Manajemen Keamanan Data pada Interoperabilitas Data Perpajakan

Oleh: Handoko & Sultoni

(Praktisi Perpajakan)

Insiden peretasan data yang tersimpan pada Pusat Data Nasional (PDN) beberapa waktu yang lalu berdampak secara tidak langsung pada gangguan layanan e-registration. Kejadian ini telah membuat berbagai pihak lebih waspada terhadap serangan ransomware serupa. Sistem DJP yang terhubung dengan sistem eksternal melalui mekanisme interoperabilitas tentu menimbulkan risiko keamanan yang tinggi. Lalu, bagaimana DJP menerapkan manajemen keamanan data untuk melindungi data perpajakan kita?

Akhir Mei 2024 lalu publik digemparkan dengan peretasan Pusat Data Nasional (PDN) yang berakibat matinya berberapa sistem layanan publik. Serangan ransomware tersebut telah melumpuhkan setidaknya 282 sistem layanan dari 210 instansi pemerintah, termasuk layanan keimigrasian, layanan perizinan dan berbagai layanan dari  Kemendikbud. Malware  jenis LockBit 3.0 Brain Chiper berhasil mengenkripsi dan menutup akses data-data strategis nasional yang tersimpan pada PDN Surabaya.

Kerugian yang timbul atas bobolnya sistem keamanan data tersebut sangat besar. Insiden ini berpotensi menurunkan kepercayaan publik atas data masyarakat yang dikelola pemerintah. Berbagai langkah penting pun telah dilakukan seperti mengaudit tata kelola PDN oleh BPKP dan mundurnya Dirjen Aplikasi Informatika – Kementiran Kominfo sebagai bentuk pertanggungjawaban moral pejabat publik kepada masyarakat selaku stakeholder. Layanan publik yang mengalami down time beberapa hari telah menghambat aktivitas ekonomi dan mengganggu iklim usaha. Center of Economic and Law Studies (Celios) mengkalkulasi dampak kerugian yang timbul mencapai Rp 6,3 Triliun, ditambah hilangnya potensi surplus ekonomi yang jumlahnya sekitar Rp 2,7 Triliun (Purba GN, 2024).

Abis gelap terbitlah terang. Sebuah pepatah yang menggambarkan bahwa di balik kesulitan akan selalu ada kemudahan. Pasalnya masih ada kabar baik yang ternyata data perpajakan tidak terdampak atas kasus peretasan ini. Namun demikian, sebagian layanan pendaftaran online sempat mengalami gangguan selama beberapa hari. Akses DJP terhadap data keimigrasian mati, sehingga sistem e-registration tidak dapat melakukan validasi data paspor warga negara asing. Pihak yang terkena imbas error-nya sistem layanan registrasi tersebut adalah BUT dan orang asing yang beralamat di Jakarta, BUT Penyelenggara Perdagangan Melalui Sistem Elektronik (PPMSE) yang berkududukan di luar Jakarta, pedagang dan penyedia jasa luar negeri, serta PPMSE luar negeri dan organisasi internasional yang termasuk subjek PPh.  Dimana mereka adalah WP yang secara administratif terdaftar pada KPP Badan dan Orang Asing.

Sehubungan dengan layanan pendaftaran WP, DJP juga mengembangkan interoperabilitas validasi data dengan beberapa institusi lain di luar Ditjen Imigrasi. Otoritas pajak kita telah mengembangkan interoperabilitas dengan Ditjen Dukcapil, Ditjen Administrasi Hukum Umum (AHU) dan Kementerian Investasi/BKPM (online single submission – OSS) dalam rangka validasi data pendaftaran WP. Manajemen keamanan pertukaran data dengan entitas tersebut menjadi sangat penting mengingat data yang diperoleh menjadi validasi utama pada proses pendaftaran WP. Gangguan keamanan pada proses registrasi seperti yang terjadi pada insiden PDN yang lalu akan berdampak signifikan pada keseluruhan administrasi perpajakan, mengingat pendaftaran WP menjadi titik on boarding WP pada sistem DJP.

