Oleh : Dr Yudi Prayudi MKom *)
BARU-BARU INI, kebocoran data Nomor Pokok Wajib Pajak (NPWP) melibatkan sekitar 6 juta data pribadi, termasuk data pejabat publik. Kebocoran ini menyasar data sensitif, menambah daftar panjang kasus serupa di Indonesia, yang mempertanyakan keamanan data warga negara.
Namun ternyata. Direktorat Jenderal Pajak (DJP) membantah adanya kebocoran data NPWP terkait kasus yang ramai diperbincangkan baru-baru ini. Menurut keterangan resmi dari DJP, berdasarkan audit dan penelusuran log sistem selama enam tahun terakhir, tidak ditemukan indikasi kebocoran data dari sistem informasi mereka. DJP menegaskan bahwa struktur data yang diduga bocor tidak terkait langsung dengan pelaksanaan hak dan kewajiban perpajakan warga negara.
Meskipun demikian, DJP tetap berkoordinasi dengan Kementerian Komunikasi dan Informatika (Kominfo), Badan Siber dan Sandi Negara (BSSN), serta Kepolisian Republik Indonesia untuk menyelidiki lebih lanjut dugaan kebocoran tersebut dan memastikan tindakan yang sesuai diambil.
Bantahan DJP ini harus dipandang secara hati-hati. Pada saat yang sama, laporan di forum gelap (dark web) menunjukkan adanya penjualan data yang mengandung NIK, NPWP, alamat, nomor telepon, dan email. Hal ini menyebabkan kekhawatiran besar di kalangan pakar keamanan siber, meskipun belum ada bukti kuat yang menunjukkan bahwa kebocoran tersebut berasal langsung dari sistem DJP.
Klarifikasi lebih lanjut dari DJP dan hasil investigasi dari BSSN akan sangat krusial untuk memberikan kepastian mengenai sumber kebocoran ini dan apakah benar data NPWP bocor atau tidak.
Secara umum, kasus kebocoran data memperlihatkan beberapa akar masalah yang serius terkait pengelolaan dan perlindungan data di negara ini.
Akar Masalah
- Kelemahan Infrastruktur Keamanan Siber. Sebagian besar lembaga publik Indonesia masih bergantung pada sistem keamanan yang belum memadai untuk menghadapi ancaman siber yang terus berkembang. Infrastruktur teknologi yang ketinggalan zaman membuat sistem lebih rentan terhadap serangan, sementara anggaran yang terbatas membuat peningkatan keamanan tidak menjadi prioritas.
- Kurangnya Kepatuhan pada Standar Keamanan. Meskipun Undang-Undang Pelindungan Data Pribadi (UU PDP) telah disahkan, implementasinya masih jauh dari optimal. Banyak lembaga tidak mematuhi standar minimum keamanan data, seperti enkripsi, pengawasan ketat, atau pembaruan teknologi. Lemahnya praktik pengelolaan akses terhadap data pribadi juga sering kali menjadi celah utama kebocoran.
- Rendahnya Kesadaran Akan Keamanan Data. Kesadaran akan pentingnya keamanan data masih rendah, baik di tingkat pengelola data maupun masyarakat umum. Banyak institusi belum menjadikan keamanan siber sebagai prioritas utama dalam strategi digitalisasi mereka, padahal risiko pencurian data terus meningkat.
- Tingkat Akuntabilitas yang Rendah. Banyak kasus kebocoran data di Indonesia tidak diikuti oleh tindakan yang tegas atau sanksi yang signifikan. Kurangnya transparansi dan akuntabilitas dalam penanganan insiden membuat lembagalembaga cenderung tidak belajar dari kesalahan, yang akhirnya berujung pada kebocoran berulang. Bahkan setelah insiden besar, tidak selalu ada perbaikan yang dilakukan untuk memastikan keamanan di masa mendatang.
Mengapa Data Penting Warga Negara Terus Menjadi Sasaran?
Data seperti NPWP memiliki nilai ekonomi tinggi di pasar gelap. Informasi ini dapat digunakan untuk keperluan komersial atau tindak kriminal, seperti penipuan, pencurian identitas, atau bahkan pengajuan kredit palsu. Kebocoran data seperti NIK, nomor telepon, alamat, dan NPWP memungkinkan pelaku kejahatan memanfaatkan informasi tersebut untuk berbagai keperluan ilegal. Sebagai data yang digunakan di berbagai sektor, NPWP menjadi salah satu target utama dalam serangan siber.
