Jakarta, Ditjen Aptika – Penyelenggara Sistem Elektronik (PSE) memiliki tanggung jawab akan pelindungan data pribadi ketika terjadi pelanggaran data (data breach), baik terhadap pengguna maupun regulator.
“Data Breach bisa terjadi kepada siapa saja, tidak terkecuali perusahaan-perusahaan besar di Indonesia bahkan dunia. Ketika itu terjadi, PSE memiliki tanggung jawab terhadap pengguna dan regulator,” papar Kasubdit Pengendalian Sistem Elektronik, Ekonomi Digital, dan Pelindungan Data Pribadi, Riki Arif Gunawan, saat Webinar FGD Aktualisasi Hak atas Keamanan dan Keselamatan dalam Bertransaksi melalui e-commerce, Rabu (10/06/2020).
Tanggung jawab pertama terhadap pengguna, Riki mengutip PP 71/2019 Pasal 14 ayat 5, “Jika terjadi kegagalan dalam pelindungan terhadap data pribadi yang dikelolanya, PSE wajib memberitahukan secara tertulis kepada pemilik data pribadi tersebut.”
Kemudian dijabarkan oleh Riki kewajiban dari PSE ketika terjadi data breach, meliputi wajib memberitahu pengguna akan terjadinya kebocoran data pribadi, potensi dampak kebocoran, dan apa yang harus dilakukan oleh pemilik data pribadi yang bocor.
“PSE juga wajib memberitahukan kanal aduan kebocoran data yang mudah diakses oleh pemilik data pribadi. Serta sesuai PP 71/2019 Pasal 31, PSE wajib memberikan ganti rugi kepada individu yang mengalami kerugian langsung akibat data kebocoran data,” lanjut Riki.
Selain itu, PSE juga wajib menjelaskan peristiwa kebocoran data pribadi serta langkah yang telah dan akan dilakukan untuk menutup kebocoran data kepada pengawas atau regulator. “PSE juga wajib menutup kebocoran data pribadi semaksimal mungkin yang diketahui,” ungkap Riki.
Sebelum terjadi data breach, sesuai PP 71/2019 tersebut (PP PSTE) PSE diharuskan memenuhi kewajiban regulasi yang disyaratkan, antara lain:
- Pasal 14 ayat 1: Penyelenggara Sistem Elektronik wajib melaksanakan prinsip pelindungan data pribadi dalam melakukan pemrosesan data pribadi;
- Pasal 26 ayat 1: Penyelenggara Sistem Elektronik wajib menjaga kerahasiaan, keutuhan, keautentikan, keteraksesan, ketersediaan, dan dapat ditelusurinya suatu informasi elektronik dan/atau dokumen elektronik sesuai;
- Pasal 31: Penyelenggara Sistem Elektronik wajib melindungi penggunanya dan masyarakat luas dari kerugian yang ditimbulkan oleh sistem elektronik yang diselenggarakannya.
Lihat Juga: Peraturan Pemerintah Penyelenggaraan Sistem dan Transaksi Elektronik (PSTE)
Sedangkan dari sisi regulator, pemerintah melakukan berbagai tindakan ketika terjadi pelanggaran data. Misalnya secara proaktif menindaklanjuti semua laporan dugaan kebocoran dan melakukan evaluasi terhadap laporan tersebut.
“Pemerintah juga akan memastikan PSE telah menutup celah kebocoran, serta menjaga hak pemilik data yang bocor agar tetap terlindungi. Selain itu pemerintah tentu akan melakukan evaluasi kepatuhan PSE terhadap regulasi, dan penjatuhan sanksi,” tutur Riki.
Menurut Riki, ada beberapa kejadian yang dapat mengakibatkan terjadinya pelanggaran data, seperti:
- Rendahnya awareness pimpinan organisasi tentang pentingnya pelindungan data pribadi;
- Ketidaktahuan pegawai (internal threat) karena tidak mendapat pelatihan yang cukup;
- Kesengajaan pegawai (internal threat) yang mencuri data untuk kebutuhan sendiri;
- Kapasitas attacker yang melebihi kemampuan sistem pengamanan data yang diterapkan.
“Data breach saya analogikan seperti kebakaran rumah, oleh karena itu perlu hati-hati dalam mengatasinya. Harus ditemukan mengapa hal tersebut bisa terjadi? Di mana sumber kebocoran? Kapan terjadinya? Siapa pelakunya? Bagaimana menutupnya? Jika pertanyaan-pertanyaan tersebut tidak dapat terjawab maka kita tidak akan menemukan cara menanggulanginya,” pungkas Riki.
Analisa Ancaman Transaksi E-Commerce
Dewasa ini banyak terjadi kejahatan terhadap akun-akun di platform e-commerce. Untuk menguasai akun orang lain, attacker menggunakan berbagai macam cara, seperti phising, social engineering, dan password guessing.
“Kejahatan yang sering dilakukan yaitu phising, dengan cara menjebak korban menggunakan halaman login palsu yang dibuat seakan-akan mirip dengan halaman login asli,” jelas Cyber Security Consultant, Teguh Aprianto, di acara yang sama.
Lalu social engineering, melalui pendekatan kepada korban dengan tujuan memanipulasi korban agar nantinya tanpa disadari mengikuti kemauan pelaku ataupun memberikan apa yang diminta oleh pelaku.
Sedangkan password guessing biasanya dilakukan secara manual atau menggunakan tools untuk menebak password. “Korban dari teknik password guessing biasanya mereka yang menggunakan password lemah,” jelas Teguh.
Teguh memberikan sejumlah tips agar terhindar dari kejahatan saat melakukan transaksi daring. Salah satunya two factor authentication atau verifikasi dua langkah, dengan menggunakan ponsel yang aktif atau aplikasi seperti Google Authenticator.
“Selain itu pastikan menggunakan password yang aman dan jangan pernah menyimpannya di tempat seperti notes atau dokumen dengan ektensi docx dan txt,” pungkasnya. (lry)