjudul “6 Juta Nomor Pembayar Pajak Indonesia (NPWP)” itu.
(jok/ik).-