Menu
Sign in
@ Contact
Search
Dr. dr. Bayu Prawira Hie MBA

Dr. dr. Bayu Prawira Hie MBA

Bjorka dan Data Rekening Bank Milik Pejabat

Selasa, 20 September 2022 | 13:55 WIB
MBA (redaksi@investor.id) ,Dr. dr. Bayu Prawira Hie (redaksi@investor.id)

JAKARTA, investor.id - Beberapa minggu belakangan ini kita dihebohkan oleh berita tentang Bjorka, yang cukup menjadi perhatian selain berita tentang pembunuhan Brigadir J. Tidak urung, sampai Presiden Jokowi membentuk tim khusus beranggotakan penanganan Bjorka beranggotakan BSSN, Kominfo, Polri, dan BIN, di bawah koordinasi Menko Polhukam. Bjorka menunjukkan bahwa ia dapat memperoleh data yang beberapa merupakan data institusi pemerintah dan beberapa merupakan data pribadi. Data-data tersebut ditampilkannya di akun Twitternya.

Uniknya Bjorka juga berinteraksi dengan netizen, dan menjawab beberapa tantangan netizen untuk mendapatkan data beberapa orang. Salah satu tantangan dari netizen yang belum dipenuhi adalah untuk mengungkap data rekening bank para pejabat.

Mengamati respons komunikasi Bjorka dengan para netizen, seharusnya Bjorka akan memenuhi permintaan tantangan tersebut, jika ia bisa. Menilik tindak tanduk Bjorka yang cenderung untuk mengejek perlindungan data di Indonesia, tentu akan menarik jika ia bisa menunjukkan kepada masyarakat rekening gemuk para pejabat koruptor. Namun kelihatannya ia tidak bisa menembus sistem informasi pada pelaku industri perbankan.

Kebocoran data bukan hal yang baru di Indonesia. Berbagai sektor pemerintahan dan pelaku industri telah mengalami kebocoran data. Misalkan sektor kesehatan, kita tentu pernah membaca berita tentang bocornya berbagai data, mulai dari data rumah sakit pemerintah, e-Hac, data vaksinasi, dan sebagainya. Bank Indonesia juga pernah diberitakan menjadi korban ransonware Conti di akhir Juni 2022. BSSN sendiri pun pernah diberitakan kebocoran data di bulan Februari 2022. Dari sektor pemain industri, kita pernah membaca berita bocornya data pelanggan PLN, dugaan bocornya data pelanggan IndiHome, dan bocornya data BPJS Kesehatan.

Apakah perlindungan sistem informasi pada pelaku industri perbankan lebih tangguh dibandingkan sektor lainnya?

Penyelenggaraan sistem keamanan informasi bank secara khusus telah diatur oleh OJK (Otoritas Jasa Keuangan) sejak tahun 2016 dalam POJK no. 38/POJK.03/2016 tentang Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum, yang kemudian diubah dalam POJK no. 13/POJK.03/2020, dan kemudian diganti dengan POJK yang terbaru yaitu POJK no. 11/POJK.03/2022 yang diterbitkan pada bulan Juli 2022 tentang Penyelenggaraan Teknologi Informasi oleh Bank Umum.

Tentunya suatu peraturan baru akan berfungsi bila ada pengawasan terhadap penerapan peraturan tersebut, yang dalam hal ini sudah dilaksanakan dengan cukup baik oleh OJK sebagai institusi otoritas keuangan yang mengatur operasional bank dan institusi keuangan lainnya, selain Bank Indonesia yang mengatur sistem pembayaran.

Boleh dibilang, pengawasan keamanan informasi pada pelaku industri perbankan jauh lebih ketat dibandingkan pada pelaku industri lainnya, termasuk pada industri keuangan non-perbankan. Mungkin hal inilah yang membuat pertahanan keamanan sistem informasi perbankan Indonesia belum dapat dijebol oleh hacker sekelas Bjorka.

Pada sektor lain, belum terlihat adanya peraturan yang mengikat para pelaku industri yang seketat peraturan OJK untuk Bank Umum. Payung Undang-Undang Perlindungan Data Konsumen (UU PDP) pun tak kunjung terbit. Oleh karenanya, kasus Bjorka ini hendaknya kita gunakan untuk mempercepat pembenahan keamanan sistem informasi di berbagai sektor. Regulator industri lainnya bisa belajar dari apa yang telah dilakukan oleh OJK terhadap Bank Umum walau belum adanya UU PDP.

Beberapa hal penting yang diperlukan yang membuat suatu peraturan sistem keamanan informasi bisa efektif adalah:

  1. Ada penanggung jawab utama. Penanggung-jawab inilah yang akan dimintai pertanggungjawaban akuntabilitas jika terjadi kasus kebobolan sistem informasi. Penanggung-jawab ini perlu di level pimpinan tertinggi yaitu Direksi dan Komisaris, untuk membuat hal ini mendapat perhatian level tertinggi pula dalam perusahaan. Kita telah melihat dalam berbagai kasus kebocoran data yang terjadi di Indonesia, tidak ada personel yang dimintai pertanggungjawaban. Permintaan maaf kepada publik atas kejadian tersebut juga belum pernah terdengar. Dalam GDPR (General Data Protection Regulation) Uni Eropa, Direksi bisa sampai dimintai pertanggungjawaban pribadi atas hal ini.