Interoperabilitas Data Perpajakan

Selain untuk memvalidasi data pendaftaran, DJP juga mengembangkan interoperabilitas guna mendukung pelaksanaan proses administrasi perpajakan lainnya. Sebagaimana diketahui bahwa saat ini DJP sedang mengembangkan sistem inti perpajakan baru yang dikenal sebagai core tax administration system atau CTAS. Sistem ini dirancang menjadi sebuah sistem yang terbuka dan terintegrasi (open and integrated system), yang akan terhubung, terintegrasi dan bertukar data secara langsung dengan sistem eksternal lainnya. Proses administrasi dalam pembayaran pajak, pelaporan SPT, pelayanan, dan pengawasan kepatuhan telah dan akan melibatkan beberapa entitas eksternal dalam rangka perolehan data pendukungnya.  

Adapun Institusi perbankan adalah pihak yang mengembangakan interoperabilitas dengan DJP dalam rangka pembuatan kode billing pembayaran pajak. Proses billing disini untuk membayar pajak yang dilakukan dengan memanfaatkan jaringan yang terhubung secara langsung  antara sistem DJP dengan sistem perbankan. Layanan e-billing ini tersedia dan dapat dimanfaatkan oleh WP melalui pembangunan interoperabilitas antara DJP dengan lembaga perbankan. Namun tidak terbatas pada bank, interface kode billing juga dikembangkan dengan lembaga persepsi lainnya seperti kantor pos. 

Sedangkan terkait  pelaporan SPT, DJP juga telah mengembangkan interoperabilitas dengan berbagai entitas guna memperoleh data prepopulasi dan untuk mendukung pembuatan dan pelaporan SPT secara elektronik. Penyusunan beberapa SPT seperti SPT PPN, SPT PPh Pemotongan/Pemungutan dan SPT Pemungut Bea Meterai telah memanfaatkan prefill data yang  diperoleh melalui mekanisme interoperabilitas dengan WP dan pihak ketiga yang berkaitan. Dalam rangka pelaksanan e-SPT dan e-Filling, DJP juga mengembangkan interoperabilitas dengan institusi Penyedia Jasa Aplikasi Perpajakan (PJAP). Sebagaimana diketahui bahwa saat ini terdapat 13 entitas yang ditunjuk secara resmi sebagai entitas yang menyediakan jasa aplikasi untuk keperluan perpajakan. WP dapat memanfaatkan service yang ditawarkan PJAP untuk kepentingan pembuatan dan pelaporan SPT. Layanan tersebut tersedia berkat adanya interoperabilitas yang dibangun antara DJP dengan institusi PJAP tersebut.

Selanjutnya, guna meningkatkan kualitas layanan perpajakan DJP juga mengembangkan interoperabilitas dengan pihak ketiga lain. Layanan publik yang disediakan oleh instansi pemerintah pusat/daerah telah mewajibkan  untuk dilakukannya prosedur konfirmasi status WP pada pengguna layanan tersebut. Pada proses ini, pengembangan interoperabilitas telah menjadi enabler yang mampu menghubungkan sistem DJP dengan berbagai sistem pemerintah pusat/dareah yang tersebar di seluruh Indonesia. Lebih dari itu, guna memudahkan pemberian layanan perpajakan lain seperti penerbitan Surat Keterangan Bebas dan Surat Keterangan Fiskal, DJP juga mengembangkan interface validasi data dengan sistem BKPM, Ditjen Bea Cukai dan Lembaga Nasional Single Window (LNSW).

