Pusat Data Nasional Diretas, Menkominfo Pasrah Tak Bayarkan Uang Tebusan; Ini Pidana yang Mengancam Peretas

Pusat Data Nasional Diretas

Tersiar kabar bahwa Pusat Data Nasional (PDN) yang dikelola oleh Pemerintah Pusat, dalam hal ini Direktorat Layanan Aplikasi Informatika Pemerintahan (Dit LAIP) di bawah Direktorat Jenderal Aplikasi Informatika (Ditjen Aptika) pada Kementerian Komunikasi dan Informatika (Kemenkominfo) telah diretas. PDN sendiri adalah wadah seluruh data masyarakat yang dikelola oleh kementerian/lembaga, baik di tingkat pusat maupun daerah. Manakala terjadi kebocoran data, maka yang harus bertanggung jawab adalah penyedia infrastruktur PDN (dalam hal ini Kemenkominfo) dan pengguna layanan PDN yaitu kementerian/lembaga dan pemerintah daerah.[1]

Berdasarkan informasi yang ada, peretas meminta tebusan untuk data yang diretas sebesar US$8 juta, atau sekitar Rp131 miliar kepada pemerintah. Hal ini direspon oleh Budi Arie, Menteri Komunikasi dan Informatika, bahwa tidak akan menuruti permintaan itu. Sebagai tambahan, terdapat informasi bahwa salah satu data yang diduga bocor adalah data Indonesia Automatic Fingerprint Identification System (INAFIS) Polri. Kominfo dan Badan Siber dan Sandi Negara (BSSN) menjadi dua lembaga yang dianggap harus segera melakukan pengamanan data dan juga penelusuran terkait dengan peretasan ini.[2]

Lantas bagaimana pengaturan pidana atas tindakan yang dilakukan peretas PDN tersebut? Berikut ulasannya.

 

Pengaturan Pidana Peretasan Data di Indonesia

Sebelum menguraikan tentang pidana peretasan data, terlebih dahulu akan dijelaskan mengenai perlindungan data di Indonesia. Pengaturan mengenai Data Pribadi dapat ditemukan dalam Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP). Undang-undang ini bertujuan untuk menjamin hak warga negara atas perlindungan data pribadi, menumbuhkan kesadaran masyarakat serta menjamin pengakuan dan penghormatan atas pentingnya perlindungan data pribadi.

Pasal 1 angka 1 UU PDP menjelaskan bahwa yang dimaksud dengan Data Pribadi adalah data tentang orang perseorangan yang teridentfikasi secara tersendiri atau dikombinasi dengan informasi lainnya baik secara langsung maupun tidak langsung melalui sistem elektronik atau nonelektronik.

Adapun yang dimaksud dengan Perlindungan Data Pribadi adalah keseluruhan upaya untuk melindungi Data Pribadi dalam rangkaian pemrosesan Data Pribadi guna menjamin hak konstitusional subjek Data Pribadi. Terdapat pula Subjek Data Pribadi atau orang perseorangan yang pada dirinya melekat Data Pribadi. Dengan begitu dapat diketahui bahwa tujuan dari Perlindungan Data Pribadi adalah untuk melindungi Data Pribadi miliki Subjek Data Pribadi itu sendiri.

Selanjutnya berkaitan dengan pelaku peretasan data, maka kita dapat merujuk pada Pasal 67 ayat (1) UU PDP, yaitu Setiap Orang yang dengan sengaja dan melawan hukum memperoleh dan mengumpulkan Data Pribadi yang bukan miliknya dengan maksud untuk menguntungkan diri sendiri atau orang lain yang dapat mengakibatkan kerugian Subjek Data Pribadi sebagaimana dimaksud dalam Pasal 65 ayat (1) UU PDP dipidana dengan pidana penjara paling lama 5 (lima) tahun dan/atau pidana denda paling banyak Rp5.000.000.000,00 (lima miliar rupiah).

