Apa itu Kejahatan Siber (cyber crime)?
Ada banyak istilah untuk menggambarkan kejahatan
dunia maya (cybercrime) sebelumnya, istilah-istilah awal yang digunakan
untuk menggambarkan kejahatan dunia maya antara lain adalah kejahatan komputer
(computer crimer), kejahatan yang berhubungan dengan komputer (computer-related
crime) atau kejahatan melalui computer (crime by computer).[1]
2 (dua) Peneliti dari The Australian Institute
of Criminology (AIC) atau Institut Kriminologi Australia yaitu Gregor
Urbas dan Kim-Kwang Raymond Choo menggunakan istilah “Kejahatan yang
Dimungkinkan melalui Teknologi” (the technology-enabled crime) pada
tahun 2008 sebagai fenomena serangan siber yang pernah terjadi pada tahun 2005
di Australia, mereka menyebutkan:
“Jangkauan kejahatan
yang dimungkinkan melalui teknologi selalu berkembang, baik sebagai fungsinya
dalam perubahan teknologi itu sendiri maupun dalam hal interaksi sosial dengan menggunakan
suatu teknologi baru.”[2]
Ketika teknologi digital menjadi lebih luas,
muncul lagi istilah-istilah seperti kejahatan teknologi tinggi atau kejahatan
zaman informasi (high-technology or information-age crime) ditambahkan
ke dalam leksikon.[3] Munculnya Internet membawa
kita pada kejahatan dunia maya (cyber crime) dan kejahatan dalam
jaringan (net-crime).[4]
Varian lainnya termasuk kejahatan digital (digital crime), virtual (virtual
crime), kejahatan elektronik (e-crime) dan informasi teknologi (IT-Crime)
dan kejahatan yang dimungkinkan melalui teknologi (technology-enabled crime).
Jika diartikan secara harfiah, setiap istilah tersebut
memiliki satu atau lebih kekurangan. Sehingga istilah-istilah tersebut tidak dapat
didefinisikan secara harfiah saja, melainkan istilah-istilah tersebut sebagai
istilah deskriptif yang luas yang menekankan peran teknologi dalam terjadinya suatu
kejahatan. Meskipun masih ada istilah yang benar-benar tersebar luas, dengan
banyak istilah yang digunakan secara bergantian, ‘cyber crime’ adalah
istilah yang akan dibahas di sini.
- Pertama,
istilah ini umum digunakan dalam literatur;
- Kedua,
istilah ini telah menemukan jalannya ke dalam penggunaan secara umum dan hampir
setiap orang saat mendengarkan istilah ini tidak akan asing bagi mereka;
- Ketiga,
istilah ini menekankan pada jaringan dalam computer;
- Keempat, dan
yang terpenting, istilah ini diadopsi dalam Konvensi Dewan Eropa tentang
Kejahatan Dunia Maya (the Council of Europe Convention on cybercrime)
Kejahatan dunia maya adalah kegiatan kriminal yang
menargetkan atau menggunakan komputer, jaringan komputer, atau perangkat yang
terhubung jaringan. Sebagian besar kejahatan dunia maya dilakukan oleh penjahat
dunia maya atau peretas yang ingin menghasilkan uang. Namun, terkadang
kejahatan dunia maya bertujuan untuk merusak komputer atau jaringan demi alasan
selain keuntungan. Alasan ini bisa bersifat politis atau pribadi. Kejahatan
dunia maya dapat dilakukan oleh individu atau organisasi. Beberapa pelaku kejahatan
dunia maya terorganisasi, menggunakan teknik canggih, dan memiliki keterampilan
teknis yang tinggi. Sementara yang lainnya adalah peretas pemula (novice
hackers).
Bentuk-Bentuk Cyber Crime
Adapun bentuk-bentuk dari Cyber Crime,
antara lain:
1.
Penipuan melalui
surat elektronik dan internet (e-mail and internet fraud);
2.
Penipuan
identitas (Identity fraud): pencurian dan penggunaan informasi dan data
pribadi;
3.
Pencurian
data keuangan atau pembayaran kartu (Theft of financial or card payment data);
4.
Pencurian
dan penjualan data Perusahaan (Theft and sale of corporate data);
5.
Pemerasan
siber (Cyberextortion) seperti menuntut uang untuk mencegah data atau
informasi yang didapatkan penyerang tidak disebarluaskan;
6.
Serangan
ransomware (salah satu jenis pemerasan siber);
7.
Pencurian
mata uang kripto atau dikenal dengan istilah cryptojacking (peretas menyalahgunakan
dan mengambil keuntungan dari mata uang kripto yang bukan miliknya);
8.
Spionase
siber atau cyberespionage (peretas mengakses data pemerintah atau
perusahaan);
9.
Mengganggu
sistem dengan cara yang membahayakan jaringan;
10. Pelanggaran terhadap Hak Cipta (Infringing
copyright);
11. Judi Online (Illegal Gambling);
12. Menjual barang ilegal secara daring; dan
13. Meminta, memproduksi, atau memiliki pornografi
anak.
Definisi Pencurian Data
Pencurian data (Data Theft) adalah pengambilan data digital yang tidak sah
dari suatu entitas, yang sering kali didorong oleh motif keuntungan finansial
atau untuk mengganggu kegiatan bisnis atau alasan lainnya baik yang bersifat
politis bahkan pribadi. Pencurian data mencakup akses, transfer, atau
penyimpanan data sensitif secara ilegal, mulai dari kredensial pribadi dan
catatan keuangan hingga teknologi, algoritma, dan proses yang bersifat hak
milik orang lain.
Pencurian data merupakan pelanggaran keamanan dan
privasi yang serius dengan konsekuensi yang berpotensi menghancurkan, termasuk
berdampak serius pada kepatuhan hukum (crippling compliance penalties)
dalam melaksanakan kewajibannya, reputasi yang ternoda, serta kerugian
finansial dan operasional.
Tidak terbatas pada serangan pihak luar, pencurian
data dapat disebabkan oleh administrator sistem, pekerja kantor, lawan bisnis,
atau bahkan karyawan di Perusahaan itu sendiri yang mencuri data perusahaan
dari server file yang aman, server basis data, aplikasi cloud, atau perangkat
pribadi.
Perbedaan antara Pelanggaran Data dan Kebocoran Data
Pelanggaran Data (Data Breaches), biasanya merujuk pada insiden saat individu yang
tidak berwenang memperoleh akses ke informasi yang aman atau rahasia, sering
kali melalui niat atau aktivitas jahat. Ini mungkin melibatkan taktik
(teknikal) seperti peretasan, penggunaan malware, atau eksploitasi kerentanan
sistem. Motivasi di balik pelanggaran ini dapat berkisar dari keuntungan
finansial, seperti yang terlihat pada informasi kartu kredit yang dicuri,
hingga keuntungan strategis, seperti rahasia dagang atau intelijen pemerintah
yang dicuri.
Sedangkan, Kebocoran Data (Data Leaks)
biasanya ditandai dengan pelepasan atau pemaparan data pribadi yang tidak
disengaja kepada publik atau individu yang seharusnya tidak memiliki akses ke
data tersebut. Penyebabnya dapat berupa kesalahan manusia (human
error), kesalahan konfigurasi, atau bahkan kelalaian pengelola data
tersebut, seperti ketika informasi sensitif secara keliru diunggah di situs web
publik atau dikirim ke penerima email yang salah. Meskipun mungkin tidak ada
pelaku jahat atau penyusupan langsung seperti halnya pelanggaran, konsekuensi
dari kebocoran dapat sama parahnya dengan pelanggaran data, yang berpotensi
menyebabkan kerusakan reputasi, kerugian finansial, atau bahkan implikasi
hukum.
Bagaimana Pencurian Data Terjadi?
Pencurian data dapat terjadi melalui berbagai
cara, terutama karena kelemahan teknologi, kesalahan manusia,
atau niat jahat (malicious intent) – mens rea. Cara yang
paling umum bagaimana pencurian data terjadi, antara lain:
1.
Serangan
Phishing: Penjahat dunia maya
mengirimkan pesan penipuan (e-mail phishing), sering kali melalui email, yang
seolah-olah berasal dari sumber yang sah untuk mengelabui penerima agar
mengungkapkan data sensitif, seperti kredensial login atau nomor kartu kredit;
2.
Malware: Perangkat lunak berbahaya, juga dikenal sebagai
malware, termasuk virus, worm, ransomware, dan trojan, dapat dipasang secara
diam-diam di komputer atau jaringan pengguna untuk mencuri data atau memberikan
penyerang akses tidak sah;
3.
Serangan
Man-in-the-Middle (MitM):
Penyerang secara diam-diam menyadap dan mungkin mengubah komunikasi antara dua
pihak untuk mencuri data. Ini dikenal sebagai serangan MitM
4.
Kata
Sandi yang Lemah:
Menggunakan kata sandi yang lemah atau gagal mengubah detail login default
dapat membuat sistem menjadi sasaran empuk. Selain itu, kredensial dapat dicuri
melalui berbagai cara, yang memungkinkan akses tidak sah.
5.
Perangkat
Lunak yang Belum Di-patch (dimodifikasi): Kerentanan perangkat lunak yang tidak segera Di-patch (dimodifikasi)
dapat dimanfaatkan oleh penyerang untuk mendapatkan akses tidak sah atau
menyuntikkan kode berbahaya.
6.
