BANDA ACEH – Hacker Bjorka pada pekan ini mengklaim telah menguasai data milik sekitar 44 juta pengguna MyPertamina, aplikasi milik Pertamina. Data-data tersebut diyakini valid setelah diperiksa oleh sejumlah pakar keamanan siber.
Pakar keamanan siber dari Vaksincom, Alfons Tanujaya mengatakan kebocoran data MyPertamina itu sangat disayangkan karena Pertamina memiliki sumber daya besar untuk mengelola dan menjaga keamanan data publik yang dipercayakan pada perusahaan tersebut.
“Harusnya institusi sebesar Pertamina ketika mengelola data publik diharapkan sudah menerapkan enkripsi dan pengamanan data di server yang baik. Sehingga lebih sulit untuk diretas. Atau kalau berhasil diretas, datanya tetap aman karena sudah dienkripsi,” terang Alfons kepada Suara.com, Kamis (10/11/2022).
Adapun data-data yang dijual Bjorka itu antara lain berisi nama, nomor telepon, NIK, NPWP dan bahkan gaji pengguna MyPertamina.
“Apalagi ini berhubungan dengan data keuangan dan data pribadi penduduk Indonesia, yang mempercayakan pengelolaan datanya kepada Pertamina,” tukas dia.
Di sisi lain pakar keamanan siber dari CISSReC Pratama Persadha mengatakan perlu ditelusuri dari mana Bjorka memperoleh data-data MyPertamina tersebut.
“Karena aplikasi ini dibuat oleh Pertamina yang juga memiliki dan menyimpan data ini. Jalan terbaik harus dilakukan audit dan investigasi digital forensic untuk memastikan kebocoran data ini dari mana,” jelas Pratama kepada Suara.com.
Ditambahkan dia, perlu dicek juga sistem informasi dari aplikasi MyPertamina yang datanya dibocorkan Bjorka. Apabila ditemukan lubang keamanan, berarti kemungkinan besar memang terjadi peretasan dan pencurian data.
“Namun dengan pengecekan yang menyeluruh dan digital forensic, bila benar-benar tidak ditemukan celah keamanan dan jejak digital peretasan, ada kemungkinan kebocoran data ini terjadi karena insider atau data ini bocor oleh orang dalam,” paparnya.
Pratama lalu menyitir UU Pelindungan Data Pribadi (PDP), khususnya Pasal 46 UU PDP Ayat 1 dan 2 yang mengatakan bahwa saat terjadi kegagalan pelindungan data pribadi, maka pengendali data pribadi wajib menyampaikan pemberitahuan secara tertulis paling lambat 3×24 jam.
“Pemberitahuan itu disampaikan kepada subjek data pribadi dan Lembaga Pelaksana Pelindungan Data Pribadi (LPPDP). Pemberitahuan minimal harus memuat data pribadi yang terungkap, kapan dan bagaimana data pribadi terungkap, serta upaya penanganan dan pemulihan atas terungkapnya oleh pengendali data pribadi,” terangnya.
Sayang UU PDP yang disahkan pada 17 Oktober 2022 itu baru berlaku penuh dua tahun lagi.