  2. Ada penanggung-jawab teknis. Direksi tentunya tidak dapat diharapkan untuk bisa mengerti dan punya waktu melaksanakan supervisi teknis dalam perlindungan sistem informasi, oleh karenanya diperlukan adanya seseorang yang melakukan supervisi teknis yang mempunyai kecakapan dan otoritas dalam menentukan arsitektur dan eksekusi perlindungan sistem informasi. Dalam GDPR Uni Eropa, perusahaan diwajibkan memiliki seseorang dengan posisi Data Protection Officer, yang memastikan semua aspek teknis GDPR, termasuk hak-hak pemilik data dalam perusahaan tersebut, dilaksanakan. Di Indonesia, sampai saat ini saya tidak pernah menemukan orang yang berfungsi sebagai Data Protection Officer, kebanyakan dianggap sebagai fungsi yang dirangkap oleh tim Teknologi Informasi. Dalam draft RUU PDP Pasal 53 hal ini diatur dan dinamakan Pejabat Perlindungan Data Pribadi.

  3. Adanya penalti yang signifikan bagi perusahaan yang lalai memenuhi kewajiban keamanan sistem informasi. Penalti ini penting agar perusahaan mengalokasikan sumber daya yang memadai agar melindungi diri dari risiko penalti tersebut. Tanpa adanya penalti, maka kedua hal di atas juga percuma. Pelanggaran terhadap GDPR Uni Eropa diancam dengan hukuman sampai dengan dua puluh juta Euro, atau setara dengan tiga ratus miliar rupiah. Di dalam draft RUU PDP Pasal 57 juga sudah dicantumkan adanya ancaman sanksi administratif bagi organisasi yang melanggar keamanan sistem informasinya yang dicantumkan dalam Pasal 39 RUU PDP.

  4. Adanya pemantauan (monitoring) dan pengawasan sebagai bagian dari upaya pencegahan. Ketiga hal di atas penting, namun untuk memperkecil risiko terutama pada lembaga yang memegang data yang sensitif, masih perlu upaya tambahan yaitu pemantauan dan pengawasan. Peraturan ini memang perlu diatur pada tingkat sektoral bukan level Undang Undang, seperti halnya POJK yang telah disebutkan di paragraf terdahulu. Aktifitas pemantauan ini mencakup antara lain evaluasi terhadap tatakelola, perencanaan, dan pelaksanaan Sistem Informasi, termasuk uji kehandalan yang dilakukan secara reguler. Selain mencakup ketiga prinsip di atas dalam peraturannya kepada bank, POJK no. 11/POJK.03/2022 Pasal 70 mencantumkan kewajiban setiap bank melakukan penilaian maturitas keamanan siber dan penilaian maturitas digital bank. Hal ini perlu dicontoh oleh regulator industri lain, antara lain oleh regulator sektor kesehatan yang konon sedang bertransformasi digital.

  5. Kesadaran, kemauan, dan kapabilitas dari pelaku industri. Pelaku industri hendaknya juga menyadari bahwa konsekuensi yang diterima oleh karena insiden keamanan sistem informasi bukan hanya datang dari negara atau otoritas, namun hukuman terkejam adalah dari pelanggan atau masyarakat, yaitu ditinggalkan oleh pelanggan atau masyarakat. Dalam GDPR juga dimungkinkan individu penderita kerugian karena pelanggaran GDPR untuk menuntut secara perdata dengan nilai yang tanpa batas. Oleh karenanya pemimpin di semua industri hendaknya sadar pentingnya hal ini, bukan hanya karena terpaksa oleh peraturan.

  6. Terakhir dan tidak kalah pentingnya, tentunya adanya kontrol dari masyarakat. Kesigapan aksi regulator dan aparat pemerintah dalam banyak hal berbanding lurus dengan suara masyarakat yang dalam era digital ini direpresentasikan oleh keriuhan netizen. Bersyukur cukup banyak netizen kita yang kritis dan cerdas, yang perlu kita lakukan adalah membuka ruang seluas-luasnya bagi netizen untuk menyampaikan informasi, berdiskusi, dan melakukan tekanan publik terhadap hal-hal yang tidak berjalan semestinya, termasuk dalam kesemerawutan perlindungan data publik.

Tentunya tulisan saya ini hanya berarti bila Bjorka belum bisa membuktikan bahwa ia bisa menunjukkan data rekening bank para pejabat seperti yang ditantang oleh netizen. Semoga.

Penulis,

Dr. dr. Bayu Prawira Hie, MBA

Konsultan Transformasi Digital Bank

Dosen Pascasarjana Institut Bisnis dan Komunikasi LSPR

Editor : Frans (ftagawai@gmail.com)

Baca berita lainnya di GOOGLE NEWS

BAGIKAN
×
×

Email

Password

Nama

Email

Password

Ulangi Password


×

Email

Password


×

Nama

Email

Password

Ulangi Password


×

Pencarian


×

INVESTOR.id


Alamat Redaksi :
BeritaSatu Plaza 11th Floor, Suite 1102 Jl. Jend. Gatot Subroto Kav. 35-36 | Jakarta 12950

Telpon:
+6221-29957555 | Fax: +6221-5200072

Email:
subscription.services@beritasatumedia.com