Ancaman
Orang Dalam (Insider
Threats): Karyawan yang tidak puas atau mereka yang memiliki niat jahat
dapat menyalahgunakan hak akses mereka untuk mencuri atau membocorkan data.
7.
Unduhan
Langsung (drive-by downloads
threats): Sekadar mengunjungi situs web yang disusupi tanpa mengunduh atau
mengeklik apa pun dapat mengakibatkan pengunduhan otomatis perangkat lunak
berbahaya.
8.
Jaringan
yang Tidak Aman (Unsecured
Networks): Menggunakan jaringan yang tidak terenkripsi atau tidak aman,
terutama Wi-Fi publik, dapat membuat data rentan terhadap penyadap.
9.
Basis
Data atau Penyimpanan Cloud yang Salah Konfigurasi: Data yang disimpan daring dapat terekspos jika
tidak dikonfigurasi dengan benar, sehingga memungkinkan akses tidak sah.
10. Rekayasa Sosial (Social Engineering): Rekayasa sosial adalah taktik yang
digunakan untuk memanipulasi individu agar membocorkan informasi rahasia atau
melakukan tindakan tertentu yang membahayakan keamanan data.
11. Skimming: Metode yang sering digunakan pada pencurian kartu kredit, di mana
perangkat kecil menangkap informasi kartu selama transaksi yang sah, seperti di
ATM atau pompa bensin.
12. Pencurian Fisik: Perangkat seperti laptop, ponsel pintar, atau hard drive eksternal
dapat dicuri, sehingga pencuri dapat mengakses data yang tersimpan. Ini
termasuk mencari-cari di tempat sampah: pencuri secara fisik mencari dokumen
atau perangkat yang dibuang yang berisi data sensitif di tempat sampah.
Tindakan efektif terhadap pencurian data
memerlukan pendekatan multi-segi, termasuk pelatihan kesadaran keamanan rutin
bagi karyawan, penerapan solusi keamanan siber yang tangguh, pemeliharaan
perangkat lunak terkini, dan penerapan kontrol akses yang ketat, dan masih
banyak lagi.
Jenis Data yang Dicuri Jenis-jenis pencuri data
dan pelaku ancaman yang menjadi target dapat bervariasi tergantung pada motif
mereka.
Data Apa yang Dicuri?
Berikut adalah beberapa contoh umum data yang
dapat dicuri:
1.
Informasi
Identitas Pribadi (Personally
Identifiable Information (PII)): mencakup informasi yang digunakan untuk
mengidentifikasi seseorang, seperti nama, alamat, nomor jaminan sosial, atau
tanggal lahir. Penyerang sering kali menargetkan PII untuk pencurian identitas
atau penipuan finansial.
2.
Informasi
Keuangan (Financial
Information): Data keuangan meliputi detail kartu kredit dan kartu debit,
detail bank, dan informasi keuangan lainnya. Penyerang dapat menggunakan
informasi ini untuk mendapatkan keuntungan finansial, seperti melakukan
pembelian yang tidak sah atau mengakses rekening bank.
3.
Informasi
Kesehatan Pribadi (Personal
Health Information (PHI)): PHI mencakup catatan medis, informasi asuransi,
dan data terkait kesehatan lainnya. Penyerang biasanya menargetkan PHI untuk
penipuan asuransi atau pemerasan.
4.
Rahasia
Dagang dan Kekayaan Intelektual (Trade Secrets and Intellectual Property): Rahasia dagang dan
kekayaan intelektual mencakup teknologi hak milik, kode perangkat lunak,
algoritma, dan informasi sensitif lainnya. Penyerang dapat menggunakan
informasi ini untuk mendapatkan keuntungan kompetitif atau menjualnya kepada
pelaku kejahatan lainnya.
5.
Kredensial
Login (Login Credentials):
Nama pengguna dan kata sandi untuk berbagai layanan daring, termasuk akun
email, jejaring sosial, dan perbankan daring, dapat menjadi pintu gerbang bagi
pencurian lebih lanjut atau aktivitas tidak sah.
6.
Catatan
Pelanggan (Customer Records):
Catatan pelanggan mencakup informasi pribadi, riwayat pembelian, dan data
pelanggan lainnya. Penyerang dapat menggunakan informasi ini untuk melakukan
serangan phishing atau pencurian identitas yang tertarget.
7.
Kode
Sumber dan Algoritma: Kode
sumber dan algoritma berharga bagi penyerang untuk membuat produk palsu atau
mengakses sistem aman.
8.
Data
Komunikasi (Communication Data):
Email, pesan teks, panggilan suara, dan bentuk komunikasi pribadi atau
perusahaan lainnya dapat disadap dan digunakan untuk berbagai motif, mulai dari
pemerasan pribadi hingga spionase perusahaan. Berikut ini adalah beberapa aset
yang paling sering menjadi target pencurian data. Penyerang terkadang akan
mengincar data pendidikan, data pemerintah dan militer, data biometrik, data
perilaku konsumen, dan aset digital lainnya, tergantung pada entitas target.
Dampak Pencurian Data
Pencurian data memiliki dampak yang sangat buruk baik
bagi badan usaha dan orang perorangan dalam berbagai sektor, dampak tersebut dilihat
dari:
1)
Dampak jangka
pendek dan jangka panjang bagi badan usaha; dan
2)
Dampak
jangka pendek dan jangka panjang bagi orang perorangan.
Dampak Jangka Pendek Pencurian Data bagi Badan Usaha
Dampak jangka pendek dari
pencurian data biasanya langsung terlihat segera setelah insiden terjadi.
Beberapa dampak jangka pendek ini meliputi:
1. Gangguan Operasional:
Segera setelah terjadi
pelanggaran data dan kebocoran data, badan usaha berpotensi harus menutup
sebagian atau seluruh operasinya untuk menyelidiki insiden tersebut dan
melakukan upaya pemulihan. Hal ini dapat menyebabkan penurunan produktivitas
dan efisiensi operasional, dan tentu hal ini akan mempengaruhi beberapa faktor,
antara lain:
2. Reaksi Pelanggan atau Konsumen:
Pelanggan yang
mengetahui bahwa data mereka telah dicuri mungkin akan segera merespons dengan
rasa marah dan kekhawatiran. Hal ini bisa menyebabkan peningkatan jumlah
keluhan dan pertanyaan yang harus ditangani oleh layanan pelanggan.
3. Penurunan Kepercayaan:
Kepercayaan publik
dan pelanggan terhadap perusahaan dapat menurun secara drastis dalam waktu
singkat. Ini bisa berdampak pada hilangnya pelanggan dan reputasi perusahaan.
4. Biaya Investigasi Awal:
Perusahaan harus
mengeluarkan biaya untuk melakukan investigasi awal, baik melalui tim internal
maupun dengan melibatkan ahli forensik digital eksternal.
Dampak Jangka Panjang Pencurian Data bagi Badan Usaha
Dampak jangka panjang dari
pencurian data bisa lebih signifikan dan berkelanjutan, meliputi berbagai aspek
seperti finansial, hukum, reputasi, dan operasional:
1) Dampak Finansial:
(a)
Biaya
Penipuan Daring:
Menurut Laporan Biaya Pelanggaran Data IBM pada tahun 2023, biaya pelanggaran
data rata-rata global adalah $4,45 juta, meningkat 15% (lima belas persen)
dalam 3 (tiga) tahun terakhir. Biaya ini mencakup respons insiden, pemulihan
data, dan perbaikan sistem.
(b)
Hilangnya
Penjualan: Pelanggan
yang kehilangan kepercayaan pada perusahaan mungkin akan beralih ke pesaing,
menyebabkan penurunan pendapatan jangka panjang.
(c)
Potensi
Waktu Henti: Dalam
kasus serangan ransomware, waktu henti bisa berlangsung lama sampai tebusan
dibayar atau sistem pulih, yang dapat menyebabkan kerugian pendapatan yang
signifikan.
(d)
Biaya
Perbaikan Jangka Panjang:
Termasuk peningkatan sistem dan menerapkan langkah-langkah keamanan yang lebih
ketat untuk mencegah insiden serupa di masa depan.
(e)
Konsekuensi
Hukum dan Denda: Bergantung
pada ukuran pelanggaran dan jenis data yang dicuri, perusahaan mungkin
menghadapi denda signifikan dari pemerintah.
2) Dampak Hukum dan Sanksi
Administrasi:
Kita ambil contoh di Amerika Serikat, terdapat beberapa instrument hukum yang
berdampak bagi pelaku usaha atau Perusahaan atau badan usaha dari penyedia
layanan Kesehatan yang tidak dapat menjaga data pribadi dari pasien dengan
baik, antara lain:
(a) HIPPA atau Undang-Undang
Portabilitas dan Akuntabilitas Asuransi Kesehatan Tahun 1996 (Health
Insurance Portability and Accountability Act) melindungi data pasien yang
sensitif. Pelanggaran terhadap standar ini dapat dikenakan denda perdata antara
$100 hingga $50.000 per pelanggaran bagi layanan Kesehatan atau badan usaha
baik pemerintah dan swasta yang tidak bisa menjaga data dari pasien dari
serangan siber.
(b) FTC atau Federal Trade
Commission Act of 1914 atau Undang-Undang Komisi Perdagangan Federal Tahun
1914, setiap orang dan/atau badan dapat dikenakan denda hukuman perdata hingga
$40.000 per-pelanggaran.
