Kamu Lahir Di Indonesia Aja Udah Salah
Selama ini saya sering mendapatkan pertanyaan, bagaimana cara mengamankan data pribadi kita di internet. Sebelum pertanyaan itu saya jawab, saya biasanya akan mengatakan, “Kamu lahir di Indonesia aja udah salah.” Sory, tapi itulah kenyataannya. Sekeras apa pun kamu berusaha menjaga data pribadi kamu, itu akan sia-sia karena pemerintah sebagai pengelola data warganya sering sembarangan dengan semua data tersebut.
Orang yang polos mungkin bakal heran, kenapa sih data pribadi nggak boleh dikelola sembarangan? Emang kita sespesial itu?
Pada dasarnya data pribadi adalah sekumpulan data yang berisi identitas seseorang. Ketika data ini dikelola sembarangan lalu bocor, orang yang menjadi korban kebocoran akan rentan menjadi korban kejahatan dunia maya ataupun dunia nyata. Contoh paling gampang ketika data e-KTP bocor, lalu dipakai penjahat untuk mengajukan kredit. Sementara uangnya dinikmati orang lain, korbanlah yang harus membayar tagihannya. Selain identitasnya bisa disalahgunakan, korban kebocoran data pribadi juga rentan menjadi korban doxxing (data pribadi diumbar di tempat umum), phising (penipuan), dan lain sebagainya.
Ini yang terjadi di Indonesia sekarang: untuk pencarian yang bersifat acak, hanya dibutuhkan waktu 2 detik untuk mendapatkan data pribadi seperti NIK dan KK seorang WNI. Untuk pencarian yang ditargetkan, hanya butuh 5 detik untuk mendapatkan data pribadi orang yang kita cari.
Jika kamu ingin membobol website milik pemerintah, cuma perlu waktu tak lebih dari 1 menit untuk serangan bersifat acak. Untuk serangan yang ditargetkan, tak sampai 1 hari waktu buat menemukan kerentanan di website milik pemerintah Indonesia.
Pernyataan saya barusan bukan omong kosong. Saya akan coba memberikan data yang bersumber dari laman zone-h.org, sebuah website yang digunakan para defacer (orang yang mengubah tampilan website milik pihak lain dengan cara mengganti atau menyisipkan sebuah file di server website tersebut) untuk mengarsipkan “karya” mereka setelah melakukan vandalisme terhadap berbagai website, termasuk website pemerintah Indonesia. FYI, Zone-H diciptakan pada tahun 2002 sebagai tempat untuk mengarsipkan kejahatan dunia maya.
Berdasarkan laman zone-h.org, dengan menggunakan kata kunci pencarian go.id, total sudah 32.940 website milik pemerintah Indonesia yang pernah menjadi korban vandalisme para defacer, lokal ataupun mereka yang di luar negeri. Jika kita menggunakan kata kunci polri.go.id, didapatkan 262 hasil, dengan yang menjadi korban kebanyakan subdomain dari domain polri.go.id, walau domain utama polri.go.id pun pernah menjadi korban vandalisme pada 2015—saat itu tampilan website mereka diganti dengan tagar #SaveKPK.
Sudah bukan menjadi rahasia lagi bahwa aset milik pemerintah Indonesia di internet adalah sekumpulan aset yang paling mudah untuk dibobol, bahkan sudah terjadi ribuan kali. Jadi sebenarnya kita tak perlu merasa aneh jika berita kebocoran data akan terjadi lagi di masa mendatang. Sebab, sejak awal pemerintah tak kompeten untuk menjaga dan mengelola data pribadi warga negaranya.
Belakangan juga ramai (lagi!) berita soal Kemendagri memberikan akses informasi kependudukan ke pihak swasta dan juga pinjol. Sebenarnya hal ini bukan sesuatu yang aneh, toh dilakukan juga oleh tiap negara. Tapi yang harus diperhatikan, si pemberi akses harus menjamin data itu digunakan sebaik-baiknya, dijaga keamanannya, hanya digunakan untuk keperluan yang berhubungan, dan hanya diberikan kepada pihak yang sudah memenuhi syarat. Syarat ini harus ada karena selama ini sering banget data penduduk digunakan tak semestinya, misalnya untuk mengintimidasi dan lain-lain.