Tidak kalah penting, Pengawasan WP sebagai salah satu proses bisnis inti pada sistem pajak self assessment yang juga didukung oleh pertukaran data dengan pihak ketiga melalui mekanisme interoperabilitas. Berdasarkan PMK-228/PMK.03/2017 terdapat setidaknya 69 Institusi Lembaga Asosiasi dan Pihak Ketiga (ILAP)/kelompok ILAP yang memiliki kewajiban untuk menyampaikan data secara periodik kepada DJP. Beberapa ILAP telah mengembangkan pertukaran data secara host to host. Data dari beberapa kementerian/lembaga, pemerintah daerah dan BUMN telah dialirkan secara elektronik melalui pengembangan interface antar sistem. Selain memberi kemudahan bagi entitas untuk memenuhi kewajiban penyampaian data ke DJP, pengembangan interface ini juga  diharapkan dapat menjadikan data eksternal untuk keperluan pengawasan yang diterima oleh DJP menjadi lebih tepat waktu, valid, akurat, valid, lengkap dan konsisten.

Komunikasi secara host to host antara sistem DJP dengan sistem entitas pihak ketiga tersebut tentu memiliki risiko keamanan yang tinggi. Insiden peretasan PDN pertengahan tahun ini telah memberi pelajaran tentang pentingnya manajemen keamanan data di era digital seperti saat ini. Lalu bagaimana DJP menyikapi isu tentang keamanan atas data perpajakan yang dikelolanya?

Teori Manajemen Keamanan Data

Keamanan data merupakan salah satu dari sepuluh area manajemen data yang harus diperhatikan dalam pengelolaan data secara profesional. The Dama Wheel, sebuah framework manajamen data yang dibahas dalam buku Data Management Body of Knowledge (DMBOK) menyebutkan bahwa manajemen kemanan data adalah kegiatan perencanaan, pengembangan dan pelaksanaan berbagai kebijakan dan prosedur guna memastikan tersedianya prosedur yang layak terkait autentikasi, autorisasi, manajemen akses, dan audit atas aset data. Apa sih tujuannya? Tujuannya adalah untuk melindungi akses data, memenuhi berbagai regulasi terkait privasi, proteksi dan kerahasiaan data, serta menjamin seluruh privasi dan kerahasiaan dari para pemangku kepentingan. Terdapat beberapa kegiatan dalam praktik pengelolaan keamanan data, yaitu identifikasi requirement keamanan data, penyusunan kebijakan keamanan data, pembuatan standar keamanan data, assessment status quo risiko keamanan data dan implementasi prosedur evaluasi dan pengendalian. Adapun output (deliverables) dari pengelolaan keamanan data adalah tersedianya arsitektur keamanan data, kebijakan keamanan data, standar kerahasiaan data, pengendalian hak akses data, dokumentasi klasifikasi keamanan yang, riwayat akses data dan autentikasi, serta laporan audit atas keamanan data. Perhatikan diagram dibawah ini. 

The DAMA Wheel

Sumber: The DMBOK, 2017

Ancaman keamanan data dan informasi dapat berasal dari internal dan eksternal suatu insitusi. Ancaman eksternal pada dasarnya berasal dari malicious software (malware) seperti yang terjadi pada kasus serangan PDN, social engineering dimana pihak eksternal berusaha menipu pegawai untuk memperoleh informasi rahasia guna mendapatkan akses ke dalam sistem/jaringan institusi, sabotase yang dilakukan dengan mengirimkan malware dan penghancuran perangkat fisik, serta hacking yaitu mengakses suatu sistem/aplikasi untuk mencuri/merubah data. Adapun ancaman social engineering yang paling populer adalah phising yaitu mengirimkan e-mail palsu untuk mendapatkan informasi atau menyebarkan malware. Sedangkan ancaman yang berasal dari internal diantaranya adalah kesalahan pegawai karena kesengajaan/ketidaksengajaan, kesalahan konfigurasi, kerjasama pegawai dengan pihak eksternal yang merugikan institusi. Ketidaksengajaan pegawai yiatu kelalaian dan kecelakaan bekerja menjadi ancaman internal yang paling sering muncul.

