Perlindungan Data Pribadi Atas Praktik Social Engineering: Telaah Yuridis Perspektif Hak Asasi Manusia
Penulis: Alvin Daun
PENDAHULUAN
Laju Perkembangan yang semakin cepat dan masif menjadi katalisator bagi setiap individu untuk terus berinovasi dan menciptakan teknologi yang mampu merubah dunia.Perubahan industri yang besar telah menciptakan berbagai inovasi melalui penggunaan teknologi seperti internet. Transisi ini telah membawa manusia dari peradaban era Industry 4.0 berevolusi menuju era yang lebih baru, yakni era disrupsi yang secara kontinu melabeli manusia hidup dalam peradaban Society 5.0. Society 5.0 merupakan konsep teknologi masyarakat yang berpusat pada manusia dan berkolaborasi dengan teknologi untuk menyelesaikan masalah sosial yang terintegrasi pada ruang dunia maya dan nyata. Guna mengintegrasikan manusia dalam aspek ruang dunia maya dan nyata, hal ini disatukan dalam sistem yang disebut data.
Di era serba digital saat ini, data menjadi komoditas ekonomi baru mengikuti perkembangan teknologi informatika dalam lingkungan ekonomi digital. Pada tahun 2006, mengutip pernyataan Clive Humby, seorang pakar matematika dari Inggris, yang mengatakan bahwa “Data is the new oil”. Pernyataan serupa diungkapkan oleh Presiden Indonesia, Joko Widodo pada tahun 2020 yang menyatakan bahawa “Data ini adalah jenis kekayaan baru. Saat ini data adalah new oil, bahkan lebih berharga dari minyak”. Data secara umum, ataupun data pribadi secara spesifik diyakini memiliki nilai ekonomi yang tinggi. Data akan menjadi penentu semua aspek kehidupan sehingga siapa yang menguasai informasi maka dialah yang akan memenangkan kompetisi.
Kini, di tahun 2023, 17 tahun pasca prediksi Clive Humby, telah cukup menjawab hipotesanya yang menunjukkan sebesar apa data yang semakin terhimpun dalam satu kesatuan informasi baik dalam bentuk data terstruktur (structured data) maupun data tidak terstruktur (unstructured data) yang digunakan masyarakat luas dalam memperoleh informasi. Namun perlu digarisbawahi bahwa setiap teknologi memiliki dua sisi seperti koin, satu sisi dapat digunakan secara positif dengan cara yang baik, namun ada juga yang merusak.
Di era disrupsi yang serba cepat akan kemajuan teknologi dan informasi ini telah menimbulkan perubahan kebutuhan serta gaya hidup masyarakat yang semakin tergantung dengan teknologi.
Melimpahnya jenis data menjadi persoalan di kalangan masyarakat dengan meningkatnya aktivitas peretasan terhadap data tersebut. Salah satu buah kekhawatiran dari masifnya data ialah persoalan penyebaran informasi yang cepat ini menimbulkan kekhawatiran dan potensi ancaman bagi para pengguna, terutama jika data pribadi mereka dimanfaatkan secara tidak sah.
Perkembangan teknologi informasi dan komunikasi yang pesat telah menyebabkan penyusutan batas privasi, memudahkan penyebaran berbagai data pribadi.salah satunya ialah pengaksesan data pribadi yang diperuntukan untuk aktivitas ilegal melalui metode social engineering.
Social engineering adalah istilah yang digunakan untuk berbagai aktivitas berbahaya yang dilakukan melalui interaksi manusia. Social engineering menggunakan manipulasi psikologis untuk mengeksploitasi pengguna agar membuat kesalahan keamanan atau memberikan informasi sensitif. Beberapa bentuk aktivitas social engineering adalah Phising, Pretexting, Baiting, Quid Pro Quo, Tailgating, Dumpster Diving, Spear Phising. Dampak dari serangan social engineering adalah kehilangan data pribadi, kerusakan sistem keamanan dan kerugian finansial serta reputasi.
Perlindungan hukum yang komprehensif terhadap data pribadi menjadi suatu kebutuhan yang sangat penting bagi semua individu, mengingat ketergantungan yang semakin meningkat pada teknologi informasi. Negara, sebagai entitas pemangku kebijakan, diharapkan untuk memegang peran yang proaktif dan bertanggung jawab dalam mengawal serta menjamin perlindungan hak-hak dasar individu terkait dengan data pribadi mereka Sebagaimana yang telah diamanatkan dalam Pasal 28 G ayat (1).
