Masih ingatkah pembaca dengan serangan ransomware terhadap sistem komputer Bank Syariah Indonesia (BSI) pada bulan Mei lalu? Bukan hanya BSI saja, sejak 2020, serangan ransomware sudah banyak diperbincangkan dalam tech forum di berbagai Negara lantaran telah memakan banyak korban, mulai dari perorangan, korporasi besar hingga instansi pemerintah. Mark Parsons, Partner Firma Hukum Hogan Lovells Hongkong (2020) dalam sebuah diskusi bahkan pernah menyebut bahwa Kawasan Asia Pasifik (APAC) sudah menjadi target kunci serangan ransomware.
Cara kerjanya, begitu suatu sistem komputer terinfeksi ransomware, maka akan terjadi mati fungsi, diikuti dengan munculnya pesan yang meminta sejumlah bayaran tertentu untuk menghidupkan kembali sistem komputer tersebut. Dilansir Tempo, untuk kasus BSI, ransomware LockBit 3.0 menuntut uang tebusan sebesar AS$20 juta atau setara dengan sekitar Rp295 miliar. Jika enggan membayar tebusan, maka data yang dicuri akan dipublikasikan.
Diketahui dalam sebuah cuitan seorang konsultan keamanan siber, Teguh Apriyanto, data nasabah BSI ketika itu benar-benar sudah bocor dan terpublikasi secara masif di situs gelap/dark web. Atas peristiwa itu, Direktur Aptika Kemenkominfo, Samuel Abrijani dalam pemberitaan menyebutkan fungsi kominfo dalam hal ini adalah memberikan teguran, perbaikan dan rekomendasi. Namun untuk pengenaan sanksi sendiri, sebagaimana diatur dalam UU No. 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP) belum bisa diberlakukan, mengingat UU PDP baru berlaku penuh pada 2024 mendatang.
Ketentuan pelindungan data pribadi sebelum berlakunya UU PDP masih diatur secara sektoral, seperti dalam UU Perbankan, UU Perlindungan Konsumen, UU ITE, UU Telekomunikasi, UU HAM, UU Kesehatan, UU KIP dan UU Administrasi Kependudukan. Untuk sektor perbankan, dijelaskan Teguh Arifiyadi dalam sebuah pemaparan, pengaturannya bahkan lebih detail dan semua itu kemudian disatukan dalam UU PDP. Wajar saja, sektor keuangan diketahui memang mengumpulkan data pribadi paling lengkap. Mulai dari nama, alamat email, nama ibu kandung, jumlah anak bahkan sampai ke penghasilan per bulan. Saking banyaknya data yang bisa ditarik dari sektor keuangan, itulah mengapa dalam UU PDP dibatasi dengan dianutnya prinsip pengumpulan data secara relevan, spesifik dan terbatas.