(c) COPPA (The Children's
Online Privacy Protection Act) dan CCPA (The California Consumer Privacy
Act): Hukum Privasi
seperti COPPA dan CCPA di AS menetapkan denda dan kompensasi bagi konsumen yang
terkena dampak pelanggaran data.
(d) Konsekuensi Reputasi:
Kepercayaan publik terhadap perusahaan yang mengalami
pelanggaran data dapat terkikis drastis. Pelanggan bisa memutuskan hubungan
dengan perusahaan dan beralih ke pesaing yang dianggap lebih aman. Dalam jangka
panjang, perusahaan harus bekerja lebih keras untuk memulihkan kredibilitas dan
menarik pelanggan baru.
(e) Gangguan Operasional: Setelah insiden,
perusahaan mungkin mengalami gangguan operasional jangka panjang, termasuk:
1. Kehilangan penjualan;
2. Kesulitan menangani pertanyaan
pelanggan;
3. Penurunan efisiensi
operasional;
4. Kerusakan pada hubungan dan
loyalitas pelanggan, yang memerlukan upaya ekstra untuk memulihkan kepercayaan
dan keyakinan pelanggan.
Dampak Jangka Pendek Pencurian Data bagi Orang Perorangan
Pelanggaran data dan
kebocoran data dapat memiliki dampak yang sangat menghancurkan bagi orang
perorangan. Berikut adalah penjabaran detail dari berbagai dampak yang mungkin
dihadapi:
1) Kerugian Finansial: Individu mungkin menghadapi
kerugian finansial langsung, seperti:
- Penarikan
atau Tagihan Tidak Sah: Pelaku
dapat melakukan penarikan uang atau transaksi tidak sah menggunakan informasi
pribadi yang dicuri, yang langsung menguras sumber daya keuangan korban.
- Waktu
dan Upaya untuk Pemulihan: Korban
harus menghabiskan waktu berjam-jam atau bahkan berhari-hari untuk membatalkan
kartu kredit, mengubah kata sandi, dan menghubungi lembaga keuangan untuk
memastikan keamanan informasi pribadi mereka.
2) Tekanan Emosional: Insiden pelanggaran data
bisa menyebabkan stres dan kecemasan yang signifikan, seperti:
- Kecemasan
tentang Pencurian Identitas: Ketakutan bahwa data pribadi akan terus dieksploitasi
oleh pelaku kriminal, yang mengakibatkan stres emosional yang berkelanjutan.
- Kebingungan
dan Kekhawatiran: Ketidakpastian
mengenai dampak jangka panjang dari pelanggaran data dapat menambah tekanan
emosional.
Dampak Jangka Panjang Pencurian Data bagi Orang Perorangan
Untuk dampak jangka panjang pencurian data bagi
orang perorangan akan sangat terasa ketika dampak dari pencurian itu
mempengaruhi beberapa hal sebagai berikut dalam kehidupan kita secara konkret:
1) Pencurian
Identitas: Pencuri
dapat mengeksploitasi data pribadi setiap saat dan kapan pun ia inginkan untuk:
- Membuka
Akun Palsu: Data
pribadi yang dicuri dapat digunakan untuk membuka akun bank, kartu kredit, atau
layanan lain atas nama korban.
- Melakukan
Transaksi Tidak Sah: Pelaku
dapat melakukan pembelian, mengambil pinjaman, atau melakukan transaksi lainnya
yang merugikan korban.
2) Kerugian
Moneter: Dampak finansial
jangka panjang dapat meliputi:
- Biaya
Pemulihan Identitas: Korban
mungkin perlu mengeluarkan biaya untuk mengatasi dan memulihkan identitas
mereka, termasuk biaya pengacara dan layanan pemantauan kredit.
- Penurunan
Skor Kredit: Aktivitas
tidak sah yang dilakukan atas nama korban dapat merusak skor kredit mereka atau
kolektibilitas kredit sebagaimana yang diatur dalam Peraturan Otoritas Jasa
Keuangan Republik Indonesia Nomor 40/POJK.03/2019 tentang Penilaian Kualitas
Aset Bank Umum.
3) Pelanggaran
Privasi: Pelanggaran data
dapat mengungkap informasi sensitif seperti:
- Data
Pribadi dan Intim: Informasi
pribadi seperti alamat, nomor telepon, atau komunikasi pribadi dapat bocor,
menghilangkan privasi individu.
- Data
Keuangan: Informasi keuangan
yang bocor dapat digunakan untuk penipuan dan pencurian identitas lebih lanjut.
4)
Kerusakan
Reputasi: Pelanggaran data
dapat menyebabkan kerusakan reputasi pribadi atau profesional:
- Ketidakpercayaan:
Reputasi korban di mata
rekan kerja, teman, atau masyarakat dapat ternoda, yang mengakibatkan
ketidakpercayaan dan isolasi sosial.
- Rasa
Malu dan Implikasi Sosial: Rasa
malu dan tekanan sosial akibat informasi pribadi yang bocor dapat mempengaruhi
hubungan interpersonal dan lingkungan kerja.
5)
Paparan
Informasi Kesehatan: Kebocoran
data kesehatan dapat memiliki dampak serius seperti:
- Pelanggaran
Privasi: Informasi kesehatan
pribadi yang bocor dapat digunakan untuk diskriminasi atau penyalahgunaan.
- Potensi
Penyalahgunaan Data Kesehatan: Data kesehatan yang sensitif dapat disalahgunakan oleh
pihak yang tidak bertanggung jawab, yang dapat mengakibatkan kerugian lebih
lanjut bagi korban.
Baik organisasi maupun orang perorangan harus
menerapkan langkah-langkah keamanan yang ketat untuk secara efektif mencegah
kejahatan dunia maya yang menargetkan data mereka. Hal ini sering kali
melibatkan pemanfaatan kombinasi solusi teknologi (misalnya, produk enkripsi
dan keamanan dunia maya) dan praktik perilaku (misalnya, pelatihan kesadaran
keamanan) untuk memerangi pelaku kejahatan yang mencuri data penting.
Langkah-Langkah Hukum Apabila Terkena Dampak Pencurian Data
Jika data pribadi dicuri
oleh orang yang tidak bertanggung jawab dan Anda sebagai badan usaha atau
perorangan mengalami dampak seperti yang telah dijelaskan, berikut adalah
langkah-langkah hukum yang dapat ditempuh:
Langkah-Langkah Hukum bagi Badan Usaha dalam Menghadapi Pencurian Data
1. Langkah-Langkah Internal
1.1
Melakukan
Identifikasi:
A. Jenis
Serangan Siber:
Langkah awal yang
kritis adalah mengidentifikasi jenis serangan siber yang terjadi. Apakah ini
adalah serangan malware, phishing, ransomware, atau jenis serangan lainnya.
Identifikasi jenis serangan membantu dalam menentukan langkah penanganan yang
tepat.
B. Penyebabnya
apakah Pelanggaran Data atau Kebocoran Data:
a. Pelanggaran Data (Data
Breaches):
Ini terjadi ketika data diakses atau dicuri oleh individu yang tidak berwenang.
Pelanggaran data sering kali berkaitan dengan serangan yang disengaja dan
terorganisir;
b. Kebocoran Data (Data
Leaks):
Ini terjadi ketika data bocor karena kelalaian atau kesalahan manusia (human
error), seperti pengaturan keamanan yang kurang atau pegawai yang tidak
mematuhi protokol keamanan.
C. Apabila
terjadi Pelanggaran Data (Data Breaches) apa yang harus dilakukan:
a. Segera identifikasi sumber
dan metode pelanggaran;
b. Isolasi sistem yang terkena
dampak untuk mencegah penyebaran lebih lanjut;
c. Informasikan kepada semua
pihak yang terdampak dan otoritas pelindungan data sesuai dengan hukum yang
berlaku;
d. Lakukan investigasi menyeluruh
untuk memahami skala dan dampak pelanggaran.
D. Apabila yang terjadi
Kebocoran Data (Data Leaks) apa yang harus dilakukan:
a. Segera identifikasi data
yang bocor dan sumber kebocoran;
b. Perbarui atau perbaiki
protokol keamanan untuk mencegah kebocoran lebih lanjut;
c. Informasikan kepada pihak
yang terdampak dan, jika diperlukan, otoritas terkait;
d. Lakukan pelatihan ulang
untuk pegawai mengenai pentingnya keamanan data.
1.2
Membentuk
Tim Tanggap Insiden (Incident Response Team): Ketika insiden pelanggaran
dan kebocoran data terjadi, Langkah cepat dan efektif adalah kunci formulasi
mitigasi permasalahan. Membentuk Tim Tanggap Insiden yang terdiri dari berbagai
ahli dari berbagai bidang adalah langkah yang strategis. Tim ini setidaknya
terdiri dari:
1)
Customer
Care: Hal terpenting yang
harus dilakukan oleh customer care adalah untuk selalu paham dan mengetahui
insiden yang tengah terjadi serta perkembangan kasusnya karena mereka akan
menjadi garda terdepan untuk menjawab pertanyaan-pertanyaan dari pelanggan.
Tugas mereka antara lain:
a. Menyusun dan mengembangkan
draft untuk menjawab telepon, frequently asked questions (FAQ), dll;
b. Mencatat volume panggilan
dan pertanyaan atas kekhawatiran yang disampaikan oleh pelanggan;
c. Bertanggung jawab untuk
berkomunikasi dengan pelanggan, memberikan informasi tentang apa yang terjadi,
dan bagaimana mereka bisa melindungi diri mereka sendiri setelah insiden.