Estafet perlindungan data pribadi kemudian menginisiasikan Pemerintah Indonesia untuk mengeluarkan Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (“UU PDP”) yang disahkan pada 20 September 2022. UU PDP diharapkan menjadi angin segar reformasi hukum yang dijadikan sebagai dasar hukum warga negara untuk mendapatkan perlindungan data pribadi dari segala bentuk penyalahgunaan dan Tindakan lain yang merugikan para pemilik data tersebut.
Oleh karena permasalahan tersebut, melatarbelakangi penulis memilih topik ini untuk dijadikan objek kajian esai ini, agar memberikan sumbangsih ilmu yang bermanfaat kepada para pembaca, atau setidak-tidaknya membuka katalis perspektif kebaharuan hukum guna menumbuhkan riset yang berkebelanjutan.
PEMBAHASAN
Social engineering adalah istilah yang merujuk pada beragam aktivitas berbahaya yang terjadi melalui interaksi manusia. Dalam praktiknya, social engineering menggunakan manipulasi psikologis untuk menyesatkan pengguna sehingga mereka melakukan kesalahan keamanan atau mengungkapkan informasi sensitif. Social engineering terjadi melalui serangkaian langkah. Awalnya, pelaku melakukan penyelidikan terhadap korban yang ditargetkan untuk mengumpulkan informasi latar belakang, seperti titik masuk potensial dan kelemahan protokol keamanan yang dapat digunakan dalam serangan. Setelah itu, penyerang berusaha membangun kepercayaan korban dan memberikan dorongan agar korban melakukan tindakan yang melanggar praktik keamanan, seperti mengungkapkan informasi sensitif atau memberikan akses ke data-data penting lainnya.
Dalam beberapa tahun terakhir, dunia global telah menyaksikan kehadiran insiden pelanggaran data dan privasi. Pada tahun 2018, Cambridge Analytics yang merupakan sebuah perusahaan konsultan asal Inggris mendapatkan akses ke lebih dari 87 juta data pengguna Facebook dan data teman-teman merka tanpa persetujuan pengguna. Pada tahun yang sama, The Washington Post melaporkan bahwa peretas mengambil alih kendali atas akun pengguna yang disusupinya, kemudian mengubah kredensial login mereka yang terdiri dari username dan password, dan menjualnya setiap akun pengguna dengan harga $3 di dark web.
Di Indonesia sendiri, serangan social engineering menargetkan pada instansi baik badan privat maupun badan publik. Serangkaian kasus serangan social engineering seperti adanya kebocoran data anggota POLRI sebanyak 28 ribu data yang disebarkan melalui platform media sosial Twitter (sekarang X). Data yang disebarkan memuat data pribadi anggota POLRI, terdiri dari nama, NRP (Nomor Registrasi Pokok), tempat dan tanggal lahir, pangka, satuan kerja, agama, golongan darah, hingga nomor telepon.
Pada Agustus 2022, terjadi juga kasus kebocoran data pemilik SIM yang dijual di market Brench Forums. Bjorka, anonim dari peretas yang mengungkapkan dirinya memiliki data sebanyak 1,3 miliar yang dimana data tersebut memuat Nomor Induk Kependudukan (NIK), nomor telepon, provider, hingga data registrasi yang dijual dengan harga $50.000. Alfons Tanujaya, Spesialis Keamanan Teknologi Vaksincom menyatakan bahwa dari hasil pengecekan secara acak 100% NIK dan sampel SIM Card ponsel yang disebarkan otentik.
Maraknya praktik social engineering atas pelanggaran data pribadi ini terjadi karena beberapa hal antara lain 1) meningkatnya serangan siber, 2) terjadinya human error, 3) outsourching data ke pihak ketiga, 4) adanya kesengajaan orang dalam, 5) gagalnya sistem dalam melindungi data, 6) rendahnya kesadaran masyarakat dalam menjaga data pribadi, dan 7) tidak terjalankannya regulasi yang berlaku. 19 Dalam praktiknya, terdapat beberapa lingkup serangan social engineering yang paling sering digunakan oleh para pelaku social engineering secara aktif di seluruh dunia, antara lain meliputi 1) scam e-mail, 2) reverse social engineering, 3) technical support scam, 4) romance scam, 5) non-deliver scam, 6) recruitment scam, 7) game hack scam, 8) phising, 9) vhising, 10) smishing, 11) whaling.