Jika kamu punya teman atau kenalan seorang aparat pemerintahan, tak susah meminta mereka untuk mencari informasi tentang seseorang, baik itu informasi kependudukan, nomor telepon, atau gadget yang digunakan. Ingat kasus koboy Fortuner tempo hari? Dalam waktu singkat data pribadinya yang ditelusuri lewat nomor polisi beredar di media sosial. Apakah ini hal yang benar jika dilakukan? Tentu saja tidak. Tapi selama kamu lahir dan hidup di Indonesia, perbuatan seperti ini bukan sesuatu yang aneh. Akses-akses sensitif seperti ini sering diberikan tanpa ada standar operasional prosedur dan ketentuan jelas. Hasilnya, alat-alat pencarian data tersebut sering digunakan tak semestinya, yang umumnya untuk kepentingan pribadi.
Lalu ada berbagai kejadian kebocoran data yang sudah pernah terjadi, seperti yang dialami oleh Bukalapak, Tokopedia, Kreditplus, Cermati, dan perusahaan lainnya yang mengorbankan ratusan juta data pribadi pengguna mereka di Indonesia. Jika ini terjadi di Eropa, perusahaan akan diberikan denda miliaran hingga triliunan karena sudah ada regulasi agar mereka lebih berhati-hati menjaga dan mengelola data pribadi pengguna mereka. Karena negara ini malah punya UU ITE, bukannya regulasi untuk menindak pembocoran/kebocoran data pribadi, yang jelas ketika kejadian seperti itu terjadi, sebagai korban tidak ada yang bisa kamu lakukan selain berdiam diri, pasrah, dan memikirkan kenapa logo susu beruang sekarang anaknya sudah hilang dan diganti dengan gelas yang berisi susu beruang itu sendiri.
Makanya, manakala BUMN seperti Telkom melalui IndiHome dan Metranet secara terang-terangan mencuri data pribadi pengguna mereka berupa browsing history, mereka merasa biasa-biasa aja. Selain karena mereka memiliki kekuatan sebagai BUMN, praktik seperti ini memang sudah lumrah di Indonesia.
Bagaimana sikap antarwarga negara tentang privasi data pribadi? Sialnya, praktik mengintip data orang lain pun sering kali ingin dilakukan orang awam di Indonesia. Hampir setiap hari, baik di email ataupun DM Twitter, saya menerima pertanyaan dan permintaan aneh dari berbagai jenis manusia. Contohnya ada seorang istri yang ingin menyadap suaminya karena curiga si suami selingkuh. Juga banyak permintaan lainnya yang berhubungan dengan pengambilalihan secara paksa sebuah akun WhatsApp. Biasanya sekumpulan pertanyaan dan permintaan aneh seperti itu akan saya abaikan atau sesekali saya candai dengan jawaban menyesatkan.
Kalau sudah begitu, ketika kamu berusaha keras menjaga data pribadi kamu di internet, sementara hal-hal yang dijelaskan di atas masih saja dilakukan dan dibiarkan, semua upaya yang kamu lakukan nyaris sia-sia. Bayangkan, kamu berusaha keras tak memposting foto KTP atau identitas lainnya, tapi suatu hari ada buzzer yang kini sudah menjadi komisaris BUMN enak saja memposting informasi yang bersumber dari NIK kamu di Twitter. Nyesek nggak?
Tapi mungkin semua masalah di atas akan terselesaikan jika seorang Budiman Sudjatmiko menjadi menkominfo suatu hari nanti. Selain dia bisa mengoleksi lebih banyak kata-kata keren yang berhubungan dengan teknologi, di tangannya semua masalah itu akan diselesaikan hanya bermodal angan dan omongan.
-narsum : Teguh Aprianto -media : mojok.com