Kebocoran Data Nasabah BRI Life

Bukti Lemahnya Proteksi dan Regulasi

Penjelasan Kasus
Ass. Wr. Wb. Saya Muhammad hafizh salah satu anggota kelompok 5 ya
ng beranggotakan saya sendiri, achmad marchky dwi irawan, nouvaldha dimas
febryno dan refkian mahesa. Dan disini saya akan menjelaskan uas etika profes
i mengenai cybercrime. Kasus yang kami ambil ini berupa kasus tentang keboc
oran data milik suatu perusahaan.

Penjelasan singkat, kebocoran data (data leakage) adalah suatu kondisi d

imana data sensitif secara tidak sengaja terexspose atau terakses oleh pihak ya
ng tidak sah. Umumnya kebocoran data (data leakage) tidak memerlukan seran
gan cyber khusus karena data security yang buruk atau kelalaian pengguna sen
dirilah menjadi faktor utama. Ketika kebocoran data itu terjadi, peretas akan m
encuri data sensitif didalamnya seperti informasi pengguna, informasi perusah
aan, komunikasi internal, strategi perusahaan dan lain-lain. Adapun contoh kas
us yang terjadi pada tahun 2021 yaitu bocornya data nasabah BRI Life ke dunia
maya.

Kasus ini bermula dimana ada sebuah akun pengguna Twitter mengungg
ah sebuah ancaman untuk menjual data sensitif milik PT Asuransi BRI Life. Pere
tas di yakini telah mencuri data sebanyak 250 gigabyte dan dijual seharga 7.00
0 US dollar atau sekitar 101,5 juta rupiah di situs gelap. Angka yang sangat fant
astis dipereoleh peretas. Tak heran, kasus kebocoran data seperti ini seakan m
enjadi tren bahkan ditemukan hampir setiap bulannya. Ini menunjukkan bahw
a regulasi yang dimiliki suatu otoritas masih terbilang lemah.
 Bahkan, hampir tidak ada penindakan serius terhadap kasus pembobola
n data masyarakat seperti ini. Regulator maupun instansi yang bertanggung ja
wab tampak acuh tak acuh dan transparan terhadap beberapa kasus lalu. Ini ta
mpak bahwa seakan pihak yang terlibat meyakini kebocoran data seperti ini ad
alah suatu hal yang lumrah dan tidak perlu dikhawatirkan.

Akankah kita masih percaya terhadap bahwa data kita aman? Who know
s!
Untuk undang undang dan pasal terkait bisa dijelaskan oleh Achmad Marchky
Dwi Irawan

Aturan yang Terkait Kasus

Adapun hukum yang berkaitan dengan kasus ini adalah
Jika merujuk UU ITE dan perubahannya, dalam Pasal 26 ayat (1) UU 19/2016 m
engatur penggunaan setiap informasi melalui media elektronik yang menyangk
ut data pribadi seseorang harus dilakukan atas persetujuan orang yang bersang
kutan kecuali ditentukan lain oleh peraturan perundang-undangan.
Dalam pemanfaatan teknologi informasi, pelindungan data pribadi meru
pakan salah satu bagian dari hak pribadi (privacy rights) yang mengandung pen
gertian:[1]
1. Hak pribadi merupakan hak untuk menikmati kehidupan pribadi dan beb
as dari segala macam gangguan.
2. Hak pribadi merupakan hak untuk dapat berkomunikasi dengan orang lai
n tanpa tindakan memata-matai.
3. Hak pribadi merupakan hak untuk mengawasi akses informasi tentang k
ehidupan pribadi dan data seseorang.
Jika terjadi penggunaan data pribadi seseorang tanpa izin dari orang yang bers
angkutan, maka orang yang dilanggar haknya itu dapat mengajukan gugatan at
as kerugian yang ditimbulkan.
Sedangkan Pasal 1 angka 1 UU PDP menjelaskan data pribadi adalah dat
a tentang orang perseorangan yang teridentifikasi atau dapat diidentifikasi sec
ara tersendiri atau dikombinasi dengan informasi lainnya baik secara langsung
maupun tidak langsung melalui sistem elektronik atau nonelektronik.
Pelindungan data pribadi adalah keseluruhan upaya untuk melindungi da
ta pribadi dalam rangkaian pemrosesan data pribadi guna menjamin hak konsti
tusional subjek data pribadi. Demikian yang diatur dalam Pasal 1 angka 2 UU P
DP.
Adapun jerat hukum yang berkaitan dengan kasus ini adalah :
Apabila didasarkan pada UU ITE dan perubahannya, tindakan cracking dapat di
katakan termasuk perbuatan dalam Pasal 30 ayat (3) UU ITE, yang berbunyi:
Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum mengakses
Komputer dan/atau Sistem Elektronik dengan cara apapun dengan melanggar,
menerobos, melampaui, atau menjebol sistem pengamanan.
Atas perbuatannya, cracker dapat dijerat pidana penjara paling lama 8 tahun d
an/atau denda paling banyak Rp800 juta.[3]
Tak hanya itu, tindakan cracking yang memenuhi unsur yang dimaksud dalam P
asal 32 UU ITE, mengatur:
1. Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum denga
n cara apa pun mengubah, menambah, mengurangi, melakukan transmi
si, merusak, menghilangkan, memindahkan, menyembunyikan suatu Inf
ormasi Elektronik dan/atau Dokumen Elektronik milik Orang lain atau mil
ik publik.
2. Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum denga
n cara apa pun memindahkan atau mentransfer Informasi Elektronik dan
/atau Dokumen Elektronik kepada Sistem Elektronik Orang lain yang tida
k berhak.
3. Terhadap perbuatan sebagaimana dimaksud pada ayat (1) yang mengaki
batkan terbukanya suatu Informasi Elektronik dan/atau Dokumen Elektr
onik yang bersifat rahasia menjadi dapat diakses oleh publik dengan keu
tuhan data yang tidak sebagaimana mestinya.
Pelanggaran atas pasal tersebut dikenakan jerat hukum sebagaimana disebut d
alam Pasal 48 UU ITE sebagai berikut:
 1. Setiap Orang yang memenuhi unsur sebagaimana dimaksud dalam Pasal
32 ayat (1) dipidana dengan pidana penjara paling lama 8 (delapan) tahu
n dan/atau denda paling banyak Rp2.000.000.000,00 (dua miliar rupiah).
2. Setiap Orang yang memenuhi unsur sebagaimana dimaksud dalam Pasal
32 ayat (2) dipidana dengan pidana penjara paling lama 9 (sembilan) tah
un dan/atau denda paling banyak Rp3.000.000.000,00 (tiga miliar rupia
h).
3. Setiap Orang yang memenuhi unsur sebagaimana dimaksud dalam Pasal
32 ayat (3) dipidana dengan pidana penjara paling lama 10 (sepuluh) tah
un dan/atau denda paling banyak Rp5.000.000 (lima miliar rupiah).

