Cyberthreat.id – Pemerintah Missouri meminta maaf kepada 600.000 guru yang data pribadinya terdampak dalam kasus kebocoran data yang menimpa Departemen Pendidikan Dasar dan Menengah (DESE).

Pejabat DESE bersama dengan anggota Kantor Divisi Layanan Teknologi Informasi Administrasi Missouri (OA-ITSD) telah mengirimkan surat pemberitahuan dan permintaan maaf kepada 620.000 guru yang datanya diekspose. Mereka juga menawarkan layanan pemantauan kredit dan pencurian identitas selama 12 bulan melalui BEI.

Komisioner bidang Pendidikan, Margie Vandeven, mengungkapkan pihaknya sangat menyesal dan meminta maaf atas terjadinya insiden kebocoran data yang menimpa lembaga tersebut.

“Saya ingin meminta maaf kepada mereka atas insiden ini dan ketidaknyamanan tambahan yang mungkin ditimbulkannya kepada mereka, kami telah bekerja sama dengan lembaga terkait untuk menyelesaikan masalah ini,” ungkap Vandeven dikutip dari ZDNet, diakses Rabu (17 November 2021).

Meski pemerintah mengklaim tidak melihat adanya penyalahgunaan adanya informasi individu, mereka memastikan akan memberikan perlindungan terhadap para guru dan mantan guru yang informasinya terdampak insiden dan meminta masyarakat untuk menghubungi Call Center BEI di 833-325-1777.

DESE mengungkapkan, kasus kebocoran data ini membuat penjahat siber dapat melihat nomor jaminan sosial (SSN) milik guru tertentu melalui beberapa proses. Bahkan, mereka dapat mengakses catatan sertifikasi dari setidaknya tiga pendidik dan kemudian mengambil sumber data yang disandikan dari halaman web itu dan menguraikan data tersebut.

Padahal, data-data pribadi milik guru tersebut seharusnya hanya dapat diakses oleh individu itu sendiri. Selain itu,seharusnya tidak ada opsi untuk memecahkan kode SSN untuk semua pendidik dalam sistem sekaligus. Saat ini DESE telah meminta OA-ITSD untuk segera menonaktifkan alat pencarian sertifikasi pendidik tersebut.

Kasus kebocoran data ini menjadi berita utama nasional setelah seorang reporter, Josh Renaund, menemukan kerentanan dalam database milik DESE. Ia mengaku telah melapor ke DESE dan meminta mereka untuk memperbaikinya sebelum ia menerbitkan tulisan tersebut.

Namun, Gubernur Missouri Mike Parson, justru menuduh Renaund telah meretas database itu dan mengancam akan menuntut sang reporter. Hal tersebut membuat Parson diejek oleh para profesional keamanan siber juga anggota partainya sendiri.

Dalam sebuah konferensi pers, Parson mengklaim insiden siber tersebut akan menyebabkan kerugian negara sebesar US$50 juta dibandingkan dengan US$800.000 yang dihabiskan untuk layanan pemantauan kredit dan pemantauan identitas. Hingga saat ini penyelidikan terkait insiden siber ini masih terus berlanjut.

Bagaimana dengan Indonesia?

Berbeda dengan di Indonesia, dalam setiap kasus kebocoran data, jarang sekali pemerintah dan pengendali data mengungkapkan permintaan maaf kepada masyarakat yang datanya terdampak. Bahkan, tidak ada pemberitahuan atau notifikasi yang diberikan oleh pengendali data kepada para penggunanya. (Baca: 12 Kasus Kebocoran Data di Indonesia Sejak 2019)

Misalnya, dalam kasus kebocoran data yang menimpa BPJS Kesehatan pada pertengahan 2021, tidak ada pemberitahuan resmi dari BPJS kepada para penggunanya. Justru, masyarakat mengetahui kasus kebocoran data ini melalui berbagai pemberitaan yang ada di media.

Terkait dengan hal tersebut, Ketua Indonesia Cyber Security Forum (ICSF) mengungkapkan, seharusnya pemerintah dan pengendali data memberikan notifikasi khusus kepada para pengguna yang terdampak kasus kebocoran data. Selain itu, pengendali data harus meminta maaf kepada pemilik data karena tidak bisa menjaga keamanan data mereka.

Namun, hal ini tidak banyak dilakukan oleh pemerintah dan pengendali data karena masih belum adanya regulasi yang mewajibkan kedua hal tersebut dilakukan, katanya. Padahal, kedua hal tersebut sangat berkaitan dengan kepercayaan dan reputasi antara pemilik data dan pengendali data.

“Ini kembali pada masalah tanggung jawab dan akuntabilitas, semakin tidak adanya kepedulian dengan alasan regulasi maka kedua hal tersebut tidak akan dilakukan di Indonesia,” ujar Ardi kepada Cyberthreat.id.

Ardi menjelaskan, salah satu hal yang saat ini tidak dilakukan pemerintah dan pengendali data adalah pemberian ganti rugi kepada para pemilik data. Hal ini tidak dilakukan karena sulitnya mengukur besaran kerugian pemilik data akibat adanya kebocoran data tersebut.

Menurut dia, pengendali data dan pemerintah seharusnya memberikan jaminan keamanan dan perlindungan jika data pribadi yang bocor tersebut disalahgunakan oleh penjahat siber.

“Seharusnya pemilik data sebagai korban mendapatkan jaminan jika data mereka disalahgunakan, terlebih insiden siber ini merupakan kelalaian dari pengendali data,” tegas Ardi.

Ardi pun menambahkan, meski RUU PDP yang mengatur soal keamanan data belum disahkan, sebenarnya sudah ada UU ITE yang bisa digunakan untuk mendorong pemerintah dan pengendali data memberikan notifikasi dan meminta maaf kepada pemilik data yang datanya terdampak.

Namun, hal itu kembali lagi kepada para penegak hukum apakah mereka mendorong hal tersebut dilakukan atau tidak, katanya.[]

Redaktur: Andi Nugroho