Tragedi Keamanan Siber dan Data Pribadi

DALAM tradisi Yunani klasik, tragedi merupakan perayaan teatrikal warga Athena yang menampilkan cerita-cerita para dewa dan penguasa dengan akhir yang tragis.

Aristoteles menyebut tragedi penting bagi masyarakat Athena sebagai katarsis - membangkitkan sensasi ngeri dan sedih, dan pada akhirnya, memberi pelajaran kehidupan bagi pemirsanya.

Para aktor lakon tragedi didominasi laki-laki dan, dalam bahasa Yunani, disebut sebagai hypocrites.

Peretasan dan pemerintah yang kelabakan

Rasa-rasanya, kesemua unsur dalam lakon tragedi Yunani kuno hadir di hadapan publik Indonesia secara banal belakangan ini. Tragedi itu bernama keamanan siber dan data pribadi kita yang hancur lebur dikoyak peretas-peretas (hacker) anonim.

Baca juga: Penyelesaian Sengketa dalam UU Perlindungan Data Pribadi

Hal itu diikuti rangkaian reaksi dari pemerintah Indonesia yang kelabakan, khususnya jajaran Kementerian Komunikasi dan Informasi (Kemenkominfo) dan Badan Siber dan Sandi Negara (BSSN). Selain saling lempar tanggung jawab, rentetan respons dan statemen yang ditampilkan sejumlah pejabat juga membuat publik semakin miris.

Pada minggu ini peretasan terhadap sejumlah jurnalis menjadi tema utama.

Bocornya data penduduk Indonesia sebenarnya bukan hal baru, mengingat tahun lalu Nomor Induk Kependudukan (NIK) Presiden Joko Widodo bocor di sejumlah forum internet.

Bagi masyarakat umum, peristiwa-peristiwa itu berkesinambungan dengan kontroversi terkait aturan Penyelenggara Sistem Elektronik (PSE) dan rencana penggunaan Domain Names System (DNS) nasional yang dianggap berpotensi membatasi kemerdekaan berekspresi dan demokrasi.

Kasus hacker yang menyebut dirinya Bjorka menjadi titik didih kemarahan publik terhadap pemangku kepentingan di bidang komunikasi, informasi, dan keamanan siber. Hingga pada akhirnya Presiden Joko Widodo menyentil jajaran Kemenkominfo dan BSSN. Setelah itu  pemerintah baru memutuskan untuk membentuk tim khusus buat memburu Bjorka.

Setelah itu, Rancangan Undang-Undang (RUU) Perlindungan Data Pribadi mendapat booster politik dan proses legislasinya selesai di DPR.

Namun, kasus peretasan terhadap jurnalis Narasi kembali membuat publik bertanya-tanya tentang keamanan siber di negeri ini. Bagaimana negara ini memperlakukan keamanan siber dan data pribadi? Pertanyaan yang lebih dalam, keamanan siber untuk siapa?

Bisa jadi momentum untuk berbenah

Bagi saya, terlepas dari segala kontroversinya, rentetan peristiwa itu sebenarnya merupakan kabar baik bagi keamanan siber di Indonesia. Untuk pertama kalinya, pemerintah dan masyarakat memberi perhatian sangat serius terhadap isu keamanan siber dan perlindungan data pribadi.

Meskipun, eskalasi ini harus menunggu para pejabat dan lembaga penting negara diserang dulu oleh Bjorka dan peretas-peretas lain. Selama ini, masyarakat yang lebih sering menjadi korban serangan siber dengan berbagai macam bentuk.

Kita bisa bertanya kepada mahasiswa-mahasiswi atau para aktivis lingkungan yang pernah menjadi korban peretasan Whatsapp dan data pribadinya lalu diumbar di internet. Kita juga bisa bertanya kepada para bapak-bapak dan ibu-ibu yang tertekan akibat teror penagih pinjaman online karena data pribadinya bocor.