Selain itu jika pelaku mennggunakan data tersebut maka dapat dikenakan sanksi pada Pasal 67 ayat (3) UU PDP, yaitu setiap orang yang dengan sengaja dan melawan hukum menggunakan Data Pribadi yang bukan miliknya sebagaimana dimaksud dalam Pasal 65 ayat (3) UU PDP dipidana dengan pidana penjara paling lama 5 (lima) tahun dan/atau pidana denda paling banyak Rp5.000.000.000 (lima miliar rupiah).

Selain terdapat pengaturannya dalam UU PDP, ditemukan pula pengaturannya dalam Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik sebagaimana telah diubah beberapa kali, terakhir dengan Undang-Undang Nomor 1 Tahun 2024 tentang Perubahan Kedua Atas Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (UU ITE).

Sebagaimana diatur dalam Pasal 32 ayat (1) UU ITE, yaitu setiap orang dengan sengaja dan tanpa hak atau melawan hukum dengan cara apa pun, mengubah, menambah, mengurangi, melakukan, melakukan transmisi, merusak, menghilangkan, memindahkan, menyembunyikan suatu Informasi Elektronik dan/atau Dokumen Elektronik milik orang lain atau milik publik. Ancaman pidana bagi pelakunya adalah penjara paling lama 8 tahun penjara dan/atau denda maksimal Rp2 miliar.

Selain itu UU ITE juga mengatur terkait penyerangan atau tindakan sejenisnya, seperti yang terjadi juga sebelumnya bahwa sempat terjadi server down sehingga banyak lembaga yang terdampak, termasuk salah satunya kelumpuhan sektor keimigrasian. Hal ini berkaitan dengan Pasal 33 UU ITE, yaitu setiap orang dengan sengaja dan tanpa hak atau melawan hukum melakukan tindakan apa pun yang berakibat terganggunya Sistem Elektronik dan/atau mengakibatkan Sistem Elektronik menjadi tidak bekerja sebagaimana mestinya. Perbuatan ini diancam dengan pidana penjara paling lama 10 tahun dan/atau denda maksimal Rp10 miliar.

Sebelum melakukan akses terhadap data, maka sudah barangtentu peretas tersebut berusaha masuk ke dalam suatu sistem untuk nantinya mengambil apa yang mereka kehendaki. Pasal 30 ayat (1) UU ITE menyatakan bahwa Setiap orang dengan sengaja dan tanpa hak atau melawan hukum mengakses Komputer dan/atau Sistem Elektronik milik orang lain dengan cara apapun. Ancaman pidananya yaitu pidana penjara maksimal 6 tahun, dan denda maksimal Rp600 juta.

Pasal 30 ayat (2) UU ITE menyatakan bahwa Setiap orang dengan sengaja dan tanpa hak atau melawan hukum mengakses komputer dan/atau sistem elektronik dengan cara apa pun dengan tujuan untuk memperoleh Informasi Elektronik dan/atau Dokumen Elektronik. Ancaman pidananya yaitu pidana penjara maksimal 7 tahun, dan denda maksimal Rp700 juta.

Pasal 30 ayat (3) UU ITE menyatakan bahwa setiap orang dengan sengaja dan tanpa hak atau melawan hukum mengakses komputer dan/atau Sistem Elektronik dengan cara apa pun dengan melanggar, menerobos, melampaui, atau menjebol sistem pengamanan. Ancaman pidananya yaitu pidana penjara maksimal 8 tahun, dan denda maksimal Rp800 juta.

Selain diatur dalam UU PDP dan UU ITE, ditemukan pula pengaturan terkait tindakan pidana yang dilakukan peretas PDN di dalam Kitab Undang-Undang Hukum Pidana (KUHP). Pengaturannya memisahkan antara rahasia negara yang sifatnya umum dan militer, adapun kaitannya dengan rahasia negara yang sifatnya umum diatur dalam Pasal 112 KUHP, yaitu barangsiapa dengan sengaja mengumumkan surat-surat, berita-berita atau keterangan-keterangan yang diketahuinya bahwa harus dirahasiakan untuk kepentingan negara, atau dengan sengaja memberitahukan atau memberikannya kepada negara asing, diancam dengan pidana penjara paling lama tujuh tahun.