Hal yang harus dilakukan untuk menetapkan spesifikasi kebutuhan kemanan data adalah mendapatan pemahaman menyeluruh tentang requirement keamanan yang dibutuhkan dari tiap-tiap unit bisnis. Dalam konteks data perpajakan, kewajiban untuk menjaga keamanan seluruh data baik data yang disampaikan WP maupun yang berasal dari pihak ketiga merupakan hal yang harus dipenuhi. Pasal 34 UU KUP menyebutkan bahwa pegawai DJP dan pihak lain yang terkait wajib menjaga kerahasiaan data perpajakan. Kelalaian yang terjadi diancam dengan sanksi pidana sebagaimana dimaksud dalam Pasal 41 UU KUP.  Jadi, perlindungan keamanan atas seluruh jenis data pajak baik yang terkait data profil WP, data SPT dan data lainnya adalah suatu keniscayaan. 

Permintaan adanya standar keamanan data di DJP juga berasal dari regulasi yang diterbitkan oleh pihak-pihak yang berkompeten. Pertukaran informasi keuangan yang dilakukan antar negara/jurisdiksi, sebagai konsekuensi implementasi perjanjian internasional di bidang perpajakan telah menimbulkan konsekuensi bagi DJP untuk menerapkan keamanan data sesuai standar yang berlaku global. Hal yang sama juga berlaku terkait diperolehnya informasi keuangan domestik oleh DJP secara reguler sebagaimana diatur melalui Peraturan Pemerintah Pengganti Undang-Undang Nomor 1 Tahun 2017 tentang Akses Informasi Keuangan Untuk Kepentingan Perpajakan. DJP dituntut untuk memiliki manajemen keamanan atas data keuangan yang sifatnya sangat rahasia tersebut.

Implementasi manajemen Peraturan Pemerintah Pengganti Undang-Undang Nomor 1 Tahun 2017 data untuk melindungi sistem utama sebuah institusi sekaligus data yang tersimpan di dalamnya mutlak memerlukan kolaborasi yang baik antara bagian teknologi informasi (IT Departement), pengampu data dan pemilik proses bisnis. Arstitektur keamanan data yang dibuat harus menjadi bagian dari arsitektur institusi (enterprise architecture) yang merupakan cetak biru bagi organisasi untuk mencapai tujuan strategisnya yang mencakup arsitektur tekonologi, aplikasi, data dan informasi serta proses bisnis. Cetak biru arsitektur keamanan data ini menjadi hal yang sangat penting dalam integrasi data, termasuk dalam rangka perolehan dan komunikasi data dengan entitas lain melalu interoperabilitas. Selain itu, Blueprint keamanan data juga akan menentukan beberapa hal penting yaitu diantaranya tools yang akan digunakan untuk mengelola keamanan data, standard dan mekanisme enkripsi data, prosedur akses data oleh vendor eksternal dan pihak ketiga lainnya, protokol komunikasi data menggunakan internet, standar akses data secara remote serta prosedur pelaporan atas insiden peretasan. Perhatikan diagram di bawah ini yang memperlihatkan gambaran umum arsitektur keamanan data. 

