Pakar: Tata Kelola Data KAI Amburadul, Harus Disanksi UU PDP
Uptodai.com - Isu mengenai akses data penumpang kereta api oleh oknum pegawai PT Kereta Api Indonesia (Persero) atau KAI yang baru-baru ini viral di media sosial menuai sorotan tajam dari berbagai pihak. Insiden ini tidak hanya menyangkut pelanggaran etika individu, tetapi juga mengungkap adanya masalah struktural yang lebih besar. Menurut pakar keamanan siber, Alfons Tanujaya, persoalan ini menjadi bukti nyata betapa parahnya tata kelola data KAI amburadul.
Alfons menilai, kasus eksploitasi data pengguna kereta api yang mencuat ke publik tersebut hanyalah puncak dari gunung es. Fenomena ini mencerminkan buruknya pengelolaan data oleh banyak lembaga publik di Indonesia yang sering kali mengabaikan standar keamanan dasar, padahal mereka mengelola informasi sensitif masyarakat.
Kritik Pedas Pakar Keamanan Siber terhadap KAI
Dalam beberapa tahun terakhir, KAI dikenal cukup progresif dalam melakukan transformasi digital, termasuk keberanian mereka menerapkan sistem check-in berbasis pengenalan wajah. Namun demikian, laju digitalisasi yang pesat ini ternyata tidak diimbangi dengan tata kelola perlindungan data yang memadai.
Kecanggihan teknologi yang digunakan KAI menjadi sia-sia apabila fondasi keamanannya rapuh dan mudah ditembus oleh pihak internal yang tidak bertanggung jawab. Alfons menegaskan, mudahnya akses terhadap data sensitif seperti nama lengkap, tanggal lahir, dan nomor telepon merupakan bentuk kecerobohan yang luar biasa dalam manajemen data penumpang.
Standar Keamanan yang Terabaikan
Seharusnya, lembaga sekelas KAI wajib mengikuti standar keamanan data internasional yang ketat, misalnya implementasi ISO 27001. Standar ini mencakup pemberian hak akses yang sangat terbatas dan ketat, pembatasan akses berdasarkan kategori pengguna, hingga penggolongan dan penerapan masking data.
Kasus yang terjadi justru memperlihatkan bahwa data pribadi yang sangat sensitif tetap dapat diakses oleh pihak-pihak di luar petugas operasional inti kereta api. Kemudahan akses ini bahkan disinyalir menjangkau anak perusahaan atau vendor yang bekerja sama dengan KAI, memperluas potensi kebocoran data secara signifikan.
Apabila standar keamanan tersebut diterapkan dengan benar, data yang bisa diakses oleh pegawai atau pihak ketiga seharusnya hanya data yang relevan dengan tugas mereka, dan bukan data lengkap yang memungkinkan identifikasi penuh penumpang.
KAI Tak Cukup Hanya Sanksi Pegawai, Harus Ada Sanksi KAI UU PDP
Alfons menyoroti bahwa KAI memiliki tanggung jawab moral dan hukum yang besar dalam insiden ini. Publik menyerahkan data pribadi bukan karena keinginan semata, melainkan karena itu adalah syarat mutlak untuk mendapatkan layanan transportasi kereta api.
Oleh sebab itu, pakar tersebut menilai bahwa sanksi terhadap karyawan yang melanggar adalah hal yang layak dan sepantasnya, sebab oknum tersebut jelas melanggar Undang-Undang Perlindungan Data Pribadi (UU PDP). Namun, Alfons menekankan bahwa KAI sebagai institusi juga harus dikenakan sanksi KAI UU PDP.
Pemberian hukuman kepada korporasi ini sangat penting karena insiden tersebut menunjukkan pengelolaan data yang tidak bertanggung jawab dan sudah berjalan bertahun-tahun. KAI tidak bisa berlindung di balik sanksi internal kepada oknum semata, lalu menganggap masalah selesai.
Lembaga terkait seperti Kementerian Komunikasi dan Digital (Kominfo), Badan Siber dan Sandi Negara (BSSN), dan pihak berwenang lainnya perlu segera menindaklanjuti kasus ini. Penindakan ini bertujuan untuk memberikan efek jera, bukan hanya menghukum, sehingga lembaga publik lainnya terdorong untuk mengelola data sesuai standar yang berlaku.
Lembaga sekelas KAI seharusnya sudah ‘naik kelas’ dalam hal manajemen keamanan siber. Kasus ini menjadi pengingat keras bahwa transformasi digital harus selalu didampingi dengan tata kelola data yang matang dan kepatuhan hukum yang ketat.
Topik
