B: "Udah lah, beritanya ada dimana-mana. Gila ya, kok bisa ya server pemerintah kena hack, padahal sudah ngehabisin anggaran 700 miliar. Habis buat apaan aja itu duit."
A: "Yah bro, jangan fokus sama duit 700 miliarnya lah. Ini banyak data-data yang bocor dan dipegang orang lain. Kebayang kan kalo data-data itu dipakai untuk hal-hal yang merugikan."
B: "Memang ada data apaan aja sih yang bocor? Palingan data pribadi. Mau dipakai buat apaan itu data. Toh di Indonesia, data bocor udah sering. Liat aja kalau kita beli gorengan, bungkusnya aja dari kertas fotokopian kartu keluarga. Gak perlu hacker buat bocorin data pribadi bro. Palingan datanya dipakai buat daftar pinjol haha. Itupun belum tentu dipakai. Kalau akhirnya dipakai yaa apes aja, ribet ngehadapin debt collector."
Seberapa sering Anda mendengar percakapan membahas peristiwa peretasan PDNS dimana angka 700 miliar menjadi sorotan utama melebihi pentingnya data yang bocor? Secara psikologis, manusia memang lebih tertarik dengan angka, sesuatu yang bisa diukur. Kebocoran data tidak bisa diukur jumlah kerugiannya karena "kerugian" baru pada tahap potensi, belum benar-benar terjadi. Budaya masyarakat dalam menghadapi resiko masih cenderung reaktif, nanti saja dipikirkan kalau benar-benar terjadi.
Lain hal kalau peretasan yang lansung menimbulkan kerugian materiil. Anda mungkin ingat dengan kasus APK yang beredar melalui aplikasi WhatsApp. Banyak individu yang mengalami kerugian finansial karena terinfeksi malware dari file APK tersebut. Tapi informasi penipuan APK ini menyebar dengan cepat hingga membuat masyarakat mau belajar agar terhindar dari peretasan. Mereka lebih peduli karena uang sekarang lebih berharga dibanding uang nanti.
Peretasan PDNS tidak hanya menyebabkan kebocoran data, tetapi juga mengganggu sistem yang ada di PDNS. Gangguan ini mungkin tidak memberikan dampak finansial langsung bagi pemerintah, tetapi berpotensi memberikan kerugian. Misalnya, sistem imigrasi menjadi tidak berfungsi akibat peretasan PDNS. Akibatnya, proses imigrasi di bandara menjadi sangat lambat, memakan 1-2 jam waktu wisatawan yang datang ke Indonesia. Bayangkan jika proses imigrasi tidak ada gangguan, entah berapa banyak uang yang dibelanjakan oleh wisatawan kalau waktu 1-2 jam itu tidak terbuang, memberikan pendapatan bagi penjual dan negara melalui pajak. Meskipun ini mungkin terdengar berlebihan, belum tentu mereka memakai waktu tersebut untuk berbelanja. Tetapi bagaimana kalau mereka benar-benar berbelanja? Bukankah kita rugi?
Kebocoran Data Perusahaan
Peristiwa PDNS menunjukkan bahwa peretasan bisa terjadi pada siapa saja. Perusahaan pun tidak luput dari target peretasan. Tapi apakah semua perusahaan peduli?
Baru-baru ini, saya bertemu dengan seorang kawan yang memiliki perusahaan startup di bidang logistik. Saya bertanya apakah perusahaannya memiliki sistem keamanan siber untuk melindungi dari kejahatan siber. Jawabannya: “Gak punya. Lagipula apa yang mau dicuri sih. Palingan cuma data aktivitas logistik aja. Memang ada yang mau ngehack perusahaan yang masih newbie gini?” Jawaban seperti ini bukan hanya saya dapatkan dari satu-dua pemilik usaha. Padahal, setiap data perusahaan bisa berguna bagi pihak lain, terutama kompetitor atau pihak yang ingin masuk ke bidang usaha yang sama. Mungkin tidak merugikan secara finansial tapi menguntungkan kompetitor untuk "mengejar" ketinggalan dan menggerus omset kita. Ini membuktikan bahwa masih banyak yang tidak menghargai data dan potensi kerugian dari data yang bocor.
Inilah gambaran kesadaran masyarakat akan bahaya serangan siber. Kerugian masih diidentikkan dengan hilangnya uang sekarang. Apapun yang masih “potensial”, baru akan terjadi nantinya atau tidak menimbulkan kerugian finansial, tidak dianggap mendesak. Mindsetnya lebih ke “push my luck”, berharap tidak ada yang mau meretas dan baru dipikirkan jika akhirnya terjadi peretasan.
Undang-Undang Perlindungan Data Pribadi
Karena banyaknya perusahaan yang pasif dalam melindungi data, pemerintah menerbitkan Undang-Undang Perlindungan Data Pribadi (PDP). Perusahaan-perusahaan “dipaksa” untuk memperkuat perlindungan terhadap data pribadi yang mereka simpan. Di dalam UU PDP ini terdapat pasal ,jika terjadi kelalaian yang menyebabkan kebocoran data dan tidak diinformasikan kepada pemilik data dalam 3x24 jam, perusahaan tersebut akan dikenakan sanksi. Salah satunya sanksi administratif sebesar dua persen dari pendapatan tahunan. Sanksi UU PDP ini baru berlaku pada Oktober 2024 dan perusahaan-perusahaan memiliki cukup waktu untuk mengimplementasikan sistem keamanan siber. Dengan melindungi data pribadi, data lain milik perusahaan juga akan terlindungi.
Meskipun lebih ditujukan kepada perusahaan-perusahaan yang menyimpan data pribadi milik masyarakat, terbitnya UU PDP adalah langkah baik dari pemerintah untuk melindungi data dari serangan hacker. Namun, di sisi lain, ini menunjukkan betapa lambatnya kesadaran masyarakat dan perusahaan akan pentingnya perlindungan data hingga diperlukan UU PDP untuk “memaksa” perusahaan-perusahaan mengimplementasikan sistem keamanan siber. Semoga UU PDP ini menjadi awal dari kesadaran seluruh elemen masyarakat akan pentingnya melindungi data. Semoga perlindungan data akan menjadi budaya, bagian dari rutinitas manusia sehari-hari.