Kasus dugaan kebocoran data dua juta nasabah PT Asuransi BRI Life menjadi perhatian serius terkait lemahnya regulasi dan proteksi keamanan data pribadi di Indonesia. Direktur ICT Institute, Heru Sutadi, menyatakan bahwa aturan yang ada saat ini belum mampu memberikan perlindungan maksimal karena tidak memiliki fungsi pemaksa yang efektif bagi pengelola data untuk menjaga keamanan data penggunanya.
Insiden ini pertama kali terungkap melalui unggahan di media sosial pada 27 Juli 2021, yang menyebutkan bahwa pelaku telah mencuri sekitar 250 gigabyte data nasabah dan menjualnya secara online dengan harga sekitar US$7.000 atau setara Rp 101,5 juta. Kebocoran ini menambah daftar panjang insiden serupa yang kerap terjadi dalam beberapa tahun terakhir.
Heru mengungkapkan bahwa tren kebocoran data di Indonesia cenderung meningkat dan hampir terjadi setiap bulan. Data dari Kementerian Komunikasi dan Informatika menunjukkan bahwa selama tiga tahun terakhir, sebanyak 29 lembaga mengalami pembobolan data. Contohnya, pada Mei 2021, data 279 peserta BPJS Kesehatan bocor dan dijual di forum daring dengan harga sekitar Rp 87,1 juta. Sebelumnya, data 91 juta pengguna Tokopedia, termasuk tujuh juta merchant, juga pernah bocor dan diperjualbelikan di situs gelap.
Menurut Heru, penindakan terhadap kasus kebocoran data masih sangat minim dan tidak memberikan keadilan bagi korban. Regulator pun dinilai kurang transparan dan cenderung mengabaikan kasus ini. Ia mencontohkan kejadian kebocoran data Facebook yang sempat diakui oleh pihak perusahaan, sementara otoritas Indonesia menyatakan tidak terjadi kebocoran di dalam negeri.
"Selama pemerintah tidak transparan dan belum memiliki aturan sanksi yang tegas, maka risiko kebocoran data akan terus ada di tengah berkembangnya ekosistem digital," ujar Heru, menegaskan potensi kejahatan siber yang mengancam masyarakat akibat peristiwa tersebut.
Tanggapan Pemerintah dan BRI Life
Menteri Komunikasi dan Informatika, Johnny Gerald Plate, menyebut bahwa kebocoran data kerap disebabkan oleh faktor internal dalam pengelolaan sistem elektronik. Ia menekankan pentingnya tata kelola teknologi, manajemen, dan sumber daya manusia yang baik untuk menjaga keamanan data.
Kementerian Kominfo telah memanggil Direksi BRI Life untuk meminta klarifikasi terkait insiden ini. Dari pertemuan tersebut, diduga terdapat celah keamanan yang dimanfaatkan oleh pihak tidak bertanggung jawab. Kominfo berjanji akan melakukan pendampingan kepada BRI Life serta berkoordinasi dengan Badan Siber dan Sandi Negara serta Polri untuk penanganan lebih lanjut.
Dari sisi BRI Life, Corporate Secretary Ade Ahmad Nasution menjelaskan bahwa hasil investigasi internal menunjukkan adanya intrusi ke sistem BRI Life Syariah, yang terpisah dari sistem utama BRI Life. Data yang bocor pun hanya berkisar 25 ribu pemegang polis syariah individu, jauh lebih kecil dari klaim awal pelaku. Data nasabah BRI Group lainnya dipastikan aman, dan tautan jual beli data di forum daring sudah tidak bisa diakses lagi.
Regulasi dan Upaya Perlindungan Data
Otoritas Jasa Keuangan (OJK) telah mengeluarkan Peraturan Nomor 4/POJK.05/2021 yang mengatur manajemen risiko penggunaan teknologi informasi bagi lembaga jasa keuangan non-bank, termasuk perusahaan asuransi. Peraturan ini mewajibkan penerapan pengawasan dari direksi dan komisaris, kebijakan, prosedur, serta rencana pemulihan bencana yang teruji. Selain itu, perusahaan dengan aset lebih dari Rp 1 triliun harus membentuk komite pengarah teknologi informasi.
Meski demikian, berbagai pihak mendesak percepatan pengesahan Rancangan Undang-Undang Perlindungan Data Pribadi (RUU PDP). Anggota Komisi I DPR RI, Sukamta, menekankan pentingnya lembaga pengawas data pribadi yang independen, memiliki otoritas untuk mengawasi, menyelidiki, dan menyelesaikan sengketa terkait data. Ia mengingatkan bahwa posisi lembaga ini sebaiknya berada langsung di bawah presiden, bukan kementerian, agar independensi dan efektivitasnya terjamin.
Perdebatan mengenai posisi lembaga pengawas dalam RUU PDP menjadi salah satu hambatan utama dalam pembahasan yang sampai saat ini belum mencapai kata sepakat. Pemerintah melalui Kementerian Kominfo mengusulkan lembaga tersebut berada di bawah kementerian, sedangkan DPR menginginkan lembaga independen di bawah presiden.
Kasus kebocoran data nasabah BRI Life menjadi pengingat pentingnya pembenahan regulasi dan tata kelola keamanan data di Indonesia untuk melindungi masyarakat di era digital yang semakin berkembang.