Ilustrasi Arsitektur Kemanan Data Secara Umum

Sumber: Penulis, diolah dari beberapa sumber

Terkait keamanan atas pertukaran data antar sistem, OECD juga menerbitkan guideline perlindungan keamanan dan kerahasian data khususnya data personal yang dipertukarkan lintas negara atau yang biasa dikenal sebagai OECD Privacy guidlines. Dokumen yang pertama kali diterbitkan tahun 1980 ini menjadi rujukan sebagai standar minimal yang harus diperhatikan untuk melindungi kerahasiaan dan mengamankan data individu. Untuk mengimplementasikan guideline ini, OECD menyarankan beberapa hal yang perlu dilakukan diantaranya mengembangkan strategi kerahasiaan data tingkat nasional, mengadopsi regulasi perlindungan kerahasiaan data, menyediakan mekanisme bagi warganya untuk menuntut haknya agar datanya terlindungi, serta menentukan sanksi dan prosedur yang akan diterapkan jika terjadi kebocoran data. Lebih lanjut dalam laporan terkait implementasi atas guidleline tersebut yang diterbitkan pada pada tahun 2021, diketahui bahwa dari 31 negara yang diobservasi mayoritas responden telah menerapkan dan memperbarui prosedur awal yang terbit pada tahun 1980 tersebut. Lebih lanjut, Covid-19 juga dilaporkan mempercepat pertumbuhan teknologi digital dan data telah menjadi tumpuan untuk dalam perekonomian. Sebagai konsekuensinya urgensi penerapaan guideline kerahasaan data pun menjadi sangat tinggi.

Manajemen Keamanan Data  di DJP

Di Indonesia sendiri, perlindungan dan pengamanan data pribadi telah diatur melalui Peraturan Pemerintah Nomor 82 Tahun 2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik dan Peraturan Menkominfo Nomor 20 tahun 2016 tentang Perlindungan Data Pribadi (PDP). Selain itu, guna mewujudkan penyelenggaraan pemerintahan yang memanfaatkan teknologi informasi dan komunikasi dan untuk mewujudkan tata kelola pemerintahan yang bersih, efektif, transparan dan akuntabel, pemerintah Indonesia juga telah mengembangkan Sistem Pemerintahan Berbasis Elektronik (SPBE) sebagaimana diatur pada Perpres Nomor 5 tahun 2018. Penyelenggaraan SPBE ini telah menerapkan prinsip keamanan data. Manajemen kemanananan informasi menjadi satu dari delapan area manajemen yang diatur pada Perpres tersebut. Pengelolaan keamanan data dalam SPBE dilakukan melalui kegiatan penetapan ruang lingkup, penetapan penanggungjawab, perencanaan, dukungan pengoperasian, evaluasi kinerja dan perbaikan berkelanjutan. Selain penerapan manajemen keamanan tersebut, pembangunan sistem keamanan informasi nasional yang dikoordinasi oleh Badan Siber dan Sandi Negara (BSSN) juga mencakup penerapan teknologi keamanan informasi dan pembangunan budaya keamanan informasi bagi ASN dan masyarakat. 

Keamanan data juga telah menjadi perhatian yang serius di lingkungan Kementerian Keuangan. Melalui Peraturan Menteri Keuangan Nomor 133/PMK.01/2022 tentang Tata Kelola TIK di Lingkungan Kementerian Keuangam, telah ditetapkan manajemen keamanan informasi dan organisasi dalam pengamanan aset tersebut. Pengelolaan keamanan informasi diterapkan untuk menjamin ketersediaan (availability), keutuhan (integrity), dan kerahasiaan (confidentiality) atas aset informasi. Sebagai Pembina Data Keuangan Negara Tingkat Pusat sesuai Peraturan Presiden Nomor 39 Tahun 2019 tentang Satu Data Nasional, Kementerian Keuangan juga telah menyusun regulasi tentang tata kelola data di lingkungan Kementerian Keuangan. Dalam pedoman tersebut, keamanan data menjadi salah satu prinsip yang harus ditegakkan dalam pengelolaan data di lingkungan Kementerian Keuangan yang mencakup lima hal yaitu kerahasiaan, ketersediaan, kemudahan akses, ketepatan akses (otentikasi) dan privasi.

