Soal Kebocoran Data NPWP, Begini Kata Pakar Forensik Digital UII Dr Yudi Prayudi

beritabernas.com – Baru-baru ini terungkap adanya kebocoran data Nomor Pokok Wajib Pajak (NPWP) melibatkan sekitar 6 juta data pribadi, termasuk data pejabat publik. Kebocoran ini menyasar data sensitif, menambah daftar panjang kasus serupa di Indonesia, yang mempertanyakan keamanan data warga negara.  

Meski demikian, Direktorat Jenderal Pajak (DJP) membantah adanya kebocoran data  NPWP terkait kasus yang ramai diperbincangkan baru-baru ini. Menurut keterangan resmi dari DJP, berdasarkan audit dan penelusuran log sistem selama 6 tahun terakhir, tidak ditemukan indikasi kebocoran data dari sistem informasi mereka. DJP menegaskan bahwa struktur data yang diduga bocor tidak terkait langsung dengan  pelaksanaan hak dan kewajiban perpajakan warga negara.  

Meski demikian, DJP tetap berkoordinasi dengan Kementerian Komunikasi dan Informatika (Kominfo), Badan Siber dan Sandi Negara (BSSN) serta Kepolisian Republik Indonesia untuk menyelidiki lebih lanjut dugaan kebocoran tersebut dan memastikan tindakan yang sesuai diambil. 

Menurut Dr Yudi Prayudi M.Kom, Kepala Pusat Studi Forensika Digital UII, bantahan DJP ini harus dipandang secara hati-hati. Sebab, pada saat yang sama, laporan di forum gelap (dark web) menunjukkan adanya penjualan data yang mengandung NIK, NPWP, alamat, nomor telepon dan email. Hal ini menyebabkan kekhawatiran besar di kalangan pakar keamanan siber, meskipun belum ada bukti kuat yang menunjukkan bahwa kebocoran tersebut berasal langsung dari sistem DJP. 

Dr Yudi Prayudi M.Kom. Foto: screenshoot zoom

“Klarifikasi lebih lanjut dari DJP dan hasil investigasi dari BSSN akan sangat krusial untuk memberikan kepastian mengenai sumber kebocoran ini dan apakah benar data NPWP bocor atau tidak,” kata Yudi Prayudi dalam rilis yang dikirim kepada beritabernas.com, Minggu 21 September 2024. 

Lalu, mengapa data penting warga negara terus menjadi sasaran atau mengalami kebocoran? Menurut Yudi Prayudi, data seperti NPWP memiliki nilai ekonomi tinggi di pasar gelap. Informasi ini dapat digunakan untuk keperluan komersial atau tindak kriminal, seperti penipuan, pencurian identitas atau bahkan pengajuan kredit palsu.

“Kebocoran data seperti NIK, nomor telepon, alamat dan NPWP memungkinkan pelaku kejahatan memanfaatkan informasi tersebut untuk berbagai keperluan ilegal. Sebagai data yang digunakan di berbagai sektor, NPWP menjadi salah satu target utama dalam serangan siber,” kata Yudi Prayudi. 

Tindakan korektif

Menurut Yudi Prayudi, dalam menghadapi kebocoran data seperti yang dialami Direktorat Jenderal Pajak (DJP) terkait Nomor Pokok Wajib Pajak (NPWP), beberapa tindakan korektif dapat dilakukan untuk memitigasi dampak dan mencegah insiden serupa di masa depan.

Pertama, containment dan isolasi. Langkah pertama yang harus segera diambil adalah mengisolasi sistem yang terkena serangan untuk mencegah penyebaran lebih lanjut. DJP perlu menutup akses ke sistem yang bocor dan membatasi kerusakan yang terjadi dengan memutuskan koneksi dari jaringan yang terkena imbas. 

Kedua, penilaian kerusakan (assessment). DJP harus melakukan analisis menyeluruh terhadap jenis data yang terkena dampak, sejauhmana data itu bocor dan siapa saja yang terdampak. Langkah ini penting untuk memahami dampak dari kebocoran data dan untuk merancang tindakan pemulihan yang sesuai. 

