Untuk memajukan Tujuan Pembangunan Berkelanjutan (SDG) PBB, program identitas nasional telah diterapkan dengan cepat di seluruh dunia. Namun, penerapannya sering kali mengabaikan pertimbangan privasi dan keamanan dunia maya yang penting, sehingga membahayakan data warga negara.
Proyek identitas nasional Nigeria, yang bisa dibilang merupakan program terbesar di Afrika mengingat populasinya yang berjumlah lebih dari 200 juta warga, telah diganggu oleh masalah privasi. Meski kini sudah teratasi, masalah privasi menyoroti risiko yang ditimbulkan oleh digitalisasi basis data/database identitas nasional.
Ini adalah temuan penting dari penelitian saya dalam kasus database identitas nasional Nigeria, di Universitas Johannesburg di Afrika Selatan.
Sebuah dunia pelanggaran data yang melibatkan dokumen identifikasi
Pada tanggal 22 September 2022, warga Australia terbangun dengan berita tentang pelanggaran data yang sangat besar dari Optus, perusahaan telekomunikasi terbesar kedua di negara itu.
Pelanggaran itu memberi peretas akses ke setidaknya satu bentuk identifikasi dan informasi pribadi yang valid dari sekitar 1,2 juta pelanggan Optus. Selain itu, tambahan 900.000 pelanggan nomor identifikasi dan informasi pribadi dari dokumen identifikasi yang telah kadaluarsa dicuri.
Meskipun dipastikan bahwa peretas hanya mengakses data 1,2 juta orang, pelanggaran data tersebut mengungkap informasi identifikasi dari total 9,8 juta pelanggan Optus. Angka yang mengejutkan ini mewakili sekitar 40% populasi Australia.
Pelanggaran data dalam skala ini cenderung membuat orang yang informasinya telah dicuri terpapar ancaman pencurian identitas, penipuan keuangan, dan eksploitasi keamanan siber berbasis rekayasa sosial. Untuk mengurangi hal ini, Optus mulai menghubungi pelanggan yang terkena dampak untuk memberitahu mereka tentang pelanggaran tersebut, terutama memperingatkan mereka untuk waspada terhadap penipu yang mungkin berusaha memanfaatkan data yang dicuri termasuk alamat email, tanggal lahir, nomor telepon, dan nomor SIM.
Selain itu, sebagai tanggapan atas pelanggaran data, Optus membawa agen konsultan, Deloitte, untuk memimpin tinjauan atas apa yang terjadi guna mengumpulkan pelajaran untuk mencegah terulangnya kembali. Ada juga tanggapan regulasi dari otoritas Australia, yang memutuskan untuk mengubah aturan privasi yang ada sehingga konsumen seperti Optus dapat lebih terlindungi setelah pelanggaran data terungkap.
Reformasi regulasi yang diusulkan melibatkan pemberian bank akses ke informasi yang mereka perlukan untuk mengenali individu-individu yang telah berada dalam risiko karena akses ilegal ke data pribadi mereka. Otoritas Australia juga berencana untuk memusatkan data identifikasi negara, sehingga membatasi jumlah data identifikasi yang harus dimiliki perusahaan untuk menjalankan operasinya. Ini mengurangi risiko pelanggaran serius seperti Optus.
Celah privasi di database identitas terbesar di Afrika
Meskipun studi dilakukan dalam konteks yang jauh dari Optus, signifikansinya sering disorot oleh pelanggaran data besar yang terjadi di Australia. Penerapan kode Data Layanan Pelengkap Tidak Terstruktur (USSD) Nigeria untuk basis data identitas nasionalnya tanpa disadari mengungkapkan Nomor Identitas Nasional (NIN) warga negara Nigeria.
Awalnya, siapa pun yang memiliki informasi nama belakang dan tanggal lahir orang Nigeria mana pun dapat menghubungi kode USSD *346# di jaringan seluler utama di Nigeria dan mengakses NIN individu tersebut. Untuk konteksnya, kedua informasi ini terkadang merupakan informasi publik yang tersedia, yang bila diperoleh dapat digunakan untuk mengakses informasi NIN.
Namun, Komisi Manajemen Identitas Nasional (NIMC), yang mengelola program identitas nasional Nigeria, memperbaiki kekurangan ini dengan mengizinkan operasi USSD hanya pada nomor telepon yang terhubung ke NIN. Kemajuan ini terjadi setelah melalui gugatan hukum yang panjang oleh koalisi organisasi masyarakat sipil yang memperjuangkan hak-hak privasi di negara tersebut.
Studi ini juga menyoroti implementasi yang salah dari aplikasi seluler identitas nasional Nigeria, yang mengungkapkan informasi identitas orang asing saat diunduh dari toko Android atau iOS oleh individu yang telah mendaftar untuk NIN. Namun hal ini sekarang telah diperbaiki, dan sejak saat itu Nigeria telah membuat kemajuan dalam pengelolaan privasi seputar program identitas nasionalnya.
Risiko digitalisasi
Insiden ini menunjukkan bahwa dorongan untuk mendigitalkan basis data identitas nasional secara global memiliki risiko. Mendigitalkan dokumen identitas mungkin meningkatkan kapasitas pemerintah untuk mengatur kumpulan besar data dan memanfaatkannya secara lebih efektif dalam administrasi layanan sosial. Namun demikian, ketika dilakukan tanpa pertimbangan menyeluruh tentang ancaman nyata dari pelanggaran data, konsekuensinya bisa sangat besar, seperti yang baru-baru ini dipelajari Australia.
Di Afrika Selatan, misalnya, Departemen Dalam Negeri (DHA) mengumumkan rencananya untuk mempekerjakan 10.000 lulusan muda untuk mendigitalkan dokumen identitas negara sejak tahun 1895. Ini termasuk lebih dari 350 juta catatan kelahiran, pernikahan, dan kematian, yang rencananya akan disimpan di komputer. Rencana ini merupakan bagian dari upaya yang lebih luas menuju digitalisasi DHA seperti yang diumumkan oleh pemerintah.
Meskipun rencana ini patut dipuji, penting bahwa rencana tersebut didukung oleh rencana privasi dan keamanan siber yang kuat. Selalu ada pasar yang siap untuk dokumen identitas curian. Hal ini memicu pelanggaran data seperti yang terjadi pada Optus pada September 2022, dan basis data identitas nasional Argentina pada tahun 2021. Oleh karena itu, sangat penting bagi pemerintah untuk mengadopsi praktik baik internasional dalam penerapan basis data identitas seperti membangun mekanisme privasi seperti enkripsi dan tokenisasi.
π¬π§«π§ͺππ€π©βπ¬π¦ ππ
Referensi
Okunoye, B. (2022). Digital identity for development should keep pace with national cybersecurity capacity: Nigeria in Focus. Journal of Cyber Policy, 7(1), 24β37. https://doi.org/10.1080/23738871.2022.2057865
