Kasus penyalahgunaan data penumpang yang melibatkan oknum pegawai PT Kereta Api Indonesia (Persero) atau KAI kini berbuntut panjang. Insiden yang sempat viral di platform X (sebelumnya Twitter) tersebut bukan lagi dilihat sebagai kenakalan individu, melainkan telah memicu sorotan tajam terhadap kelemahan fundamental dalam sistem internal perusahaan pelat merah tersebut.
Pakar keamanan siber menilai bahwa penanganan dan pengawasan informasi sensitif di lingkungan KAI berada dalam kondisi yang memprihatinkan. Kritik paling keras datang dari ahli yang menilai tata kelola data KAI saat ini ‘amburadul’.
Tata Kelola Data KAI Dinilai ‘Amburadul’
Pakar keamanan siber terkemuka, Alfons Tanujaya, secara tegas melontarkan penilaiannya terkait insiden akses tidak sah terhadap data penumpang KAI. Menurut Alfons, kemudahan yang dimiliki oknum pegawai untuk mengakses data pribadi seperti nama lengkap, alamat, atau riwayat perjalanan menunjukkan kegagalan serius dalam penerapan standar keamanan siber dasar.
“Tata kelola data di KAI dinilai amburadul,” ujar Alfons. Penilaian ini didasarkan pada fakta bahwa jika perusahaan telah menerapkan prinsip tata kelola data yang memadai, akses terhadap informasi sensitif seharusnya dibatasi secara ketat (Least Privilege Principle) dan hanya diberikan kepada pihak yang benar-benar membutuhkan untuk kepentingan tugas yang spesifik.
Kegagalan Prinsip ‘Least Privilege’
Menurut analisis Alfons Tanujaya, insiden penyalahgunaan data oleh karyawan internal KAI merupakan indikasi jelas bahwa sistem kontrol akses dan pengawasan internal sangat lemah. Dalam sebuah organisasi yang menjunjung tinggi keamanan siber, setiap akses pegawai, bahkan yang bersifat internal, harus diawasi dan dicatat (log).
Apabila oknum pegawai dapat dengan mudah memperoleh dan menyalahgunakan data pribadi penumpang, hal ini mencerminkan bahwa:
- Akses Berlebihan (Over-Privilege): Banyak pegawai yang mungkin memiliki akses terhadap seluruh basis data penumpang, melebihi kebutuhan pekerjaan mereka.
- Kurangnya Audit Trail: Tidak adanya sistem pencatatan aktivitas yang memadai untuk melacak siapa yang mengakses data, kapan, dan untuk tujuan apa.
- Pengawasan Internal Lemah: Kegagalan divisi keamanan informasi dalam mendeteksi atau mencegah perilaku mencurigakan oleh karyawan sendiri.
Kegagalan semacam ini, tegas Alfons, meningkatkan risiko tidak hanya terhadap penyalahgunaan oleh oknum, tetapi juga kerentanan terhadap serangan eksternal, di mana peretas yang berhasil menembus sistem dapat mengakses data dalam skala besar.
Dampak Jangka Panjang dan Perlindungan Data Penumpang
Sebagai penyedia layanan transportasi publik yang melayani jutaan warga negara, PT KAI memegang tanggung jawab besar sesuai dengan amanat Undang-Undang Perlindungan Data Pribadi (UU PDP). Insiden ini menyoroti perlunya KAI untuk segera melakukan audit keamanan siber menyeluruh dan perombakan drastis pada kebijakan akses data internal.
Data penumpang KAI, yang meliputi informasi identitas, riwayat perjalanan, dan terkadang informasi pembayaran, adalah aset sensitif yang wajib dilindungi. Penyalahgunaan informasi ini dapat mengakibatkan kerugian material, penipuan, hingga pelanggaran privasi serius bagi para pengguna jasa KAI.
Pakar keamanan siber mendesak KAI agar segera mengambil langkah konkret, termasuk:
- Restrukturisasi Akses: Memastikan setiap pegawai hanya memiliki akses minimum yang dibutuhkan untuk menjalankan tugasnya.
- Penerapan Multi-Faktor Otentikasi (MFA): Khususnya untuk pegawai yang mengakses basis data sensitif.
- Edukasi Karyawan: Pelatihan intensif mengenai etika penggunaan data dan sanksi tegas bagi pelanggar UU PDP.
Kesimpulan
Kritik tajam dari pakar keamanan siber seperti Alfons Tanujaya terhadap tata kelola data KAI merupakan alarm serius. Insiden penyalahgunaan data pribadi oleh oknum pegawai KAI telah mengungkap borok dalam sistem pengamanan internal perusahaan BUMN ini.
Untuk mengembalikan kepercayaan publik dan mematuhi regulasi yang berlaku, PT KAI dituntut untuk tidak hanya memberikan sanksi kepada oknum yang terlibat, tetapi yang lebih penting, melakukan perombakan total terhadap sistem data governance. Kegagalan dalam merespons penilaian “amburadul” ini secara cepat dan komprehensif dapat menempatkan KAI dalam posisi yang sangat rentan, baik secara hukum maupun di mata publik.