Dampak Penerapan UU PDP Terhadap Pelindungan Data Pribadi
Penerapan Undang-Undang Pelindungan Data Pribadi (UU PDP) membawa perubahan signifikan dalam hal pengelolaan data di Indonesia. UU ini memberikan perlindungan hukum yang kuat bagi pemilik data pribadi (subjek data) dan menetapkan tanggung jawab yang jelas bagi pengendali data. Setiap institusi yang mengelola data pribadi kini diwajibkan untuk:
- Menjamin keamanan dan kerahasiaan data pribadi yang diproses.
- Melakukan pelaporan kebocoran data dalam waktu 72 jam kepada pihak berwenang dan kepada subjek data.
- Mengimplementasikan langkah-langkah teknis untuk melindungi data dari akses yang tidak sah.
Selain itu, UU PDP memberikan hak kepada subjek data untuk mengakses, memperbaiki, atau menghapus data pribadinya. Ini menempatkan kendali lebih besar di tangan masyarakat dan memberikan sanksi berat bagi pelanggaran. Setiap pengendali data yang terbukti lalai dalam melindungi data pribadi dapat dikenai sanksi administratif, seperti denda hingga 2% dari pendapatan tahunan, dan sanksi pidana berupa penjara hingga 6 tahun dan denda hingga Rp 6 miliar.
Dengan adanya UU PDP, diharapkan pengelola data di seluruh Indonesia akan lebih serius dalam menerapkan standar keamanan siber yang ketat dan menjadikan perlindungan data sebagai prioritas utama. Jika aturan ini diterapkan dengan benar, Indonesia dapat meningkatkan kepercayaan publik terhadap keamanan data pribadi serta mengurangi risiko kebocoran di masa mendatang.
Dalam kasus kebocoran data NPWP, Direktorat Jenderal Pajak (DJP) berperan sebagai pengendali data pribadi. DJP bertanggung jawab untuk melindungi data wajib pajak, memastikan keamanan data, dan segera mengambil langkah mitigasi jika terjadi kebocoran. DJP juga wajib melaporkan insiden ini kepada pihak yang berwenang serta memberikan informasi kepada wajib pajak yang terdampak. Selain itu, Wajib Pajak sebagai pemilik data pribadi, memiliki hak untuk meminta informasi, memperbaiki atau menghapus data mereka, serta menggugat DJP jika terbukti lalai sesuai UU Pelindungan Data Pribadi (UU PDP).
Direktorat Jenderal Pajak (DJP) sebagai pengendali data dapat digugat oleh masyarakat yang datanya bocor berdasarkan UU Pelindungan Data Pribadi (UU PDP). Jika DJP terbukti lalai dalam melindungi data pribadi, masyarakat yang terdampak berhak untuk menggugat dan menuntut ganti rugi sesuai dengan Pasal 12 UU PDP. Pengendali data, dalam hal ini DJP, bertanggung jawab atas kerahasiaan, keamanan, dan perlindungan data pribadi yang mereka kelola, dan jika kewajiban ini dilanggar, masyarakat dapat menuntut sesuai hukum yang berlaku.
Untuk memecahkan masalah kebocoran data seperti kasus NPWP, analisis berikut dapat dilakukan:
- Audit Sistem Keamanan: Memeriksa infrastruktur TI untuk menemukan celah keamanan yang mungkin dimanfaatkan pelaku.
- Forensik Digital: Menelusuri bagaimana dan dimana data bocor, termasuk pola akses tidak sah.
- Evaluasi Kebijakan Pengelolaan Data: Mengevaluasi kebijakan keamanan data, mulai dari akses hingga penyimpanan, untuk memastikan kepatuhan dengan UU Pelindungan Data Pribadi.
- Penilaian Risiko: Mengidentifikasi risiko tinggi pada data sensitif dan menetapkan langkah mitigasi.
- Perbaikan Prosedur Manajemen Akses: Mengoptimalkan kontrol akses, otentikasi, dan enkripsi data.
Pendekatan ini akan membantu dalam menemukan sumber masalah dan menerapkan
solusi yang tepat.
Dalam menghadapi kebocoran data seperti yang dialami Direktorat Jenderal Pajak (DJP) terkait Nomor Pokok Wajib Pajak (NPWP), beberapa tindakan korektif dapat dilakukan untuk memitigasi dampak dan mencegah insiden serupa di masa depan:
- Containment dan Isolasi: Langkah pertama yang harus segera diambil adalah mengisolasi sistem yang terkena serangan untuk mencegah penyebaran lebih lanjut. DJP perlu menutup akses ke sistem yang bocor dan membatasi kerusakan yang terjadi dengan memutuskan koneksi dari jaringan yang terkena imbas.
