Dugaan kebocoran data pribadi mahasiswa kembali mencuat setelah beredar unggahan di media sosial yang menampilkan data sensitif milik mahasiswa dari sejumlah perguruan tinggi. Unggahan tersebut juga mengklaim data itu diperjualbelikan di dark web.

Pakar Sistem Keamanan Siber IPB University, Dr Heru Sukoco, menegaskan bahwa informasi yang berkembang di ruang publik saat ini masih berupa indikasi awal dan belum dapat dijadikan kesimpulan hukum yang menyatakan kesalahan pihak tertentu.

“Dugaan kebocoran ini perlu dicermati dari berbagai aspek dan pihak,” kata Heru, dosen Program Studi Ilmu Komputer, Sekolah Sains Data, Matematika, dan Informatika IPB University.

Dalam penjelasannya, Heru membedakan dua istilah yang kerap disamakan, yakni data breach (pelanggaran data) dan data leak (kebocoran data). Menurutnya, data breach adalah insiden ketika data pribadi rahasia dan sensitif jatuh ke tangan pihak tidak berwenang melalui cara yang aktif, agresif, dan disengaja. Sementara itu, data leak terjadi bukan karena serangan langsung seperti pada data breach.

Heru mengingatkan bahwa data mahasiswa termasuk data pribadi yang pengelolaannya diatur dalam Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP). Regulasi tersebut menekankan kewajiban pengendali data, termasuk perguruan tinggi, untuk menjaga keamanan dan kerahasiaan data serta mendorong langkah pencegahan risiko kebocoran.

“Data mahasiswa adalah data pribadi sensitif yang wajib dilindungi. Kebocorannya berpotensi menimbulkan penyalahgunaan identitas, kerugian hukum, dan menurunkan kepercayaan publik,” ujarnya.

Ia menilai tingkat keamanan sistem akademik di perguruan tinggi saat ini belum merata dan sangat bergantung pada tata kelola internal masing-masing institusi. Karena itu, ia mendorong penguatan kebijakan, peningkatan literasi keamanan siber, serta penerapan standar keamanan seperti NIST CSF 2.0 atau ISO/IEC 27001.

Dalam konteks nasional, Heru menekankan keamanan data mahasiswa merupakan tanggung jawab bersama antara perguruan tinggi dan pengelola Pangkalan Data Pendidikan Tinggi (PDDIKTI). Jika terjadi kebocoran, menurutnya, risiko tidak hanya menimpa mahasiswa, tetapi juga dosen, program studi, dan perguruan tinggi yang tercantum dalam data tersebut.

“Jika data tersebut bocor, tidak hanya mahasiswa tetapi seluruh objek di dalamnya yaitu dosen, program studi, dan perguruan tinggi berisiko mengalami penyalahgunaan identitas, penipuan digital, hingga kerugian sosial dan ekonomi,” katanya.

Heru juga mengingatkan adanya potensi sanksi administratif hingga konsekuensi hukum bagi perguruan tinggi dan PDDIKTI apabila dinilai lalai menjalankan kewajiban perlindungan data. Ia menilai masih banyak kampus yang berfokus pada layanan akademik tanpa diimbangi penguatan keamanan digital, audit sistem, dan peningkatan kesadaran keamanan siber.

Ia menegaskan UU PDP telah diundangkan sejak 17 Oktober 2022 dan berlaku penuh mulai 17 Oktober 2024. Menurutnya, jika dugaan kebocoran data mahasiswa benar terjadi, dampaknya tidak hanya bersifat teknis, tetapi juga sosial, hukum, dan reputasi.

Risiko yang disebutkan meliputi penyalahgunaan identitas untuk penipuan, pinjaman online ilegal, ancaman privasi dan keamanan personal, hingga serangan social engineering dan phishing. Di sisi lain, organisasi juga dapat menghadapi penurunan kepercayaan publik serta risiko hukum karena dianggap lalai melindungi data pribadi.

“Data yang bocor bersifat permanen dan sulit ditarik kembali. Rekam jejak digital akan ‘abadi’ di internet,” pungkasnya.