2)
Executive
Leader: Executive Leader
sebagai pembuat keputusan utama harus memiliki kepemimpinan dalam memberi
dukungan dan sumber daya yang dibutuhkan dalam mengembangkan perencanaan, dan
penanganan insiden. Executive Leader bertugas untuk:
a.
Memastikan
keputusan yang dibuat oleh tim dapat disetujui oleh manajemen eksekutif;
b.
Memiliki
jalur komunikasi yang baik dengan dewan direksi dan pemangku kepentingan
lainnya seperti investor, dll;
c.
Memiliki
otoritas untuk membuat keputusan cepat dan mengalokasikan sumber daya yang
diperlukan untuk menangani insiden.
3)
Human
Relations: Pelanggaran
dan Kebocoran data dapat juga mempengaruhi karyawan internal, untuk itu
institusi perlu menunjuk perwakilan karyawan yang bertugas:
a. Menangani komunikasi
internal dan memberikan dukungan kepada karyawan yang mungkin khawatir tentang
implikasi insiden;
b. Mengatur rapat internal
atau siaran web untuk karyawan untuk mengumpulkan informasi dari karyawan
mengenai dampak dari kebocoran.
4)
Incident
Lead: Biasanya yang
bertugas sebagai incident leader adalah Chief Privacy Officer dari internal
atau departemen hukum eksternal yang akan memimpin dalam penanganan insiden dan
bertugas untuk:
a. Menentukan kapan Tim
Tanggap Insiden akan diaktifkan secara penuh untuk menangani suatu insiden;
b. Mengelola dan
mengkoordinasikan aksi tanggap keseluruhan di Perusahaan;
c. Bertindak sebagai perantara
antara executive lead dan anggota tim lain untuk melaporkan kemajuan serta
permasalahan yang terjadi;
d. Bertindak sebagai
penghubung mitra eksternal;
e. Memastikam dokumentasi yang
tepat mengenai aksi cepat tanggap baik dalam hal proses maupun prosedur.
5)
Legal:
Terdiri dari pakar hukum,
privasi, dan kepatuhan internal yang dapat membantu tim untuk meminimalkan
resiko dan denda setelah terjadinya kebocoran data. Tim legal bertugas untuk:
a. Menentukan strategi dan
cara memberi tahu individu yan terpengaruh, media, penegak hukum, Lembaga
pemerintah, dan pihak ketiga lainnya;
b. Membangun hubungan dengan
hukumeksternal yang diperlukan. Memberi nasihat atau masukan sebelum terjadi
pelanggaran dan kebocoran data;
c. Memeriksa semua dokumen
atau materi tertulis yang terkait dengan insiden.
6)
Information
Technology (IT): Tim
IT dan Tim Keamanan IT akan memimpin dalam menghentikan kebocoran data, selain
itu juga bertugas untuk memimpin investigasi teknis, memperbaiki sistem yang
terkena dampak, dan memperkuat keamanan jaringan untuk mencegah insiden lebih
lanjut.
7)
Public
Relations (PR): Jika
pelanggaran dan kebocoran data perlu dilaporkan ke media atau harus
dipublikasikan dengan tujuan memberitahu individu yang terkena dampak,
perwakilan PR bertugas untuk:
a. Mengidentifikasi dan menyusun
notifikasi atau pemberitahuan terbaik, serta menyusun strategi manajemen krisis
sebelum insiden terjadi;
b. Melacak dan menganalisis
liputan media dengan cepat untuk setiap pemberitaan negative selama insiden
terjadi;
c. Membuat materi publikasi
untuk konsumen/pelanggan mengenai insiden yang terjadi (melalui website, media
statement, media sosial, dan lain-lain);
d. Mengelola komunikasi
eksternal untuk menjaga reputasi perusahaan, mengendalikan narasi publik, dan
menangani pertanyaan media.
2. Langkah Eksternal
2.1
Komunikasi:
Mengendalikan publikasi isu
secara efektif adalah penting. Bekerja sama dengan ahli komunikasi eksternal
dapat membantu dalam menavigasi reaksi publik dan mengatasi pertanyaan dari
media, publik, dan konsumen. Transparansi dan kejujuran adalah kunci dalam
menjaga kepercayaan pemangku kepentingan.
2.2
Menghubungi
Ahli Forensik Digital: Ahli
forensik digital dapat membantu dalam menelusuri penyebab kebocoran data,
merekomendasikan langkah-langkah untuk menghentikan kebocoran, dan mengamankan
sistem untuk mencegah insiden serupa di masa depan. Mereka juga dapat
menyediakan bukti teknis yang mungkin diperlukan dalam proses hukum.
2.3 Layanan Penyedia Resolusi Pelanggaran Data dan Kebocoran Data: Partner eksternal ini dapat menangani berbagai aspek dari tanggapan insiden, termasuk pemberitahuan kepada pihak yang terdampak, penyusunan dokumen yang diperlukan, dan pengiriman email pemberitahuan. Mereka juga dapat memberikan nasihat mengenai produk pelindungan yang dapat membantu mencegah pencurian data di masa depan.
2.4
Pengacara:
Melibatkan penasihat hukum
yang berpengalaman adalah penting untuk meminimalkan risiko hukum, memastikan
kepatuhan dengan peraturan, dan mendokumentasikan semua langkah yang diambil
selama penanganan insiden. Pengacara juga dapat membantu dalam menghadapi
tuntutan hukum yang mungkin timbul.
2.5
Aparat
Penegak Hukum dan Lembaga Pemerintah di Bidang Keamanan Siber: Koordinasi dengan aparat
penegak hukum dan lembaga pemerintah tidak hanya menunjukkan komitmen terhadap
hukum dan transparansi, tetapi juga dapat membantu dalam investigasi dan
pengusutan pelaku pembocoran data. Lembaga ini juga dapat memberikan dukungan
teknis dan nasihat mengenai langkah-langkah keamanan yang lebih kuat.
3. Mengajukan Laporan Polisi dan Gugatan
Jika identitas pihak
yang bertanggung jawab atas pencurian data sudah diketahui atau dicurigai,
langkah selanjutnya adalah mengumpulkan bukti yang kuat dan mengajukan laporan
polisi dan gugatan. Laporan Polisi ini berupa tuntutan pidana untuk menghukum
pelaku, dan gugatan melalui gugatan perdata untuk meminta ganti rugi atas
kerugian yang diderita. Pastikan untuk mendokumentasikan semua rangkaian proses
yang ada, langkah penanganan, dan kerugian yang timbul untuk mendukung perkara
Anda di pengadilan.
4. Kompensasi Kerugian
Perusahaan dapat
mengajukan tuntutan kompensasi untuk mengembalikan kerugian finansial yang
dialami akibat pencurian data. Ini bisa mencakup:
4.1
Biaya
Investigasi: Biaya
untuk melakukan investigasi internal dan eksternal, termasuk biaya ahli
forensik digital;
4.2
Perbaikan
Sistem: Biaya untuk
memperbaiki dan memperkuat sistem keamanan setelah insiden;
4.3
Kerugian
Finansial Langsung: Kerugian
yang disebabkan oleh pencurian data, seperti hilangnya pendapatan, biaya
litigasi, dan denda regulasi.
5. Melaksanakan Kepatuhan dan Audit
Setelah insiden
diatasi, penting untuk memastikan bahwa semua praktik keamanan data sesuai
dengan standar nasional dan internasional. Ini meliputi:
5.1
Audit
Keamanan Data: Melakukan
audit keamanan data secara berkala untuk mengidentifikasi dan menutup celah
keamanan.
5.2
Kepatuhan
dengan Regulasi: Memastikan
kepatuhan dengan undang-undang pelindungan data yang berlaku, seperti Peraturan
Pelindungan Data Pribadi (PPDP) di Indonesia atau GDPR di Uni Eropa.
5.3
Pelatihan
Karyawan: Memberikan pelatihan
keamanan data secara berkala kepada karyawan untuk meningkatkan kesadaran dan
keterampilan dalam menjaga keamanan data.
Langkah-Langkah Hukum bagi Perorangan
1. Mengumpulkan Bukti yang Cukup dan Membuat Laporan Polisi
Kumpulkan semua bukti yang
ada terkait pencurian data kamu dan segera laporkan pencurian data ke polisi
dan, jika tersedia, ke lembaga terkait yang bisa membantumu dalam hal ini.
2. Blokir dan Ubah Informasi Akun
Blokir kartu kredit,
debit, dan akun bank yang terkena dampak. Ubah semua kata sandi yang terhubung
dengan akun online Anda untuk mencegah akses tidak sah lebih lanjut.
3. Mengajukan Gugatan
Anda dapat
mengajukan gugatan terhadap para pihak atau setiap yang dicurigai mengambil
data Anda dan turut serta bertanggung jawab hal tersebut kepada Anda. Pastikan
untuk mengumpulkan bukti sebanyak mungkin, termasuk laporan polisi dan catatan
komunikasi, korespondensi, konsolidasi, audiensi, dan data lainnya. Salah satu
hak subjek data pribadi dalam UU PDP adalah menggugat pengendali data pribadi
dan menerima ganti rugi atas pelanggaran pemrosesan data pribadi berdasarkan
ketentuan peraturan perundang-undangan.[5]
Mengatur hal serupa, berdasarkan Pasal 26 ayat (1) UU 19/2016 berbunyi:
“Kecuali ditentukan lain oleh peraturan perundang-undangan, penggunaan setiap informasi melalui media elektronik yang menyangkut data pribadi seseorang harus dilakukan atas persetujuan Orang yang bersangkutan. Maka, setiap orang yang dilanggar haknya tersebut dapat mengajukan gugatan atas kerugian yang ditimbulkan.”