- Penilaian Kerusakan (Assessment): DJP harus melakukan analisis menyeluruh terhadap jenis data yang terkena dampak, sejauh mana data itu bocor, dan siapa saja yang terdampak. Langkah ini penting untuk memahami dampak dari kebocoran data dan untuk merancang tindakan pemulihan yang sesuai.
- Pemberitahuan dan Komunikasi (Notification): Berdasarkan UU Pelindungan Data Pribadi (UU PDP), DJP wajib memberitahu pihak-pihak yang datanya bocor dalam waktu 72 jam. Pemberitahuan ini harus jelas dan mencakup langkah-langkah yang dapat diambil oleh individu yang terdampak untuk melindungi diri mereka, seperti mengganti kata sandi atau mengawasi potensi penyalahgunaan data.
- Investigasi dan Remediasi (Investigation and Remediation): Setelah pemberitahuan, DJP perlu melakukan investigasi mendalam untuk mengidentifikasi akar penyebab kebocoran, baik dari sisi teknis maupun operasional. Hasil investigasi ini harus digunakan untuk menutup celah keamanan dan melakukan perbaikan sistem sehingga risiko serupa dapat dihindari di masa depan. Ini bisa termasuk memperbaiki kebijakan pengelolaan data, memperkuat kontrol akses, dan menambah lapisan keamanan seperti enkripsi data dan multifactor authentication.
- Evaluasi dan Peningkatan Protokol Keamanan: Setelah kebocoran diatasi, DJP harus mengevaluasi respons mereka terhadap insiden tersebut dan melakukan perbaikan pada kebijakan dan prosedur keamanan data. Evaluasi ini dapat mencakup peningkatan pada audit berkala, penerapan pengujian penetrasi, serta pelatihan keamanan bagi staf yang bertugas.
Bantahan dari DJP bahwa kebocoran data NPWP bukan berasal dari sistem mereka tidak otomatis membebaskan DJP dari tanggung jawab terkait perlindungan data pribadi. Beberapa alasan terkait adalah sebagai berikut:
- Tanggung Jawab Pengendali Data. Berdasarkan UU Pelindungan Data Pribadi (UU PDP), DJP sebagai pengendali data bertanggung jawab atas keamanan dan kerahasiaan data yang mereka kelola. Bahkan jika kebocoran tidak berasal dari lingkungan sistem mereka, DJP tetap memiliki kewajiban untuk memastikan bahwa data yang ada dalam pengawasannya terlindungi dengan baik. Bantahan tersebut tidak sepenuhnya membebaskan mereka dari tanggung jawab hukum jika terdapat bukti kelalaian dalam aspek pengelolaan atau perlindungan data.
- Kewajiban Investigasi dan Pelaporan. Meskipun DJP menyatakan bahwa kebocoran bukan berasal dari sistem mereka, mereka tetap berkewajiban untuk melakukan investigasi menyeluruh dan melaporkan hasil investigasi kepada pihak yang berwenang, seperti Badan Siber dan Sandi Negara (BSSN) atau Kominfo, sesuai ketentuan UU PDP. Jika DJP tidak menjalankan investigasi secara menyeluruh atau menunda pelaporan, hal ini bisa menimbulkan sanksi tambahan.
- Akuntabilitas Institusi Publik. Sebagai institusi publik yang mengelola data sensitif seperti NPWP, DJP harus tetap bertanggung jawab untuk memastikan bahwa data yang mereka kelola tidak disalahgunakan, bahkan jika kebocoran terjadi di luar sistem mereka. Institusi seperti DJP perlu bekerja sama dengan pihak lain, termasuk vendor atau mitra yang mungkin memiliki akses ke data, untuk memastikan tidak ada kebocoran dari pihak ketiga.
- Persepsi Publik dan Tanggung Jawab Moral. Terlepas dari tanggung jawab hukum, DJP memiliki tanggung jawab moral kepada masyarakat sebagai pengelola data pribadi. Jika publik merasa bahwa DJP tidak mengambil langkah yang cukup untuk melindungi data mereka, bantahan semacam ini bisa dianggap sebagai upaya untuk menghindari tanggung jawab, yang dapat memperburuk kepercayaan publik terhadap institusi tersebut.
Meskipun bantahan DJP bahwa kebocoran tidak berasal dari sistem mereka bisa menjadi bagian dari klarifikasi, hal ini tidak bisa dijadikan alasan untuk sepenuhnya menghindari tanggung jawab. DJP tetap harus bertanggung jawab secara hukum dan moral untuk memastikan perlindungan data dan menindaklanjuti dugaan kebocoran tersebut sesuai peraturan yang berlaku. (*)
*) Kepala Pusat Studi Forensika Digital
Universitas Islam Indonesia