Pakar keamanan siber Pratama Persadha menilai pemerintah perlu segera membentuk lembaga perlindungan data pribadi. Hal ini seiring dengan terjadinya kebocoran data belakangan ini. Yang terbaru, Biznet, salah satu internet service provider di Indonesia, juga menjadi korban serangan siber. Meski pemberlakuan Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP) sejak diundangkan, kata Pratama, ada masa transisi selama dua tahun, sebagaimana ketentuan dalam Pasal 74, semua pihak mulai menyesuaikan kebijakan internal sesuai dengan ketentuan dalam UU PDP. Termasuk salah satunya adalah merekrut petugas pelindungan data (data protection officer). Namun, lanjut dia, pelanggaran terkait dengan UU PDP selama masa transisi ini sudah dapat dikenai sanksi hukuman pidana. Akan tetapi, sanksi hukuman tersebut hanya dapat dijatuhkan oleh lembaga atau komisi yang dibentuk oleh Pemerintah, dalam hal ini adalah Presiden. Keberadaan lembaga atau otoritas tersebut, menurut Chairman Lembaga Riset Keamanan Siber CISSReC ini, penting supaya kasus-kasus insiden kebocoran data pribadi dapat diselesaikan dengan baik dan rakyat bisa terlindungi.
Sebelumnya, diungkapkan oleh Lembaga Riset Keamanan Siber Communication & Information System Security Research Center (CISSReC) bahwa Biznet, salah satu penyedia layanan internet di Indonesia, menjadi korban serangan siber yang diindikasikan sebagai insider threat atau serangan dari dalam pada 10 Maret 2024. Menurut peretas, penyebaran beberapa data di dark web (web gelap) ini karena tidak setuju dengan kebijakan terkait dengan Fair Usage Policy (FUP) di perusahaan tempatnya bekerja. Biznet telah mengatur FUP dengan membatasi pengguna yang menggunakan data internet lebih dari satu terabita dalam sebulan. Peretas juga dengan percaya diri memberikan beberapa petunjuk tentang jati dirinya dan mengancam akan membagikan data Biznet Gio jika Biznet tidak menghapus kebijakan FUP sampai dengan 25 Maret 2024. CISSReC lantas melakukan investigasi pada laman dark web milik peretas yang menggunakan nama anonim Blucifer.
Ditemukan lima tabel yang sudah dibagikan, antara lain, tabel customers (berisi 380.863 baris data), addresses (berisi 1.152.028 baris data), contract accounts (berisi 388.785 baris data), contract (berisi 390.921 baris data), dan tabel products (berisi 800.760 baris data). Namun, pada saat CISSReC mengakses laman dark web, kata Pratama, peretas sudah menghapus petunjuk terkait dengan jati dirinya. Peretas juga memberikan update bahwa ada penambahan 389 data pelanggan yang melakukan pendaftaran pada tanggal 8 dan 9 Maret 2024.