Penerapan perlindungan data pribadi di Indonesia menjadi urgensi diterbitkannya Undang-Undang Informasi dan Transaksi Elektronik, semua penyelenggara sistem elektronik harus menjaga keandalan sistem elektroniknya. Namun, faktanya masih banyak terjadi kegagalan dalam pengoperasian sistem elektronik di Indonesia, sehingga menyebabkan tingginya kebocoran data, terutama kebocoran data pribadi.
Kehadiran UU PDP yang telah disahkan pemerintah dan DPR pada 20 September 2022 menjadi tonggak sejarah yang baik bagi Indonesia dalam menjamin keamanan data pribadi warga negara Indonesia, baik yang bersifat elektronik maupun non-elektronik. Disahkannya UU PDP pada awalnya memberikan ‘ketenangan” atas hadirnya dasar hukum guna merespon praktik pelanggaran data pribadi seperti social engineering. UU PDP dalam pasalnya, yakni Pasal 58 sampai 60 UU PDP, pada benang merahnya menyatakan hadirnya Lembaga Perlindungan Data Pribadi yang posisinya berada dibawah Presiden.
Namun dapat disoroti bahwasanya peletakan lembaga atau badan otoritas perlindungan data pribadi akan lebih baik jika ditempatkan tidak berada dibawah langsung otoritas Presiden atau Kementerian dalam struktur kenegaraannya. Hal ini untuk menghindari kejadian sebelumnya dimana tergesernya lembaga independen Komisi Pemberantasan Korupsi dalam struktur ketatanegaraan melalui Putusan Mahkamah Konstitusi №36/PUU-XV/2017 yang berkonsekuensi KPK dalam menjalankan tugas dan fungsinya tereduksi dalam menangani kasus korupsi yang masif terjadi di Indonesia sebab posisinya yang berada dalam ruang eksekutif.
Sorotan lain dalam UU PDP adalah belum diaaturnya mengenai tentang kedudukan serta struktur dalam Lembaga/Badan Otoritas Perlindungan Data Pribadi, contohnya seperti lembaga-lembaga negara yang tercipta atas sebuah peraturan perundang- undangan di luar konstitusi yaitu UU KPK, UU HAM, UU ORI, Komnas Perempuan yang dibentuk melalui Kepres №181/1998.
Dengan dibentuknya lembaga tersebut, meskipun tidak secara langsung tergolong sebagai bagian dari konstitusi, namun kehadirannya memiliki tingkat kepentingan konstitusional yang signifikan (constitutional importance), sebagaimana yang diuraikan dalam Pasal 28G ayat (1) UUD NRI 1945. Tidak hanya itu, Lembaga Perlindungan Data Pribadi dianggap sebagai sebuah lembaga yang memegang kepentingan konstitusional, dan ini tercermin dalam pelaksanaan tugasnya yang bertujuan melindungi Hak Asasi Manusia (HAM). Melindungi HAM dianggap sebagai suatu aspek yang mendasar dan esensial dalam supremasi hak asasi manusia melalui kerangka konstitusi bagi negara hukum yang menghormati prinsip-prinsip HAM. Hal ini sebab negara sebagai pemangku kewajiban HAM memiliki kewajiban untuk memenuhi (obligation to fulfill), kewajiban untuk melindungi (obligation to protect), dan kewajiban untuk menghormati (obligation to respect).
KESIMPULAN
Social engineering yang marak di era digital mengekspos risiko tingginya kebocoran data pribadi, seperti terlihat dalam kasus-kasus serangan di Indonesia. Meskipun Undang-Undang Perlindungan Data Pribadi (UU PDP) menjadi langkah positif, perlu diperhatikan peletakan lembaga perlindungan data untuk memastikan independensinya. Sorotan terhadap ketidakjelasan struktur lembaga perlindungan data dalam UU PDP dan kebutuhan regulasi yang lebih jelas menunjukkan kompleksitas tantangan perlindungan data di Indonesia. Dalam konteks Hak Asasi Manusia, perlindungan data pribadi dianggap esensial, dan kehadiran lembaga perlindungan data dinilai memiliki kepentingan konstitusional. Perlu perhatian lebih lanjut terhadap regulasi dan peletakan lembaga agar UU PDP efektif dalam menjaga keamanan data pribadi warga negara.
— — — —
Dikelola oleh Departemen Jaringan dan Informasi FKPH LEM FH UII