Baca juga: Tafsir UU Perlindungan Data Pribadi yang Perlu Diketahui

Demikian juga dengan para jurnalis, tidak hanya dalam kasus jurnalis Narasi, tetapi di daerah-daerah, doxing dan peretasan WhatsApp serta surat elektronik menjadi fenomena rutin, sebagaimana disebut SAFENet.

Selama ini para korban serangan siber hanya pasrah data pribadinya diumbar atau dipakai oleh para buzzer dan tukang tagih pinjaman online. Selain tak ada payung hukum yang kuat mengingat lamanya proses legislasi RUU Perlindungan Data Pribadi selama ini, upaya atribusi terhadap pelaku kejahatan dan penyerangan siber juga sulit dilakukan.

Kini, yang selama ini dialami para korban serangan siber dialami pula oleh pemerintah. Mulai dari kebingungan hingga kesulitan mengidentifikasi siapa sebenarnya Bjorka, atau siapa peretas para jurnalis. Lebih parah lagi, kita tak pernah benar-benar mengembangkan budaya keamanan siber dan perlindungan data pribadi secara menyeluruh, secara nasional.

Ini perlu menjadi momentum penting untuk memikirkan kembali bagaimana kita memahami keamanan siber dan data pribadi.

Persoalan keamanan siber dan data pribadi seyogyanya tak dipahami sebagai isu keamanan tradisional yang muara utamanya adalah tentang keamanan negara. Siapapun bisa menjadi korban, baik pejabat, aparat, jurnalis, maupun rakyat.

Dalam tradisi kajian keamanan internasional, keamanan siber dipandang sebagai bagian dari keamanan non-tradisional yang meletakkan tidak hanya negara sebagai obyek yang harus dilindungi ketika berbicara mengenai keamanan dan pertahanan. Sifat ruang siber yang difusif dan transnasional membuat ancaman siber dapat menimpa siapa saja.

Keamanan siber wajib pula meliputi individu, kelompok masyarakat, dan bahkan nilai dan norma dari suatu negara - semuanya perlu dipandang setara alih-alih negara atau pejabat dilindungi lebih tinggi prioritas keamanan sibernya ketimbang rakyat biasa.

Hal ini yang disebut Myriam Dunn Cavelty (2014) tentang bahaya diskursus keamanan siber jika hanya berfokus tunggal pada negara. Jika itu terjadi, negara akan melakukan penguatan keamanan siber dengan mengorbankan keamanan individual.

Negara berpotensi akan memprioritaskan pengamanan untuk aparatus dan instrumen kekuasaan alih-alih rakyatnya. Negara, pada akhirnya, dapat menjadi ancaman keamanan siber itu sendiri terhadap warga negaranya.

Konsekuensinya, dengan paradigma itu, fokus dan prioritas keamanan dan pengamanan siber menjadi seakan berhenti ketika UU PDP selesai, atau ketika kita tidak mendengar lagi Whatsapp pejabat diretas.

Ini tentu saja berbahaya mengingat keamanan siber bukan hanya keamanan negara, tetapi juga keamanan bagi semua. Perlindungan terhadap masyarakat sipil, jurnalis, hingga para mahasiswa yang kritis perlu menjadi perhatian.

Penegakan hukum terhadap pelaku kejahatan siber seharusnya tak hanya menunggu apabila pemerintah dan negara menjadi target. Bahkan, apabila serangan siber terjadi pada mereka yang kritis terhadap pemerintah, aparat penegak hukum dan negara tetap perlu memberi perhatian dan perlindungan yang sama.

Sebab, pemerintah dapat berganti setiap pemilu lima tahunan, tetapi ancaman keamanan siber tak pernah melihat siapa korban. Semua bisa kena.

Data pribadi bagian dari martabat manusia

Seirama dengan pandangan tersebut, kita juga perlu memahami ulang bahwa keamanan siber tidaklah hanya tentang keamanan infrastruktur kritis (critical infrastructure) tetapi juga perihal data pribadi, jaringan, program, dan informasi yang ada di dalamnya.