Untuk mengajukan
gugatan atas penyalahgunaan data pribadi, maka pihak yang dirugikan dapat
mengajukan gugatan perbuatan melawan hukum dalam Pasal 1365 KUH Perdata.
4. Pemberitahuan kepada Penyedia Layanan
Beritahukan penyedia
layanan atau perusahaan yang menyimpan data Anda tentang pencurian tersebut.
Mereka mungkin memiliki prosedur untuk menangani insiden keamanan data.
5. Mengajukan Pelindungan Kredit
Penyelenggara
fintech yang menggunakan atau memproses data pribadi tanpa persetujuan
pemiliknya dapat dikenai sanksi administratif berdasarkan UU PDP dan POJK
10/2022. Anda dapat melaporkan kepada Otoritas Jasa Keuangan (“OJK”) jika tidak
ada persetujuan pemrosesan data pribadi atau penyelenggara fintech tidak
mematuhi prinsip-prinsip sebagaimana diatur di dalam Pasal 44 ayat (1) POJK
10/2022. Adapun sanksi administratif bagi penyelenggara fintech tersebut
dapat berupa peringatan tertulis yang dapat disertai dengan pemblokiran sistem
elektronik penyelenggara, pembatasan kegiatan usaha dan/atau pencabutan izin
yang akan dilakukan oleh OJK. (vide Pasal 41 ayat (1), (2), (4), (7),
(8) dan (9) POJK 10/2022) Sedangkan dalam UU PDP, Anda dapat melaporkan ke
lembaga penyelenggaraan pelindungan data pribadi yang akan ditetapkan oleh
presiden.[6]
Adapun sanksi administratif yang ditetapkan UU PDP adalah:[7]
a. peringatan tertulis;
b. penghentian sementara semua
kegiatan pemrosesan data pribadi;
c. penghapusan atau pemusnahan
data pribadi; dan/atau
d. denda administratif
dikenakan paling tinggi 2% dari pendapatan tahunan atau penerimaan tahunan
terhadap variabel pelanggaran.
6. Konsultasi dengan Pengacara
Pertimbangkan untuk
berkonsultasi dengan pengacara yang memiliki pengalaman dalam kasus privasi dan
keamanan data. Mereka dapat memberikan nasihat hukum yang lebih spesifik dan
membantu Anda dalam proses hukum. Anda juga dapat menghubungi Eka Kurnia
Chrislianto Law Office - Advocate & Legal Consultant di
089666226186 untuk informasi lebih lanjut.
Contoh Pencurian Data di Dunia Nyata
Insiden pencurian data yang banyak dibicarakan
menunjukkan dampak buruk dari pelanggaran data, termasuk kerugian finansial,
konsekuensi hukum, kerusakan reputasi, dan hilangnya kepercayaan pelanggan.
Berikut ini beberapa contoh nyata terkini:
Amerika Serikat
- Pelanggaran
Data Yahoo (2013-2014): Yahoo mengalami dua pelanggaran data besar yang
memengaruhi lebih dari 3 miliar akun pengguna, yang membahayakan nama, alamat
email, nomor telepon, dan kata sandi yang di-hash;
- Pelanggaran
Data Target (2013): Pelanggaran data Target membahayakan informasi pribadi dan
keuangan sekitar 110 juta pelanggan, termasuk informasi kartu kredit dan debit,
nama, alamat, dan nomor telepon;
- Pelanggaran
Data Marriott (2014-2018): Pelanggaran data Marriott mengekspos informasi
pribadi sekitar 500 juta tamu, termasuk nama, alamat, nomor paspor, dan
informasi kartu pembayaran;
- Pelanggaran
Data Equifax (2017): Pelanggaran data Equifax mengungkap informasi pribadi
sekitar 147 juta orang, termasuk nama, nomor Jaminan Sosial, tanggal lahir,
alamat, dan nomor SIM. Penyelesaiannya mencakup $425 juta yang didistribusikan
kepada orang-orang yang terdampak.
- Pelanggaran
Data Capital One (2019): Pelanggaran data Capital One mengekspos informasi
pribadi lebih dari 100 juta pelanggan, termasuk nama, alamat, skor kredit, dan
nomor jaminan sosial;
- Pelanggaran
Data Maximus: Maximus, kontraktor pemerintah AS, mengalami kebocoran data besar
yang mengungkapkan informasi sensitif warga negara. Pelanggaran ini disebabkan
oleh kerentanan dalam perangkat lunak transfer data MOVEit.
Jepang
- Pada
September 2022, Japan Post Holdings melaporkan kebocoran data yang
mengakibatkan akses tidak sah ke informasi pribadi sekitar 7 juta pelanggan.
Data yang bocor mencakup nama, alamat, dan nomor telepon;
- Tahun
2023 kasus phishing telah melampaui total tahunan sebelumnya, mendekati rekor
tahun 2015 sebesar 3,07 miliar yen (sekitar $21,4 juta);
- Pada
tahun 2020, Universitas Kyoto mengalami pelanggaran data yang mengakibatkan
bocornya data pribadi dari mahasiswa dan staf. Kasus ini melibatkan akses tidak
sah ke sistem universitas dan pencurian data sensitive;
- Rakuten
melaporkan kebocoran data pada tahun 2022 yang mempengaruhi akun pengguna dari
platform e-commerce mereka. Data yang bocor mencakup nama, alamat email, dan
rincian transaksi.
Australia
- Pada
September 2022, Optus, salah satu penyedia layanan telekomunikasi terbesar di
Australia, mengalami kebocoran data yang memengaruhi sekitar 10 juta pelanggan.
Data yang bocor termasuk nama, alamat, tanggal lahir, dan nomor identifikasi
seperti nomor SIM;
- Pada
Oktober 2022, Medibank, salah satu penyedia layanan kesehatan terbesar di
Australia, mengalami serangan ransomware yang menyebabkan kebocoran data
pribadi pasien. Serangan ini mencakup data medis dan informasi identitas
pribadi;
- Pada
Maret 2023, Australian Broadcasting Corporation (ABC) mengalami
pelanggaran data yang melibatkan akses tidak sah ke data internal dan informasi
pribadi karyawan. Kebocoran ini mengancam keamanan informasi internal ABC;
- Pada
Januari 2024, Kogan, salah satu platform e-commerce besar di Australia,
mengalami kebocoran data yang mengakibatkan informasi pribadi pelanggan,
termasuk nama, alamat email, dan data transaksi, terekspos.
Jerman
- Pada
Februari 2022, Deutsche Telekom melaporkan kebocoran data yang mengakibatkan
akses tidak sah ke data pelanggan. Data yang bocor mencakup informasi pribadi
seperti alamat dan nomor telepon, meskipun tidak ada indikasi bahwa data
keuangan atau pembayaran terpengaruh;
- Pada
September 2022, Universitas Berlin mengalami pelanggaran data yang menyebabkan
kebocoran informasi pribadi mahasiswa dan staf. Data yang bocor termasuk
identitas pribadi, alamat email, dan catatan akademis;
- Pada
Maret 2023, Klinik Universitas Heidelberg terkena serangan ransomware yang
menyebabkan akses tidak sah ke data medis pasien. Data yang terkompromi
mencakup informasi medis pribadi dan identitas pasien;
- Pada
Januari 2024, Universitas Teknik Munich mengalami pelanggaran data yang
melibatkan akses tidak sah ke informasi akademis dan pribadi mahasiswa dan
staf. Data yang bocor termasuk identitas pribadi dan catatan akademis.
China
- Pada
Januari 2022, Alibaba Cloud mengalami kebocoran data yang mengakibatkan
informasi pribadi pelanggan, termasuk data bisnis dan keuangan, terekspos.
Kebocoran ini menargetkan banyak perusahaan yang menggunakan layanan cloud
Alibaba;
- Pada
Juli 2022, Beijing Tech Firm, sebuah perusahaan teknologi besar di Beijing
mengalami serangan ransomware yang mengakibatkan kebocoran data pribadi
karyawan dan pelanggan. Data yang terkompromi termasuk identitas pribadi,
email, dan data kontak;
- Pada
Maret 2023, China Telecom mengalami pelanggaran data yang mengakibatkan
kebocoran informasi pribadi pelanggan, termasuk nama, alamat, dan nomor
telepon. Kebocoran ini mengakibatkan kekhawatiran tentang privasi data pengguna;
- Pada
Februari 2024, Universitas Tsinghua mengalami pelanggaran data yang melibatkan
akses tidak sah ke informasi pribadi mahasiswa dan staf. Data yang bocor
termasuk identitas pribadi, catatan akademis, dan data penelitian.
