SANCAnews.id – Hacker Bjorka pada
pekan ini mengklaim telah menguasai data milik sekitar 44 juta pengguna
MyPertamina, aplikasi milik Pertamina. Data-data tersebut diyakini valid
setelah diperiksa oleh sejumlah pakar keamanan siber.
Pakar keamanan siber dari
Vaksincom, Alfons Tanujaya mengatakan kebocoran data MyPertamina itu sangat
disayangkan karena Pertamina memiliki sumber daya besar untuk mengelola dan
menjaga keamanan data publik yang dipercayakan pada perusahaan tersebut.
"Harusnya institusi sebesar
Pertamina ketika mengelola data publik diharapkan sudah menerapkan enkripsi dan
pengamanan data di server yang baik. Sehingga lebih sulit untuk diretas. Atau
kalau berhasil diretas, datanya tetap aman karena sudah dienkripsi,"
terang Alfons kepada Suara.com, Kamis (10/11/2022).
Adapun data-data yang dijual
Bjorka itu antara lain berisi nama, nomor telepon, NIK, NPWP dan bahkan gaji
pengguna MyPertamina.
"Apalagi ini berhubungan
dengan data keuangan dan data pribadi penduduk Indonesia, yang mempercayakan
pengelolaan datanya kepada Pertamina," tukas dia.
Di sisi lain pakar keamanan siber
dari CISSReC Pratama Persadha mengatakan perlu ditelusuri dari mana Bjorka
memperoleh data-data MyPertamina tersebut.
"Karena aplikasi ini dibuat
oleh Pertamina yang juga memiliki dan menyimpan data ini. Jalan terbaik harus
dilakukan audit dan investigasi digital forensic untuk memastikan kebocoran
data ini dari mana," jelas Pratama kepada Suara.com.
Ditambahkan dia, perlu dicek juga
sistem informasi dari aplikasi MyPertamina yang datanya dibocorkan Bjorka.
Apabila ditemukan lubang keamanan, berarti kemungkinan besar memang terjadi peretasan
dan pencurian data.
"Namun dengan pengecekan
yang menyeluruh dan digital forensic, bila benar-benar tidak ditemukan celah
keamanan dan jejak digital peretasan, ada kemungkinan kebocoran data ini
terjadi karena insider atau data ini bocor oleh orang dalam," paparnya.
Pratama lalu menyitir UU
Pelindungan Data Pribadi (PDP), khususnya Pasal 46 UU PDP Ayat 1 dan 2 yang
mengatakan bahwa saat terjadi kegagalan pelindungan data pribadi, maka
pengendali data pribadi wajib menyampaikan pemberitahuan secara tertulis paling
lambat 3x24 jam.
"Pemberitahuan itu
disampaikan kepada subjek data pribadi dan Lembaga Pelaksana Pelindungan Data
Pribadi (LPPDP). Pemberitahuan minimal harus memuat data pribadi yang
terungkap, kapan dan bagaimana data pribadi terungkap, serta upaya penanganan
dan pemulihan atas terungkapnya oleh pengendali data pribadi," terangnya.
Sayang UU PDP yang disahkan pada
17 Oktober 2022 itu baru berlaku penuh dua tahun lagi. (suara)