Dan menurut Pasal 67 UU PDP adalah sebagai berikut:

1. Setiap Orang yang dengan sengaja dan melawan hukum memperoleh at
au mengumpulkan Data Pribadi yang bukan miliknya dengan maksud unt
uk menguntungkan diri sendiri atau orang lain yang dapat mengakibatka
n kerugian Subjek Data Pribadi sebagaimana dimaksud dalam Pasal 65 ay
at (1) dipidana dengan pidana penjara paling lama 5 (lima) tahun dan/at
au pidana denda paling banyak Rp5.000.000,00 (lima miliar rupiah).
2. Setiap Orang yang dengan sengaja dan melawan hukum mengungkapka
n Data Pribadi yang bukan miliknya sebagaimana dimaksud dalam Pasal
65 ayat (2) dipidana dengan pidana penjara paling lama 4 (empat) tahun
dan/atau pidana denda paling banyak Rp4.000.000.000,00 (empat miliar
rupiah).
3. Setiap Orang yang dengan sengaja dan melawan hukum menggunakan D
ata Pribadi yang bukan miliknya sebagaimana dimaksud dalam Pasal 65 a
yat (3) dipidana dengan pidana penjara paling lama 5 (lima) tahun dan/a
tau pidana denda paling banyak Rp5.000.000,00 (lima miliar rupiah).
Sehingga selain UU ITE dan perubahannya, tindakan cracking juga dapat dijerat
menggunakan UU PDP sepanjang memenuhi unsur perbuatan yang disebut dal
am pasal di atas.
Tanggapan

Dari dua juta nasabah BRI Life yang bocor ada juga 400 ribu dokumen perusahaan asuransi
tersebut bocor dan di jual di internet.Semuanya pun sudah terselesaikan, dan ada beberapa
hikmah atau pelajaran yang bisa kita pelajari dari kebocoran data pengguna BRI Life.

Langkah BRI Life dalam masalah ini dikatakan cepat dan patut dihargai.Hanya dalam
beberapa hari perusahaan berhasil mengidentifikasi sumber kebocoran data dan segera
melakukan mitigasi atas celah keamanan yang dieksploitasi.hal ini sangat penting mengingat
bisnis keuangan adalah bisnis kepercayaan dan data pengguna layanan keuangan sangat
sensitif.

Maka dari itu sebagai pengingat kepada stakeholder atau perusahaan yang berkaitan dengan
data hal yang harus lebih diperhatikan yaitu , sangat penting disiplin menjaga server database,
apalagi yang terekspose ke internet.

Jika memungkinkan, sebaiknya database jangan disimpan di server web dan akses dari web
ke server database dibatasi dan diawasi sedemikian rupa agar aman dari eksploitasi.

Khusus untuk server yang mengolah database kritikal disarankan untuk dienkripsi untuk
menghindari akses ekstorsi sehingga jika terjadi kebocoran data, maka data yang berhasil
dikopi tersebut juga tetap tidak bisa dibaca karena terenkripsi.

Semua akan berjalan dengan baik asalkan ingat untuk melindungi server enkripsi dengan
baik, karena kalau kunci dekripsi berhasil dikuasai peretas, maka semua perlindungan
enkripsi akan percuma. Karena data tersebut akan bisa di buka kembali.

Dan ada baiknya Perusahaan BRI mengembangkan kemanan menggunakan AI (artificial

intelligence) guna memahami pola pola fraud & threat yang terjadi, sehingga BRI dapat
memberikan tindakan preventif serta respons yang cepat dan tepat untuk menghadapi risiko-
risiko kejahatan siber seperti upaya pencurian data.
Dan tidak lupa Selain itu BRI juga harus melakukan edukasi kepada pekerja BRI dan kepada
nasabah mengenai pengamanan data nasabah serta cara melakukan transaksi yang aman.agar
tidak terjadinya kejahatan yang lain. Yang mana edukasi tersebut dapat dilakukan melalui
berbagai media antara lain melalui media sosial (Youtoube, Twitter, Instagram) dan media
cetak, serta edukasi ke pada nasabah saat nasabah datang ke unit kerja BRI.