Sedangkan Pasal 113 KUHP ayat (1) mengatur bahwa barangsiapa dengan sengaja, untuk seluruhnya atau sebagian mengumumkan, atau memberitahukan maupun menyerahkan kepada orang yang tidak berwenang mengetahui, surat-surat, peta-peta, rencana-rencana, gambar-gambar, atau benda-benda yang bersifat rahasia dan bersangkutan dengan pertahanan atau keamanan Indonesia terhadap serangan dari luar, yang ada padanya atau yang isinya, bentuknya atau susunannya benda-benda itu diketahui olehnya, diancam dengan pidana penjara paling lama empat tahun. Ancaman pidananya dapat ditambahkan sepertiga jika surat-surat atau benda-benda ada pada yang bersalah, atau pengetahuannya tentang itu karena pencariannya (pekerjaannya).

 

Pengaturan Ancaman Pidana Pemerasan

Di samping melakukan peretasan, pelaku juga meminta uang tebusan sebesar Rp131 miliar kepada pemerintah. Adapun hal yang dilakukan ini dapat dikategorikan sebagai bentuk pemerasan mengingat pelaku juga mengancam akan menjual data yang diretas ke situs dark web. Lantas bagaimana ancaman pidana untuk pemerasan?

Pemerasan yang dilakukan peretas ke Pemerintah Indonesia tentunya menjadi perhatian dunia. Jika merujuk pada pengaturan UU ITE sebelum diubah kedua kalinya melalui UU 1/2024, terdapat ketentuan pada Pasal 27 ayat (4) yang pada pokoknya memberikan kesempatan untuk menjerat pidana pelaku yang mengirimkan Informasi Elektronik dan/atau Dokumen Elektronik yang berisikan muatan pemerasan atau ancaman. Berdasarkan norma tersebut maka mudah sekali untuk mengatakan bahwa peretas telah melakukan pemerasan kepada pemerintah Indonesia untuk membayar Rp131 miliar.

Namun pasca perubahan melalui UU 1/2024, Pasal 27 ayat (4) dihapus, dan pembuat undang-undang membuatkan 1 Pasal pengganti berisikan 2 ayat, yaitu Pasal 27B ayat (1) dan (2). Adapun pengaturannya lebih detail mengenai jenis pemerasan/ancamannya, yaitu Pasal 27B ayat (1) untuk yang menggunakan ancaman keekrasan, sedangkan Pasal 27B ayat (2) untuk yang menggunakan ancaman pencemaran atau ancaman akan membuka rahasia. Kedua ketentuan ini sebenarnya baik sifat dan tujuannya, namun karena dilakukan dengan begitu detail, maka penafsirannya menjadi terbatas, dengan begitu tindakan pemerasan yang dilakukan oleh peretas, misalnya saja dengan mengatakan akan menyebarkan data yang diperoleh, maka sudah barang tentu itu tidak termasuk ancaman sebagaimana dimaksudkan dalam Pasal 27B ayat (1) dan (2).

Jika menginginkan untuk menjerat peretas dengan ketentuan di dalam KUHP, maka tentunya akan menemukan masalah yang serupa. Secara sekilas, isi dari Pasal 27B ayat (1) UU ITE merupakan bentuk lain dari ketentuan Pasal 368 KUHP yaitu mensyaratkan adanya ancaman kekerasan, dan Pasal 27B ayat (2) UU ITE merupakan bentuk lain dari Pasal 369 KUHP yaitu mensyaratkan adanya ancaman melakukan pencemaran atau ancaman membuka rahasia. Berbeda dengan UU ITE, penerapan KUHP dalam hal ini juga akan menemui masalah terkait dengan siapa yang diancam, karena KUHP secara tegas menyebutkan “memaksa seseorang”, sehingga yang menjadi targetnya adalah seseorang. Adapun sebagaimana berita yang beredar, ancaman tersebut tidak diarahkan hanya untuk seseorang, namun untuk Pemerintah Indonesia, atau setidak-tidaknya kementerian terkait.