Selanjutnya, DJP sebagai institusi penyelenggara administrasi perpajakan di bawah Kementerian keuangan, juga telah menjadikan keamanan data menjadi salah satu prinsip manajemen pengelolaan data yang dierapkan. DJP telah menyusun tata kelola data perpajakan yang dibakukan dalam Keputusan Dirjen Pajak Nomor KEP-215/PJ/2021. Pembuatan tata kelola tersebut diharapkan dapat mendukung terpenuhinya kebutuhan ketersediaan data dan informasi perpajakan yang lengkap, akurat, mutakhir, dapat diandalkan dan tentunya aman guna mundukung penyelenggaraan administrasi perpajakan. Salah satu prinsip yang digunakan adalah bahwa data harus dapat dibagipakaikan melalui interoperabilitas antar sistem dengan memperhatikan prinsip keamanan informasi. 

DJP telah memiliki kebijakan manajemen data yang rigid. Penerapan manajemen keamanan data bertujuan untuk memastikan kerahasiaan data pajak selalu terjaga, digunakan sesuai dengan tujuan penggunaannya, serta hanya dapat diakes dan diolah oleh pihak yang mempunyai hak dan wewenang. Kebijakan ini juga untuk menjamin ketersediaan dan integritas atas setiap jenis data. Prinsip yang digunakan dalam menjaga keamanan data perpajakan ini adalah autentikasi, otorisasi, akses, dan audit yang tepat atas aset data. 

Seluruh data perpajakan, termasuk data yang berasal dari pihak ketiga, diklasifikasikan berdasarkan tingkat kerahasiaannya mulai dari data yang sangat sensitif sampai data yang bersifat publik. Selanjutnya untuk setiap data dari pihak ketiga termasuk yang diperoleh dari entitas eksternal melalui interoperabilitas harus memiliki kebijakan enkripsi data yang tertuang dalam standar kemanan data yang disepakati DJP dengan pihak terkait. Ketentuan tentang enkripsi data ini juga diterapkan ketika DJP mengirim data kepada pihak terkait, menyimpan dan menerima akses data melalui aplikasi jaringan publik (internet). 

Akses data juga diatur secara ketat berdasarkan kategori pengguna dan sumber data yang diakses. Prosedur keamanan data diterapkan pada saat penerimaan, pendistribusian, pengolahan, penyimpanan dan pencadangan data. Lebih lanjut pemantauan, evaluasi dan audit atas penerapan prosedur keamanan data tersebut juga dilakukan secara rutin. Dalam praktiknya, penerapan kebijakan manajemen data perpajakan ini melibatkan seluruh elemen yaitu walidata, business owner, produsen data, auditor internal, pengguna data, Tim Teknologi dan Informasi (TI), Tim datawarehouse, serta tentunya Tim keamanan informasi. Selain itu, juga telah dibentuk Tim Keamnaan Data dan Informasi serta diimplementasikan Sistem Manajemen Kemanana Informasi (SMKI) pada setiap kegiatan kegiatan yang melibatkan teknologi informasi dan komunikasi melalui sertifikasi dari lembaga internasional (ISO 27001 dan ISO 11301)

Penutup

Seumpama tuas yang dapat memberi daya ungkit, interoperabilitas memang dapat me-leverage nilai data dengan  menghubungkan dan mengintegrasikan berbagai jenis data yang tersebar di banyak tempat. Interoperabilitas diyakini mampu memberi nilai tambah dalam pengelolaan data perpajakan, khususnya di era modern dimana aktivitas digital bertumbuh dengan kecepatan yang sangat tinggi. Sedangkan keamanan data ibarat tumpuan tuas, sarung tangan dan pijakan kaki untuk memastikan pengguna tuas tersebut dapat menggunakan tuas dengan benar, aman dan tidak menimbulkan cedera pagi si pemakai. Di era digital ini, dimana data dipertukarkan secara realtime dalam jaringan yang terhubung antar sistem, mutlak dibutuhkan implementasi pengamanan data yang memadai guna mencegah kerugian besar yang dapat ditimbulkan dari risiko bobolnya data oleh pihak yang tidak bertanggungjawab.

*) Tulisan ini merupakan pendapat pribadi penulis dan bukan cerminan sikap instansi di mana penulis bekerja