RANCANGAN Undang-undang Perlindungan Data Pribadi (PDP), secara resmi telah diserahkan pemerintah lewat Kementerian Komunikasi dan Informatika ke DPR RI pada 24 Januari lalu. RUU PDP terdiri dari 15 bab dan 72 pasal. Dalam RUU ini mengatur tentang keamanan data, kepemilikan data, penggunaan data, pengaturan lalu lintas data (cross border dan flow), serta kedaulatan data.

Meski RUU PDP sudah diusulkan dan mungkin hampir disahkan, sebetulnya masalah data pribadi masih belum jadi prioritas kita. Setiap hari kita terkoneksi dengan internet. Berucap dan berinteraksi di media sosial. Bertransaksi di aplikasi dan toko online. Tapi sangat jarang berpikir mengenai keamanan data kita sendiri.

Ini memang cerita suram era di mana internet sudah menjadi segalanya, tidak hanya "Internet of Thing" melainkan "Internet of Everything" di mana setiap perangkat atau device yang terus menerus terhubung internet namun begitu mudah diretas atau di-hack. Tidak hanya mudah diretas, device-device itu juga mudah diterobos untuk kejahatan seperti pencurian dan pembocoran data kredensial. Setelah data bocor, dampaknya lebih parah. Secara fisik, kehidupan Anda akan mudah dikendalikan pihak luar.

Peringatan keras itu adalah pesan utama dari buku Click Here to Kill Everybody (September 2018), sebuah buku yang ditulis oleh ahli cripto, penulis, dan blogger, Bruce Schneier.

Di tengah pentrasi penggunaan internet di Indonesia yang terus meningkat, sepatutnya kita makin khawatir. Pasalnya, tingkat keamanan perangkat Internet of Thing (IoT) tidak sejalan dengan kecanggihannya. Kesadaran akan masalah keamanan pun tampaknya masih belum menembus kesadaran umum produsen perangkat, operator jasa internet, dan pengguna.

Tim Mackey, ahli strategi keamanan utama di Synopsys, dalam sebuah wawancara dengan Security Weekly, mencatat masalah kesenjangan antara ekosistem teknologi IoT yang maju begitu pesat dan keamanan yang berkembang lambat seperti siput.

"Tantangannya adalah masalah keamanan tidak pernah dipikirkan lebih dulu ketimbang fitur dan fungsi dari teknologi baru," ujar Tim Mackey. Dalam bahasa sederhana, Mackey bilang bahwa masalah keamanan tidak pernah dipikirkan.  Akibatnya, beberapa tahun terakhir ada banyak laporan tentang betapa mudahnya perangkat IoT diretas. Dari pengamatan Mackey itulah, tercermin bahwa pola pikir kebanyakan orang masih mementingkan fitur dan kecepatan sebuah perangkat IoT dibanding keamanannya.

Para pengguna masih jauh lebih terpesona dengan kecanggihan sebuah device daripada seberapa kuat keamanannya. Bahkan para produsen pun malah khawatir jika mereka mengembangkan keamanan, produk mereka akan ketinggalan jaman dan terlindas oleh kompetitor mereka di pasaran.

Mengapa keamanan IoT harus jadi perhatian?

Masalah keamanan harus jadi perhatian serius semua pihak, termasuk produsen device. Mereka harus sadar memastikan bahwa data yang dikumpulkan dari konsumen diamankan dengan baik, seperti yang dipahami dan diharapkan konsumen sebagai pengguna.

Setiap ada pengembangan dan perubahan perangkat, perusahaan produsen harus memprioritaskan dan memastikan bahwa pembaruan tidak akan mengubah terlalu banyak sehingga pengguna harus belajar lagi. Prioritas lainnya adalah pencegahan agar tidak ada lagi kebocoran data. Hal privasi dan lingkungan kerja selalu berkaitan.

Meski keamanan adalah prioritas utama. Namun, penyematan otomatis fitur keamanan dalam perangkat IoT akan terasa rumit. Pasalnya, proses produksi perangkat keras (hardware) sangat berbeda dengan duni pengembangan perangkat lunak (software).  Dalam dunia software, kita bisa gagal dan kembali ke awal seperti prinsip DevOps. Tapi di dunia hardware, biasanya untuk menjaga keamanan perangkat dikunci saat disetting pertama kali.

Jadi memastikan sebuah perangkat itu aman atau tidak, perlu pengecekan sejak perancangan model ketahanan terhadap ancamanan, selain juga memerlukan protokol spesifik terkait keamanan. Selain itu, para produsen perangkat juga tidak akan membiarkan kekayaan intelektual mereka dengan mudah ditiru. Karena itu jika ada cacat keamanan, perangkatnya akan sangat sulit diperbaiki.

Apakah RUU PDP bisa meningkatkan keamanan?

Tentu saja negara atau pemerintah bisa menekan vendor teknologi untuk meningkatkan keamanan perangkat IoT. Misalnya saja dengan memberlakukan regulasi seperti Peraturan Perlindungan Data di Uni Eropa (GDPR), berlaku Mei 2018, dan Undang-Undang Privasi Konsumen California (CCPA) yang mulai berlaku 1 Januari 2020. Selain di Indonesia sendiri, pemerintah telah mengirimkan RUU PDP ke DPR RI seperti disebut di awal tulisan ini.

Jelas, data harus dirahasiakan dan tetap aman. Tetapi, sebagian besar data yang dikumpulkan akan dialihkan ke layanan komputasi awan (cloud) dan dianalisis. Selanjutnya, perdebatan akan berlanjut mengenai manajemen pengelolaan data. Berapa lama data itu akan disimpan? Data siapa yang akan digunakan untuk melatih algoritma machine learning sehingga bisa benar-benar menghasilkan jawaban yang dibutuhkan.

Namun diskusi mengenai pengelolaan data itu akan jadi tidak relevan jika datanya dicuri oleh hacker. Karena itulah, kembali ke awal, pikirkan keamanan dulu sebelum memikirkan fitur dan fungsi perangkat. Perlindungan data pribadi, emang gue pikirin?