Berdasarkan uraian tersebut, maka dapat dikatakan bahwa terdapat kekosongan hukum untuk ancaman/pemerasan yang tidak termasuk ke dalam kategori ancaman kekerasan, atau ancaman akan melakukan pencemaran atau membuka rahasia.

 

Tindakan Pemerintah Merespons Peretasan PDN

Kasus diretasnya PDN memberikan tanda tanya besar terkait dengan bagaimana pemerintah yang seharusnya melindungi data negara dengan baik justru kecolongan. Adapun terdapat beberapa lembaga yang merespon terkait peristiwa ini. Misalnya saja sebagaimana disampaikan oleh Menteri Hukum dan HAM, Yasonna Laoly, bahwa saat ini akan dilakukan pemindahan data keimigrasian (yang berada di bawah naungan Kemenkumham) ke AWS. AWS sendiri merupakan singkatan dari Amazon Web Services, yaitu salah satu layanan cloud computing ternama milik Amazon.

Selain itu sebagai penyedia infrastruktur PDN, Kemenkominfo secara tegas menolak untuk membayarkan sejumlah uang yang diminta oleh peretas sebagai tebusan atas data Pusat Data Nasional diretas tersebut. Kemenkominfo menargetkan akan menyelesaikan permasalahan penyerangan ini hingga akhir Juni secara bertahap dengan memperhatikan skala prioritas. Kemenkominfo meyakini dapat memulihkan imbas akibat peretasan ini meskipun terdapat pihak lain yang mengatakan bahwa data hasil peretasan ransomware Brain Chiper tidak bisa dipulihkan.

Adapun BSSN sebagai badan yang juga menemukan fakta bahwa terdapat data Polri, INAFIS, yang bocor dan diperdagangkan di situs dark web melakukan upaya koordinasi dengan Polri, serta melakukan mitigasi untuk mencegah kebocoran data lainnya. Hingga artikel ini ditulis, pelaku yang belum diketahui namanya masih berusaha diidentifikasi oleh pihak terkait.

 

Penulis: Shabiq Israth, S.H.

Editor; Robi Putri J., S.H., M.H., CTL Cla]

& Mirna R., S.H., M.H., CCD.

[1] Ditjen Aptika, Kemenkominfo, Keamanan PDN Tanggung Jawab Bersama Pengelola dan Pemilik Data – Ditjen Aptika, https://aptika.kominfo.go.id/2022/11/keamanan-pdn-tanggung-jawab-bersama-pengelola-dan-pemilik-data/

[2] CNN Indonesia, Kisruh PDN Diserang: Peretas Minta Tebusan, Data Dipindah ke Amazon, https://www.cnnindonesia.com/nasional/20240625073731-20-1113717/kisruh-pdn-diserang-peretas-minta-tebusan-data-dipindah-ke-amazon

 

Baca juga:

Uang Nasabah Diduga Hilang di Beberapa Bank BUMN, Bagaimana Pengaturan dan Pertanggungjawaban Jika Uang Nasabah Hilang?

Penjual Channel Bjorka Menjadi Tersangka

 

Tonton juga:

Pusat Data Nasional Diretas| Pusat Data Nasional Diretas| Pusat Data Nasional Diretas| Pusat Data Nasional Diretas| Pusat Data Nasional Diretas| Pusat Data Nasional Diretas| Pusat Data Nasional Diretas| Pusat Data Nasional Diretas| Pusat Data Nasional Diretas| Pusat Data Nasional Diretas| Pusat Data Nasional Diretas| Pusat Data Nasional Diretas| Pusat Data Nasional Diretas| Pusat Data Nasional Diretas| Pusat Data Nasional Diretas| Pusat Data Nasional Diretas| Pusat Data Nasional Diretas| Pusat Data Nasional Diretas|