Ketiga, pemberitahuan dan komunikasi (notification). Berdasarkan UU Pelindungan Data Pribadi (UU PDP), DJP wajib memberitahu pihak-pihak yang datanya bocor dalam waktu 72 jam. Pemberitahuan ini harus jelas dan mencakup langkah-langkah yang dapat diambil oleh individu yang terdampak untuk melindungi diri mereka, seperti mengganti kata sandi atau mengawasi potensi penyalahgunaan data. 

BACA JUGA:

Keempat, investigasi dan remediasi (Investigation and Remediation). Setelah pemberitahuan, DJP perlu melakukan investigasi mendalam untuk mengidentifikasi akar penyebab kebocoran, baik dari sisi teknis maupun operasional. Hasil investigasi ini harus digunakan untuk menutup celah keamanan dan melakukan perbaikan sistem sehingga risiko serupa dapat dihindari di masa depan. Ini bisa termasuk memperbaiki kebijakan pengelolaan data, memperkuat kontrol akses, dan menambah lapisan keamanan seperti enkripsi data dan multifactor authentication. 

Kelima, evaluasi dan peningkatan protokol keamanan. Setelah kebocoran diatasi, DJP harus mengevaluasi respons mereka terhadap insiden tersebut dan melakukan perbaikan pada kebijakan dan prosedur keamanan data. Evaluasi ini dapat mencakup peningkatan pada audit berkala, penerapan pengujian penetrasi, serta pelatihan keamanan bagi staf yang bertugas. 

Dikatakan, bantahan dari DJP bahwa kebocoran data NPWP bukan berasal dari sistem mereka tidak otomatis membebaskan DJP dari tanggung jawab terkait perlindungan data pribadi.

Menurut Yudi Prayudi, ada beberapa alasan terkait hal itu. Pertama, tanggung jawab pengendali data. Berdasarkan UU Pelindungan Data Pribadi (UU PDP), DJP sebagai pengendali data bertanggung jawab atas keamanan dan kerahasiaan data yang mereka kelola.

“Bahkan jika kebocoran tidak berasal dari lingkungan sistem mereka, DJP tetap memiliki kewajiban untuk memastikan bahwa data yang ada dalam pengawasannya terlindungi dengan baik. Bantahan tersebut tidak sepenuhnya membebaskan mereka dari tanggung jawab hukum jika terdapat bukti kelalaian dalam aspek pengelolaan atau perlindungan data,” tegas Yudi Prayudi.

Kedua, kewajiban investigasi dan pelaporan. Menurut Yudi Prayudi, meskipun DJP menyatakan bahwa kebocoran bukan berasal dari sistem mereka, namun mereka tetap berkewajiban untuk melakukan investigasi menyeluruh dan melaporkan hasil investigasi kepada pihak yang berwenang, seperti Badan Siber dan Sandi Negara (BSSN) atau Kominfo, sesuai ketentuan UU PDP.

“Jika DJP tidak menjalankan investigasi secara menyeluruh atau menunda pelaporan, hal ini bisa menimbulkan sanksi tambahan,” kata Yudi Prayudi.

BACA JUGA BERITA LAINNYA:

Ketiga, akuntabilitas institusi publik. Sebagai institusi publik yang mengelola data sensitif seperti NPWP, DJP harus tetap bertanggung jawab untuk memastikan bahwa data yang mereka kelola tidak disalahgunakan, bahkan jika kebocoran terjadi di luar sistem mereka. Institusi seperti DJP perlu bekerja sama dengan pihak lain, termasuk vendor atau mitra yang mungkin memiliki akses ke data, untuk memastikan tidak ada kebocoran dari pihak ketiga.  

Keempat, persepsi publik dan tanggung jawab moral. Menurut Yudi, terlepas dari tanggung jawab hukum, DJP memiliki tanggung jawab moral kepada masyarakat sebagai pengelola data pribadi. Jika publik merasa bahwa DJP tidak mengambil langkah yang cukup untuk melindungi data mereka, bantahan semacam ini bisa dianggap sebagai upaya untuk menghindari tanggung jawab, yang dapat memperburuk kepercayaan publik terhadap institusi tersebut. 

