HOLOPIS.COM, JAKARTA – Dosen Megister Ilmu Hukum Pascasarjana Universitas Mathla’ul Anwar (Unma) Banten, Prof Suhardi Somomoeljono memberikan perspektif tentang kasus bobolnya keamanan Pusat Data Nasional Sementara Kementerian Komunikasi dan Informatika (PDNS Kominfo) pada hari Kamis, 20 Juni 2024 lalu.
Menurutnya, persoalan terjadinya serangan software malware berupa Ransomware Brain Cipher dari LockBit 3.0 tersebut menjadi tanggung jawab penuh penyedia layanan sistem Pusat Data Nasional, sebab ada pihak lembaga atau perorangan yang mengalami kerugian atas serangan kejahatan siber terhadap Pusat Data Nasional Sementara itu.
Hal ini disampaikan Prof Suhardi karena berkaitan dengan adanya UU Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP). Sehingga penyedia layanan sistem elektronik Pusat Data Nasional tersebut tidak bisa serta merta bebas dan abai dari persoalan setelah menyatakan data mereka tidak bisa diselamatkan karena terenkripsi oleh Ransomware akibat kejahatan siber.
“Sanksi berlaku bagi penyelenggara sistem elektronik (PSE), baik pemerintah (publik) maupun swasta (privat), perseorangan, serta korporasi,” kata Prof Suhardi dalam rilis tertulisnya yang diterima Holopis.com, Kamis (27/6).
Dijelaskan Prof Suhardi, ada 2 (dua) jenis sanksi yang bisa diterapkan ketika penyedia layanan data tersebut tidak memproses data pribadi sesuai tujuannya dan tidak mencegah akses data tidak sah seperti yang dilakukan oleh LockBit kepada Pusat Data Nasional ini.
“Sanksi hukum terdiri dari empat jenis, yaitu pertama, sanksi administratif dalam Pasal 57 UU PDP berupa peringatan tertulis; kedua, penghentian sementara kegiatan pemrosesan data pribadi; ketiga, penghapusan atau pemusnahan data pribadi; dan/atau keempat, denda administratif atau paling tinggi dua persen dari pendapatan tahunan atau penerimaan tahunan terhadap variabel pelanggaran,” jelasnya.
Kemudian, untuk jenis sanksi kedua adalah ganti rugi atas pelanggaran UU PDP tersebut. Di mana bagi orang perseorangan atau korporasi yang melakukan perbuatan terlarang. Di antaranya ; mengumpulkan data pribadi yang bukan miliknya untuk menguntungkan diri sendiri atau orang lain, mengungkapkan data pribadi yang bukan miliknya dan memalsukan data pribadi untuk keuntungan yang mengakibatkan kerugian bagi orang lain, maka dapat dikenakan dengan Pasal 67 sampai dengan 73 UU PDP.
“Adapun ketentuan pidana diatur dalam UU sebagai berikut ; pertama pidana denda maksimal Rp4 miliar hingga Rp6 miliar, dan kedua pidana penjara maksimal 4 tahun hingga 6 tahun,” papar pria yang juga dosen di Sekolah Tinggi Ilmu Hukum Adhyaksa Jakarta itu.
Lantas, selain sanksi yang sudah disebutkan di atas, di mana pada Pasal 69 mengatur pidana tambahan berupa perampasan keuntungan dan/atau harta kekayaan yang diperoleh atau hasil dari tindak pidana dan pembayaran ganti kerugian.
“Jika tindak pidana dilakukan oleh korporasi, menurut Pasal 70 UU PDP, dapat dikenakan hukuman denda sebesar 10 kali lipat dari yang pidana asli beserta penjatuhan pidana tambahan tertentu lainnya,” tuturnya.
Setelah menjelaskan tentang aspek jeratan hukum bagi tindakan pelanggaran UU PDP tersebut, Prof Suhardi pun mengatakan bahwa dalam perspektif hukum, ada aspek yang harus dilihat, yakni obyek hukum dan subyek hukum.
Dengan demikian, ia berharap agar obyek dan subyek hukum ini bisa dilakukan penindakan serius, termasuk menangkap pelaku kejahatan siber yang ada di balik serangan ransomware LockBit 3.0 itu. Termasuk jika itu terjadi akibat adanya peretasan dari pihak internal.
“Secara teoritik asumsinya secara hukum pidana, pihak korban dapat dilakukan penyelidikan siapa saja subjek hukumnya dan siapa pihak pelaku yang melakukan peretasan dan / atau memberikan peluang kesempatan sehingga memungkinkan pihak yang melakukan perbuatan peretasan baik langsung maupun tidak langsung menjalankan perbuatannya, sehingga menyebabkan jebolnya server sistem Pusat Data Nasional milik Negara,” paparnya.
Terakhir, aspek lain yang tidak kalah penting patut menjadi sorotan adalah lemahnya keamanan sistem yang ada di Pusat Data Nasional. Ia juga mengkhawatirkan jangan-jangan sistem mereka tidak diupgrade untuk semua aspek, khususnya dalam kaitan kerentanan keamanan sistem.
Sebab jika memang demikian adanya, jelas saja ada peluang terjadinya kelalaian yang dilakukan oleh penyelenggara sistem data dari PDNS Kominfo, sehingga menjadi korban serangan Ransomware tersebut.
“Dapat diduga kemungkinan telah terjadi kerentanan sistem adalah kelemahan perangkat lunak atau perangkat keras pada server atau klien yang dapat dieksploitasi oleh penyusup untuk mendapatkan akses atau mematikan jaringan keamanan,” tukasnya.