Ini perlu menjadi catatan karena Kepala BSSN sempat menyebut tak ada sistem elektronik yang rusak akibat kasus Bjorka sehingga rakyat tak perlu khawatir.

Kita boleh meminjam satu ungkapan populer dari seorang pandit: Jika sistem elektronik kita aman, tapi data pribadi rakyat hingga pejabat bocor, you still lose the game.

Data pribadi perlu menjadi fokus dan prioritas selanjutnya mengingat itu bukan hanya sekadar informasi tentang diri. Data pribadi bukan pula hanya sekadar urusan informasi tentang kita di Google dan Wikipedia, seperti ucap Prof Mahfud MD.

Lebih dari hak asasi, data pribadi dan privasi adalah bagian dari diri kita (self). Sebab, menurut Prof Luciano Floridi (2014), filsuf tentang informasi, kita perlu memahami bahwa diri kita tidak hanya terkait dengan tubuh biologis, tetapi juga tubuh informasi.

Diri kita dibentuk dan didefinisikan oleh informasi menyangkut diri kita. Sebagaimana kita mendefinisikan diri kita sebagai bagian dari keluarga, suku, budaya, atau agama yang kesemuanya adalah terkait dengan informasi tentang diri kita.

Karena itu, melindungi privasi, data pribadi, dan informasi personal seharusnya diperlakukan selayaknya kita melindungi tubuh biologis kita. Dengan menggeser paradigma mengenai data pribadi sebagai bagian dari diri, kita (dan harapannya, negara) akan mampu memprioritaskan persoalan ini dengan lebih serius.

Sebab, data pribadi kita adalah bagian dari martabat kita, bagian dari hak asasi manusia, dan utamanya, bagian tak terpisahkan dari diri kita.

Kasus Bjorka dan peretasan terhadap jurnalis harapannya akan mendorong negara dan masyarakat untuk bergerak maju memprioritaskan keamanan siber.

Baca juga: Keamanan Siber di Era Satu Data Indonesia (SDI)

Usaha Presiden Joko Widodo untuk mempercepat pembahasan UU Perlindungan Data Pribadi hingga akhirnya disahkan perlu kita apresiasi, dukung, dan kawal agar payung hukum dapat tersedia dan para korban serangan siber mendapatkan kepastian.

Sebagaimana kita juga perlu mendukung kelompok masyarakat sipil yang mengawal isu keamanan siber dan persoalan data pribadi.

Ke depan, kita juga perlu mengawasi aparat untuk bertindak adil terhadap penegakan hukum terkait keamanan siber, siapapun korbannya, baik pejabat maupun rakyat, baik pro pemerintah maupun oposisi.

Gerak cepat harus menjadi karakter utama penegakan hukum keamanan siber agar menimbulkan efek jera. Atribusi ancaman keamanan siber memang sulit, tetapi bukan tidak mungkin.

Kita selanjutnya juga perlu mengontrol lebih detil upaya para pejabat, wakil rakyat, dan pemangku kepentingan terhadap isu keamanan siber dan data pribadi. Terlepas dari itu semua, rasanya yang terpenting adalah memikirkan ulang paradigma kita dalam memahami persoalan keamanan siber dan data pribadi.

Buat saya, kita idealnya melihat keamanan siber melampaui pemahaman tradisional dan negara-sentris. Keamanan siber adalah keamanan bagi dan untuk semua, serta terkait berbagai hal termasuk data pribadi.

Melindungi data pribadi sekali lagi adalah terkait melindungi diri, hak asasi, dan martabat kita. Tragedi keamanan siber dan data pribadi perlu benar-benar menjadi katarsis yang menimbulkan rasa ngeri dan muak sehingga kita dapat mengambil pelajaran sebaik-baiknya.

Sebab, bila tidak, saya khawatir tragedi yang terus menerus akan bergulir menjadi komedi. Semoga saja tidak.