“Jadi, meski bantahan DJP bahwa kebocoran tidak berasal dari sistem mereka bisa menjadi bagian dari klarifikasi, hal ini tidak bisa dijadikan alasan untuk sepenuhnya menghindari tanggung jawab. DJP tetap harus bertanggung jawab secara hukum dan moral untuk memastikan perlindungan data dan menindaklanjuti dugaan kebocoran tersebut sesuai peraturan yang berlaku,” kata Yudi Prayudi. (lip)

*Dampak Penerapan UU PDP Terhadap Pelindungan Data Pribadi*

Penerapan Undang-Undang Pelindungan Data Pribadi (UU PDP) membawa perubahan signifikan dalam hal pengelolaan data di Indonesia. UU ini memberikan perlindungan hukum yang kuat bagi pemilik data pribadi (subjek data) dan menetapkan tanggung jawab yang jelas bagi pengendali data. Setiap institusi yang mengelola data pribadi kini diwajibkan untuk: 

1. Menjamin keamanan dan kerahasiaan data pribadi yang diproses. 

2. Melakukan pelaporan kebocoran data dalam waktu 72 jam kepada pihak berwenang dan kepada subjek data. 

3. Mengimplementasikan langkah-langkah teknis untuk melindungi data dari akses yang tidak sah. 

Selain itu, UU PDP memberikan hak kepada subjek data untuk mengakses, memperbaiki, atau menghapus data pribadinya. Ini menempatkan kendali lebih besar di tangan masyarakat dan memberikan sanksi berat bagi pelanggaran. Setiap pengendali data yang terbukti lalai dalam melindungi data pribadi dapat dikenai sanksi administratif, seperti denda hingga 2% dari pendapatan tahunan, dan sanksi pidana berupa penjara hingga 6 tahun dan denda hingga Rp 6 miliar. 

Dengan adanya UU PDP, diharapkan pengelola data di seluruh Indonesia akan lebih serius dalam menerapkan standar keamanan siber yang ketat dan menjadikan perlindungan data sebagai prioritas utama. Jika aturan ini diterapkan dengan benar, Indonesia dapat meningkatkan kepercayaan publik terhadap keamanan data pribadi serta mengurangi risiko kebocoran di masa mendatang. 

Dalam kasus kebocoran data NPWP, Direktorat Jenderal Pajak (DJP) berperan sebagai pengendali data pribadi. DJP bertanggung jawab untuk melindungi data wajib pajak, memastikan keamanan data, dan segera mengambil langkah mitigasi jika terjadi kebocoran. DJP juga wajib melaporkan insiden ini kepada pihak yang berwenang serta memberikan informasi kepada wajib pajak yang terdampak. Selain itu, Wajib Pajak sebagai pemilik data pribadi, memiliki hak untuk meminta informasi, memperbaiki atau menghapus data mereka, serta menggugat DJP jika terbukti lalai sesuai UU Pelindungan Data Pribadi (UU PDP). 

Direktorat Jenderal Pajak (DJP) sebagai pengendali data dapat digugat oleh masyarakat yang datanya bocor berdasarkan UU Pelindungan Data Pribadi (UU PDP). Jika DJP terbukti lalai dalam melindungi data pribadi, masyarakat yang terdampak berhak untuk menggugat dan menuntut ganti rugi sesuai dengan Pasal 12 UU PDP. Pengendali data, dalam hal ini DJP, bertanggung jawab atas kerahasiaan, keamanan, dan perlindungan data pribadi yang mereka kelola, dan jika kewajiban ini dilanggar, masyarakat dapat menuntut sesuai hukum yang berlaku. 

Untuk memecahkan masalah kebocoran data seperti kasus NPWP, analisis berikut dapat dilakukan: 

1. Audit Sistem Keamanan: Memeriksa infrastruktur TI untuk menemukan celah keamanan yang mungkin dimanfaatkan pelaku. 

2. Forensik Digital: Menelusuri bagaimana dan dimana data bocor, termasuk pola akses tidak sah. 

3. Evaluasi Kebijakan Pengelolaan Data: Mengevaluasi kebijakan keamanan data, mulai dari akses hingga penyimpanan, untuk memastikan kepatuhan dengan UU Pelindungan Data Pribadi. 

4. Penilaian Risiko: Mengidentifikasi risiko tinggi pada data sensitif dan menetapkan  langkah mitigasi. 

5. Perbaikan Prosedur Manajemen Akses: Mengoptimalkan kontrol akses, otentikasi, dan enkripsi data. 

Pendekatan ini akan membantu dalam menemukan sumber masalah dan menerapkan 

solusi yang tepat. 

Yogyakarta, 21 September 2024 


There is no ads to display, Please add some

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *