Cyberthreat.id - Chairman lembaga riset cyber Communication & Information System Security Research Center (CISSReC), Pratama Persadha, mengatakan serangkaian kasus pelanggaran dan kebocoran data yang terungkap di Indonesia belakangan ini tidak akan membuat jera penyedia jasa sistem transaksi elektronik (PSTE) selaku pengumpul dan pengolah data.

Indonesia, kata dia, belum memiliki regulasi yang melindungi data pribadi warga negaranya. Pratama mencontohkan Eropa dengan regulasi General Data Protection Regulation (GDPR) yang melindungi data warganya sekaligus memaksa penyedia jasa sistem elektronik untuk mengamankan dengan maksimal data masyarakat yang dihimpun dan diolah untuk berbagai kepentingan.

"Setiap data yang dihimpun harus diamankan dengan enkripsi. Bila terbukti lalai, maka penyedia jasa sistem elektronik bisa dikenai tuntutan sampai 20 juta euro (GDPR). Bisa dibayangkan bila KreditPlus ini ada di luar negeri, bisa dikenai pasal kelalaian dalam GDPR. Sama juga dengan peristiwa kebocoran data yang sudah terjadi di Tanah Air sebelumnya," kata Pratama dalam siaran pers, Selasa (4 Agustus 2020).

Pratama menanggapi pelanggaran data KreditPlus yang data nasabahnya diupload oleh anggota raid forums pada 16 Juli oleh ShinyHunters. Seperti biasa, member di raid forums membagikannya melalui sistem pembayaran kredit, mata uang forum tersebut yang jika dirupiahkan sekitar Rp 50 ribu.

Setelah membayar, pembeli akan mendapatkan sebuah link yang diarahkan untuk men-download file berisi ratusan ribu data pelanggan KreditPlus tersebut. File unduhan sebesar 78MB tersebut harus di-ekstrak dan menghasilkan sebuah file sebesar 430MB.

Tangkapan layar kebocoran data KreditPlus | Foto: CISSReC

---

Setelah file dibuka, pembeli bisa melihat 819.976 data nasabah KreditPlus, mulai dari nama, KTP, email, status pekerjaan, alamat, data keluarga penjamin pinjaman, tanggal lahir, nomor telepon, dan lainnya.

"Informasi yang bocor ini adalah data sensitif yang sangat lengkap, ini sangat berbahaya untuk nasabah. Karena dari kelengkapan data nasabah KreditPlus ini (bisa) memancing kelompok kriminal untuk melakukan penipuan dan tindak kejahatan yang lainnya," ujar dia.

Melihat urgensi kasus kebocoran data dan peretasan di Tanah Air, Pratama mengatakan negara punya tanggung jawab untuk melakukan percepatan pembahasan RUU Perlindungan Data Pribadi.

Di dalam UU tersebut, kata dia, wajib disebutkan bahwa setiap penyedia jasa sistem transaksi elektronik (PSTE) yang tidak mengamankan data masyarakat, bisa dituntut ganti rugi dan dibawa ke pengadilan.

"Pihak penyelenggara sistem transaksi elektronik harus mulai menjadikan data penggunanya sebagai prioritas keamanan. Pilih teknologi enkripsi teraman dan semua data harus dienkripsi. Data offline juga harus mendapatkan model pengamanan yang tidak kalah ketat," kata dia.

Untuk mencegah pencurian data berulang-ulang, Pratama mengatakan negara perlu mengadakan dan memfasilitasi penetration test (pentest) dan Bug Bounty. Setiap PSTE, kata dia, bisa memberikan reward yang layak pada setiap pihak/orang yang menemukan celah keamanan di sistem mereka.

"Hal ini sering dilakukan Apple, Google, FB, Amazon dan raksasa teknologi lainnya," tegas dia.

Badan Siber dan Sandi Negara (BSSN) dan Kementerian Kominfo juga perlu didorong untuk lebih sering turun ke lapangan melakukan edukasi dan memaksa PSTE membangun sistem yang lebih baik. Menurut Pratama, turun ke lapangan terutama dalam melindungi data nasabah atau pelanggan platform digital.

"Karena keamanan siber ini akan menjadi salah satu hal yang dijadikan patokan investor untuk berbisnis di Tanah Air," ungkapnya.