India
- Pada
Oktober 2022, Tata Power, salah satu perusahaan energi terbesar di India,
mengalami serangan ransomware yang menyebabkan kebocoran data pribadi
pelanggan. Data yang terkompromi termasuk informasi identitas dan rincian akun;
- Pada
Januari 2023, All India Institute of Medical Sciences (AIIMS) Delhi
mengalami serangan ransomware yang mengakibatkan kebocoran data medis pribadi
pasien, termasuk catatan kesehatan dan informasi identitas;
- Pada
Mei 2023, Bank Nasional India (Bank of India) mengalami serangan
phishing yang mengakibatkan akses tidak sah ke data pribadi nasabah, termasuk
informasi akun dan data keuangan. Serangan ini menyebabkan kekhawatiran tentang
keamanan transaksi perbankan;
- Pada
Februari 2024, Paytm, salah satu platform pembayaran digital terbesar di India,
mengalami kebocoran data yang memengaruhi informasi pribadi pengguna, termasuk
nomor telepon, email, dan data transaksi.
Indonesia
- Pada
September 2022, terjadi kebocoran data di BPJS Kesehatan, lembaga pemerintah
yang menangani asuransi kesehatan di Indonesia. Data yang bocor termasuk
informasi pribadi peserta seperti nama, alamat, dan nomor identitas;
- Pada
Maret 2023, beberapa klinik dan rumah sakit di Jakarta terkena serangan
ransomware yang menyebabkan kebocoran data medis pribadi pasien. Data yang
terkompromi termasuk riwayat kesehatan, informasi medis, dan identitas pasien;
- Pada
tanggal 8 Mei, layanan mobile banking dan ATM BSI (Bank Syariah Indonesia)
terganggu selama sepekan. Namun, pada tanggal 14 Mei 2023, fakta baru terungkap
bahwa gangguan layanan BSI sebenarnya disebabkan oleh serangan ransomware dari
sekelompok hacker. Ransomware adalah jenis perangkat lunak berbahaya yang
mengunci akses ke sistem komputer korban dengan mengenkripsi data untuk meminta
uang tebusan;
- Awal
Juli 2024, data milik Universitas Tanjungpura (Untan) Pontianak yang diduga
dibobol dan dijual secara online ramai di media sosial. Salah satu perusahaan
keamanan siber menyebutkan sebanyak 52.000 data yang mencakup ID, email, nama
pengguna, kata sandi, dan nomor telepon berhasil diretas.
Kasus-kasus ini hanyalah beberapa contoh pencurian
data yang melibatkan pelanggaran data yang meluas dan kerugian finansial.
Insiden ini jauh lebih sering terjadi pada tingkat pribadi atau mikro.
Faktanya, statistik pelanggaran data terkini menunjukkan bahwa pelanggaran data
atau serangan siber baru terjadi setiap 11 detik.
Dasar Hukum yang Melindungi Pelindungan Data
1. Undang-Undang Republik
Indonesia Nomor 7 Tahun 1992 tentang Perbankan sebagaimana telah diubah dengan
Undang-Undang Republik Indonesia Nomor 10 Tahun 1998 tentang Perubahan atas
Undang-Undang Nomor 7 Tahun 1992 tentang Perbankan dan sebagaimana terakhir telah
diubah dengan Undang-Undang Republik Indonesia Nomor 4 Tahun 2023 tentang
Pengembangan dan Penguatan Sektor Keuangan;
2. Undang-Undang Republik
Indonesia Nomor 8 Tahun 1997 tentang Dokumen Perusahaan;
3. Undang-Undang Republik
Indonesia Nomor 8 Tahun 1999 tentang Pelindungan Konsumen;
4. Undang-Undang Republik
Indonesia Nomor 36 Tahun 1999 tentang Telekomunikasi;
5. Undang-Undang Republik
Indonesia Nomor 30 Tahun 2000 tentang Rahasia Dagang;
6. Undang-Undang Republik
Indonesia Nomor 31 Tahun 2000 tentang Desain Industri;
7. Undang-Undang Republik
Indonesia Nomor 32 Tahun 2000 tentang Desain Tata Letak Sirkuit Terpadu;
8. Undang-Undang Republik
Indonesia Nomor 23 Tahun 1999 tentang Bank Indonesia sebagaimana sebagaimana telah diubah
dengan Undang-Undang Republik Indonesia Nomor 3 Tahun 2004 tentang Perubahan
atas Undang-Undang Nomor 7 Tahun 1992 tentang Perbankan dan Undang-Undang
Republik Indonesia Nomor 6 Tahun 2009 tentang Penetapan Peraturan Pemerintah Pengganti
Undang-Undang Nomor 2 Tahun 2008 tentang Perubahan Kedua Atas Undang Undang
Nomor 23 Tahun 1999 tentang Bank Indonesia menjadi Undang-Undang sebagaimana
terakhir telah diubah dengan Undang-Undang Republik Indonesia Nomor 4 Tahun
2023 tentang Pengembangan dan Penguatan Sektor Keuangan;
9. Undang-Undang Republik
Indonesia Nomor 39 Tahun 1999 tentang Hak Asasi Manusia;
10. Undang-Undang Republik
Indonesia Nomor 12 Tahun 2005 tentang Pengesahan International Covenant on
Civil and Political Rights (Kovenan Internasional Tentang Hak-Hak Sipil dan
Politik);
11. Undang-Undang Republik
Indonesia Nomor 23 Tahun 2006 tentang Administrasi Kependudukan sebagaimana
telah diubah dengan Undang-Undang Nomor 24 Tahun 2013 tentang Perubahan atas
Undang-Undang Nomor 23 Tahun 2006 tentang Administrasi Kependudukan;
12. Undang-Undang Republik
Indonesia Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik
sebagaimana terakhir telah diubah dengan Undang-Undang Nomor 1 Tahun 2024
tentang Perubahan Kedua atas Undang-Undang Nomor 11 Tahun 2008 tentang
Informasi dan Transaksi Elektronik;
13. Undang-Undang Republik
Indonesia Nomor 14 Tahun 2008 tentang Keterbukaan Informasi Publik;
14. Undang-Undang Republik
Indonesia Nomor 43 Tahun 2009 tentang Kearsipan;
15. Undang-Undang Republik
Indonesia Nomor 6 Tahun 2011 tentang Keimigrasian;
16. Undang-Undang Republik
Indonesia Nomor 17 Tahun 2011 tentang Intelijen Negara;
17. Undang-Undang Republik
Indonesia Nomor 21 Tahun 2011 tentang Otoritas Jasa Keuangan;
18. Undang-Undang Republik
Indonesia Nomor 24 Tahun 2011 tentang Badan Penyelenggara Jaminan Sosial;
19. Undang-Undang Republik
Indonesia Nomor 28 Tahun 2014 tentang Hak Cipta;
20. Undang-Undang Republik
Indonesia Nomor 30 Tahun 2014 tentang Administrasi Pemerintahan sebagaimana
sebagian telah diubah oleh Peraturan Pemerintah Pengganti Undang-Undang
Republik Indonesia Nomor 2 Tahun 2022 tentang Cipta Kerja sebagaimana terakhir
telah ditetapkan dengan Undang-Undang Republik Indonesia Nomor 6 Tahun 2023
tentang Penetapan Peraturan Pemerintah Pengganti Undang-Undang Nomor 2 Tahun
2022 tentang Cipta Kerja menjadi Undang-Undang;
21. Undang-Undang Republik
Indonesia Nomor 13 Tahun 2016 tentang Paten sebagaimana sebagian telah diubah
oleh Peraturan Pemerintah Pengganti Undang-Undang Republik Indonesia Nomor 2
Tahun 2022 tentang Cipta Kerja sebagaimana terakhir telah ditetapkan dengan Undang-Undang
Republik Indonesia Nomor 6 Tahun 2023 tentang Penetapan Peraturan Pemerintah
Pengganti Undang-Undang Nomor 2 Tahun 2022 tentang Cipta Kerja menjadi
Undang-Undang;
22. Undang-Undang Republik
Indonesia Nomor 20 Tahun 2016 tentang Merek dan Indikasi Geografis sebagaimana
sebagian telah diubah oleh Peraturan Pemerintah Pengganti Undang-Undang
Republik Indonesia Nomor 2 Tahun 2022 tentang Cipta Kerja sebagaimana terakhir
telah ditetapkan dengan Undang-Undang Republik Indonesia Nomor 6 Tahun 2023
tentang Penetapan Peraturan Pemerintah Pengganti Undang-Undang Nomor 2 Tahun
2022 tentang Cipta Kerja menjadi Undang-Undang;
23. Undang-Undang Republik
Indonesia Nomor 7 Tahun 2017 tentang Pemilihan Umum sebagaimana terakhir telah
diubah dengan Peraturan Pemerintah Pengganti Undang-Undang Republik Indonesia
Nomor 1 Tahun 2022 Perubahan atas Undang-Undang Nomor 7 Tahun 2017 tentang
Pemilihan Umum sebagaimana telah ditetapkan dengan Undang-Undang Republik
Indonesia Nomor 7 Tahun 2023 tentang Penetapan Peraturan Pemerintah Pengganti
Undang-Undang Nomor 1 Tahun 2022 tentang Perubahan atas Undang-Undang Nomor 7
Tahun 2017 tentang Pemilihan Umum menjadi Undang-Undang;
24. Undang-Undang Republik
Indonesia Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi;
25. Undang-Undang Republik
Indonesia Nomor 17 Tahun 2023 tentang Kesehatan;
26. Peraturan Pemerintah
Republik Indonesia Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan
Transaksi Elektronik;
27. Peraturan Presiden
Republik Indonesia Nomor 39 Tahun 2019 Satu Data Indonesia;
28. Peraturan Menteri
Komunikasi dan Informatika Republik Indonesia Nomor 20 Tahun 2016 tentang Pelindungan
Data Pribadi;
29. Peraturan Otoritas Jasa
Keuangan Republik Indonesia Nomor 22 Tahun 2023 tentang Pelindungan Konsumen
dan Masyarakat di Sektor Jasa Keuangan;
30. Peraturan Bank Indonesia
Nomor 3 Tahun 2023 tentang Pelindungan Konsumen Bank Indonesia;
31. Surat Edaran Otoritas Jasa
Keuangan Nomor 14/SEOJK.07/2014 tentang Kerahasiaan dan Keamanan Data dan/atau
Informasi Pribadi Konsumen.
Penegakan Hukum Pelindungan Data Pribadi
Undang-Undang Republik
Indonesia Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (“UU tentang PDP”)
merupakan regulasi yang diterapkan di Indonesia untuk melindungi hak asasi
manusia terkait data pribadi. UU ini bertujuan untuk memberikan jaminan
pelindungan diri pribadi atas hak warga negara dan menumbuhkan kesadaran
masyarakat akan pentingnya pelindungan data pribadi.
Jenis Data Pribadi yang Dilindungi
UU tentang PDP
mengklasifikasikan data pribadi menjadi 2 (dua) kategori utama:
a. Data Pribadi yang Bersifat
Umum: meliputi nama lengkap,
jenis kelamin, kewarganegaraan, agama, status perkawinan, dan/atau data lainnya
yang bila dikombinasikan dapat mengidentifikasi seseorang; (vide Pasal
4 ayat (3) UU tentang PDP)
b. Data Pribadi yang Bersifat
Spesifik:
mencakup data dan informasi kesehatan, data biometrik, data genetika, catatan
kejahatan, data anak, data keuangan pribadi dan/atau data lainnya sesuai dengan
ketentuan peraturan perundang-undangan. (vide Pasal 4 ayat (2) UU
tentang PDP)
Kewajiban Penyelenggara Sistem Elektronik
UU PDP mengatur kewajiban
bagi Pengendali Data Pribadi dan Prosesor Data Pribadi dalam pengelolaan data
pribadi. Mereka diwajibkan untuk melindungi data pribadi yang mereka proses dan
memastikan keamanan data dari kebocoran atau penyalahgunaan.
Siapa Pengendali Data
Pribadi?
Pengendali Data Pribadi
adalah setiap orang, badan publik, dan organisasi internasional yang bertindak
sendiri-sendiri atau bersama-sama dalam menentukan tujuan dan melakukan kendali
pemrosesan Data Pribadi. (vide Pasal 1 Angka 4 UU tentang PDP)
Prosesor Data Pribadi
Prosesor Data Pribadi
adalah setiap orang, badan publik, dan organisasi internasional yang bertindak
sendiri-sendiri atau bersama-sama dalam melakukan pemrosesan Data Pribadi atas
nama Pengendali Data Pribadi. (vide Pasal 1 Angka 5 UU tentang PDP)
Pengendali Data Pribadi
wajib memiliki dasar pemrosesan Data Pribadi. Dasar pemrosesan Data Pribadi
sebagaimana dimaksud meliputi:
a. persetujuan yang sah secara
eksplisit dari Subjek Data Pribadi untuk 1 (satu) atau beberapa tujuan tertentu
yang telah disampaikan oleh Pengendali Data Pribadi kepada Subjek Data Pribadi;
b. pemenuhan kewajiban
perjanjian dalam hal Subjek Data Pribadi merupakan salah satu pihak atau untuk
memenuhi permintaan Subjek Data Pribadi pada saat akan melakukan perjanjian;
c. pemenuhan kewajiban hukum
dari Pengendali Data Pribadi sesuai dengan ketentuan peraturan
perundang-undangan;
d. pemenuhan pelindungan
kepentingan vital Subjek Data Pribadi;
e. pelaksanaan tugas dalam
rangka kepentingan umum, pelayanan publik, atau pelaksanaan kewenangan
Pengendali Data Pribadi berdasarkan peraturan perundang-undangan; dan/atau
f. pemenuhan kepentingan yang
sah lainnya dengan memperhatikan tujuan, kebutuhan, dan keseimbangan
kepentingan Pengendali Data Pribadi dan hak Subjek Data Pribadi. (vide Pasal
20 ayat (2) UU tentang PDP)
Sanksi Administratif
UU tentang PDP menetapkan
beberapa sanksi administratif bagi Penyelenggara Sistem Elektronik yang
melakukan pelanggaran data dan kebocoran data, antara lain:
1) Peringatan tertulis;
2)
Penghentian sementara kegiatan pemrosesan data pribadi;
3)
Penghapusan atau pemusnahan data pribadi;
4)
Denda administratif. (vide Pasal 57 ayat (2) UU PDP)
Sanksi Pidana
Selain sanksi
administratif, UU PDP juga mengatur sanksi pidana bagi pelanggaran yang lebih
serius, antara lain:
1. Tindak Pidana dengan
sengaja dan melawan hukum memperoleh atau mengumpulkan Data Pribadi yang bukan
miliknya dengan maksud untuk menguntungkan diri sendiri atau orang lain yang
dapat mengakibatkan kerugian Subjek Data Pribadi dipidana dengan pidana penjara
paling lama 5 (lima) tahun dan/atau pidana denda paling banyak
Rp5.000.000.000,- (lima miliar rupiah). (vide Pasal 67 ayat (1) UU
tentang PDP);
2. Tindak Pidana dengan
sengaja dan melawan hukum mengungkapkan Data Pribadi yang bukan miliknya
dipidana dengan pidana penjara paling lama 4 (empat) tahun dan/atau pidana
denda paling banyak Rp4.000.000.000,- (empat miliar rupiah) (vide Pasal
67 ayat (2) UU tentang PDP);
3. Tindak Pidana dengan dengan
sengaja dan melawan hukum menggunakan Data Pribadi yang bukan miliknya dipidana
dengan pidana penjara paling lama 5 (lima) tahun dan/atau pidana denda paling
banyak Rp5.000.000.000,- (lima miliar rupiah) (vide Pasal 67 ayat
(3) UU tentang PDP);
4. Tindak Pidana membuat Data
Pribadi palsu atau memalsukan Data Pribadi dengan maksud untuk menguntungkan
diri sendiri atau orang lain yang dapat mengakibatkan kerugian bagi orang lain
dipidana dengan pidana penjara paling lama 6 (enam) tahun dan/atau pidana denda
paling banyak Rp6.000. 000.000,- (enam miliar rupiah) (vide Pasal
68 UU tentang PDP);
5. Selain dijatuhi pidana
sebagaimana dimaksud dalam Pasal 67 dan Pasal 68 juga dapat dijatuhi pidana
tambahan berupa perampasan keuntungan dan/atau harta kekayaan yang
diperoleh atau hasil dari tindak pidana dan pembayaran ganti kerugian (vide Pasal
69 UU tentang PDP);
Dalam hal tindak pidana
sebagaimana dimaksud dalam Pasal 67 dan Pasal 68 dilakukan oleh Korporasi,
pidana dapat dijatuhkan kepada pengurus, pemegang kendali, pemberi perintah,
pemilik manfaat, dan/ atau Korporasi. Pidana yang dapat djatuhkan terhadap Korporasi
hanya pidana denda. Kemudian untuk Pidana denda yang dijatuhkan kepada
Korporasi paling banyak 10 (sepuluh) kali dari maksimal pidana denda yang
diancamkan. Selain dijatuhi pidana denda sebagaimana dimaksud Korporasi dapat
dijatuhi pidana tambahan berupa:
a. perampasan keuntungan dan/
atau harta kekayaan yang diperoleh atau hasil dari tindak pidana;
b. pembekuan seluruh atau
sebagian usaha Korporasi;
c. pelarangan permanen
melakukan perbuatan tertentu;
d. penutupan seluruh atau
sebagian tempat usaha dan/ atau kegiatan Korporasi;
e. melaksanakan kewajiban yang
telah dilalaikan;
f. pembayaran ganti kerugian;
g. pencabutan izin; dan/atau
h. pembubaranKorporasi. (vide
Pasal 70 UU tentang PDP)
Dalam hal pengadilan
menjatuhkan putusan pidana denda, terpidana diberikan jangka waktu 1 (satu)
bulan sejak putusan telah memperoleh kekuatan hukum tetap untuk membayar denda
tersebut. Kemudian Dalam hal terdapat alasan kuat, jangka waktu sebagaimana dimaksud
dapat diperpanjang untuk waktu paling lama 1 (satu) bulan. Dalam hal terpidana
tidak membayar pidana denda dalam jangka waktu sebagaimana dimaksud maka harta
kekayaan atau pendapatan terpidana dapat disita dan dilelang oleh jaksa untuk
melunasi pidana denda yang tidak dibayar. (vide Pasal 71 ayat (1),
ayat (2), dan ayat (3) UU tentang PDP)
Dalam hal penyitaan dan
pelelangan harta kekayaan atau pendapatan sebagaimana dimaksud tidak cukup atau
tidak memungkinkan untuk dilaksanakan, pidana denda yang tidak dibayar diganti
dengan pidana penjara paling lama sebagaimana diancamkan untuk tindak pidana
yang bersangkutan. Lamanya pidana penjara sebagaimana dimaksud ditentukan oleh
hakim, dicantumkan dalam putusan pengadilan. (vide Pasal 71 ayat
(4) dan ayat (5) UU tentang PDP)
Kemudian dalam hal
penyitaan dan pelelangan harta kekayaan atau pendapatan sebagaimana dimaksud
dilakukan terhadap terpidana Korporasi dan tidak cukup untuk melunasi pidana
denda, Korporasi dikenakan pidana pengganti berupa pembekuan sebagian atau
seluruh kegiatan usaha Korporasi untuk jangka waktu paling lama 5 (lima) tahun.
(vide Pasal 72 ayat (1) UU tentang PDP) lamanya pembekuan
sebagian atau seluruh kegiatan usaha Korporasi sebagaimana dimaksud yang
ditentukan oleh hakim, dicantumkan dalam putusan pengadilan. (vide Pasal
72 ayat (1) UU tentang PDP)
Implikasi dan Tujuan UU tentang PDP
Dengan diberlakukannya UU tentang
PDP, diharapkan pelindungan data pribadi masyarakat dapat terjamin dan
dilindungi. Sanksi yang tegas diharapkan dapat memberikan efek jera bagi
pihak-pihak yang dengan sengaja melanggar ketentuan UU ini untuk keuntungan
pribadi, sehingga masyarakat dapat lebih merasa aman dalam penggunaan data
pribadi mereka.
Tantangan dan Hambatan dalam Penanganan Pencurian Data
Pada
bulan Oktober 2022, Indonesia mengesahkan Undang-Undang Nomor 27 Tahun 2022
tentang Pelindungan Data Pribadi (UU PDP), yang bertujuan untuk memperkuat
kerangka privasi dan keamanan data. Meskipun undang-undang ini merupakan
kemajuan signifikan, pelaksanaannya menghadapi berbagai tantangan. Analisis ini
menelaah tantangan tersebut, terutama dalam konteks pencurian data, dan
membahas peran Kebijakan Regulatory Sandbox dalam mengatasi masalah-masalah
ini.
Tantangan Teknis
A. Infrastruktur Keamanan Siber
Banyak
organisasi di Indonesia belum memiliki infrastruktur keamanan siber yang
canggih, membuat mereka rentan terhadap pelanggaran data. UU ini mengharuskan
langkah-langkah keamanan yang kuat, tetapi penerapannya bisa bermasalah tanpa
sumber daya teknis yang memadai.
B. Perubahan Teknologi yang Cepat
Kecepatan
inovasi teknologi seringkali melampaui kerangka regulasi, menciptakan celah
yang dapat dieksploitasi oleh penjahat siber. Pembaruan berkelanjutan terhadap
protokol dan sistem keamanan sangat penting tetapi sulit dipertahankan.
C. Praktik Manajemen Data
Praktik
manajemen data yang kurang memadai, seperti enkripsi data yang tidak memadai
dan kurangnya audit keamanan secara berkala, meningkatkan risiko pencurian
data. Banyak organisasi perlu mengembangkan dan menerapkan kerangka tata kelola
data yang komprehensif.
Tantangan Regulasi dan Hukum
a. Kemampuan Penegakan Hukum
Penegakan
UU PDP yang efektif membutuhkan badan regulasi yang memiliki sumber daya dan
pengetahuan yang memadai. Saat ini, ada kekhawatiran apakah badan-badan ini
memiliki kapabilitas yang diperlukan untuk memastikan kepatuhan dan menangani
pelanggaran dengan efektif.
b. Kerjasama Internasional
Pencurian
data seringkali melibatkan tindakan lintas negara. Indonesia menghadapi
tantangan dalam kerjasama internasional karena beragamnya kerangka hukum dan
tingkat komitmen terhadap pelindungan data di antara negara-negara.
c. Pelaporan dan Kepatuhan
Ketakutan
terhadap kerugian reputasi dan sanksi regulasi bisa menahan organisasi untuk
melaporkan pelanggaran data. Kurangnya transparansi ini menghambat kemampuan
untuk mengambil tindakan korektif dan meningkatkan langkah-langkah keamanan.
Faktor Manusia
a. Kesadaran dan Pendidikan
Ada
kurangnya kesadaran dan pendidikan mengenai pelindungan data di kalangan
karyawan dan masyarakat umum. Kesenjangan ini membuat individu lebih rentan
terhadap serangan rekayasa sosial (social engineering) dan phishing.
b. Ancaman dari Orang Dalam
Karyawan
yang memiliki akses ke informasi sensitif dapat menimbulkan risiko signifikan,
baik melalui kelalaian ataupun tindakan jahat. Ancaman dari orang dalam tetap
menjadi area kekhawatiran kritis untuk keamanan data.
c. Kesenjangan Keterampilan
Permintaan
akan profesional keamanan siber yang terampil melebihi pasokan di Indonesia,
membuat organisasi sulit untuk membangun tim keamanan yang kuat yang mampu
mengurangi risiko pencurian data.
Tantangan Ekonomi dan Sosial
a.
Biaya
Kepatuhan
Kepatuhan
terhadap UU PDP memerlukan investasi finansial yang signifikan, yang bisa
menjadi beban, terutama bagi UKM. Biaya yang terkait dengan penerapan
langkah-langkah keamanan dan menjalani audit berkala cukup besar.
b.
Kesenjangan
Digital
Perbedaan
dalam akses dan literasi digital antara daerah perkotaan dan pedesaan
mempersulit penerapan dan penegakan langkah-langkah pelindungan data secara
merata di seluruh negeri.
c.
Ekonomi
Kejahatan Siber
Sifat
menguntungkan dari kejahatan siber terus menarik individu dan kelompok
terorganisir. Risiko penangkapan yang rendah dan imbalan yang tinggi terus
memelihara ancaman pencurian data.
Kebijakan Regulatory Sandbox
Kebijakan
Regulatory Sandbox dapat memainkan peran penting dalam mengatasi
beberapa tantangan ini:
a.
Inovasi
dan Kepatuhan
Regulatory
sandbox
memungkinkan lingkungan yang terkontrol di mana teknologi dan praktik baru
dapat diuji. Pendekatan ini dapat membantu mengidentifikasi langkah-langkah
pelindungan data yang efektif dan memastikan bahwa inovasi mematuhi persyaratan
UU tentang PDP.
b.
Kolaborasi
dan Berbagi Pengetahuan
Regulatory
sandbox
mendorong kolaborasi antara regulator, industri, dan akademisi. Kolaborasi
semacam ini dapat menghasilkan pengembangan praktik terbaik dan pedoman yang
meningkatkan pelindungan data di berbagai sektor.
c.
Mitigasi
Risiko
Dengan
memungkinkan pengujian terkontrol, regulatory sandbox dapat membantu
mengidentifikasi potensi risiko dan kerentanan dalam teknologi baru sebelum
diterapkan secara luas, sehingga mengurangi kemungkinan pelanggaran data.
d.
Peningkatan
Kapasitas
Partisipasi
dalam inisiatif sandbox dapat membantu meningkatkan kapasitas badan regulasi
dan organisasi. Dengan berpartisipasi dalam lingkungan terkontrol ini, para
pemangku kepentingan dapat memperoleh wawasan dan keahlian dalam keamanan siber
dan pelindungan data.
Kesimpulan
Undang-Undang
Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi juga merupakan langkah
penting dalam melindungi hak asasi manusia terkait data pribadi di Indonesia.
Dengan adanya regulasi ini, diharapkan penegakan hukum terhadap pelanggaran
data pribadi dapat dilakukan dengan lebih efektif, memberikan jaminan kepada
masyarakat, dan meningkatkan kesadaran serta kepatuhan terhadap pelindungan
data pribadi. Implementasi Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan
Data Pribadi di Indonesia menghadapi tantangan yang cukup besar, termasuk
kekurangan teknis, hambatan regulasi dan hukum, faktor manusia, serta hambatan
ekonomi dan sosial. Kebijakan Regulatory Sandbox menghadirkan pendekatan yang
menjanjikan untuk mengatasi tantangan ini dengan mendorong inovasi, kolaborasi,
dan mitigasi risiko. Dengan memanfaatkan kerangka kebijakan regulatory sandbox,
Indonesia dapat meningkatkan strategi pelindungan data dan secara efektif
melawan pencurian data, memastikan lingkungan digital yang aman bagi warganya.
Info lebih lanjut Anda dapat mengirimkan ke kami persoalaan Hukum anda melalui: Link di sini. atau melalui surat eletronik kami secara langsung: lawyerpontianak@gmail.com atau langsung ke nomor kantor Hukum Eka Kurnia yang ada di sini. Terima Kasih.
[1] House Of Commons Standing Committee on Justice and Legal Affairs, Computer
Crime, Final Report (1983), p. 12 and Sieber, Legal Aspects of Computer-Related
Crime, (1998), p. 38.
[2] G. Urbas and K. R. Choo, Resource Materials on Technology-Enabled
Crime, Technical and Background Paper No. 28 (AIC, 2008), p. 5.
[3] S. W. Brenner, ‘Cybercrime metrics: Old wine, new bottles?’
(2004) 9 Virginia Journal of Law and Technology 1, p. 4.
[4] Morris, The Future of Netcrime, p. vi.
[5] vide Pasal 12 UU PDP.
[6] Lihat Pasal 58 ayat (1), (2) dan (3) UU PDP
[7] Pasal 57 ayat (1) dan (2) UU PDP
.png)
