Ikatan Wajib Pajak Indonesia (IWPI) menilai kebocoran data yang melibatkan sekitar 6 juta Nomor Pokok Wajib Pajak (NPWP) terkompromi itu berpotensi membuka lembaran kasus penipuan urusan perpakjakan untuk memeras atau mengatasnamakan Direktorat Jenderal Pajak atau Dirjen Pajak (DJP).

Menurut IWPI, istilah yang tepat untuk menggambarkan situasi ini adalah data terkompromi, bukan sekadar peretasan. Hal ini menunjukkan adanya kelemahan dalam sistem keamanan siber di Dirjen Pajak, yang seharusnya lebih mampu melindungi data sensitif.

"Kejadian ini menimbulkan kekhawatiran di kalangan masyarakat, terutama para wajib pajak, karena kepercayaan publik terhadap DJP dapat pudar," kata Ketua Umum IWPI Rinto Setiyawan.

Kata dia, data NPWP yang terkompromi berpotensi dimanfaatkan untuk berbagai tindakan penipuan, termasuk pemerasan dan penipuan terkait pengembalian pajak.

"Bahwa peretas biasanya masuk melalui komputer internal di kantor-kantor DJP, seperti Kanwil dan KPP," tutur Rinto.

Dengan memanfaatkan aplikasi Remote Access Terminal (RAT), peretas dapat mencuri data dengan mudah tanpa terdeteksi.

Pasalnya, kata dia sekarang ini dicurigai banyak aplikasi-aplikasi yang berfungsi untuk meremote komputer internal di Kantor DJP tersebut.

"Aplikasi untuk me-remote komputer tersebut seringkali dikenal sebagai RAT, contohnya semacam aplikasi AnyDesk atau team viewer," tutur dia.

Begitu aplikasi RAT diinstall, maka user dan password yang tersimpan di web browser akan otomatis dicuri.

"Jika hacker sudah mengetahui alamat IP dan user password, maka mereka dapat mengakses komputer dari luar tanpa lewat router internal datacenter. Mencuri data sedikit demi sedikit maka tidak akan terpantau dari MRTG datacenter," kata Rinto.

Dengan memanfaatkan aplikasi Remote Access Terminal (RAT), peretas dapat mencuri data dengan mudah tanpa terdeteksi (Foto: IWPI doc)

IWPI kata dia menilai bahwa kebocoran data ini mencerminkan kegagalan DJP dalam memahami skala prioritas dalam penguatan sistem perpajakan. Meskipun DJP telah mengiklankan sistem Core Tax yang revolusioner, kenyataannya institusi tersebut masih berada pada level kematangan teknologi yang rendah, terutama dalam hal keamanan data.

"Kasus ini bila memang benar bahwa data NPWP terkompromi juga menunjukkan bahwa DJP gagal paham soal skala prioritas dalam mematangkan sistem perpajakan,” jelas Rinto.

Dalam konteks hukum, UU KUP Pasal 34 menegaskan bahwa setiap pejabat dilarang mengungkapkan informasi rahasia mengenai wajib pajak.

Dimana, UU KUP Pasal 34 Ayat (1) berbunyi, 'Setiap pejabat dilarang memberitahukan kepada pihak lain segala sesuatu yang diketahui atau diberitahukan kepadanya oleh Wajib Pajak dalam rangka jabatan atau pekerjaannya untuk menjalankan ketentuan peraturan perundang-undangan perpajakan'.

Selain itu, ada pula UU Nomor 27 Tahun 2022 mengatur kewajiban pengendali data untuk memberikan pemberitahuan tertulis kepada subjek data dan lembaga terkait dalam waktu 3 x 24 jam setelah terjadi kegagalan perlindungan data pribadi.

Karenanya IWPI mendesak DJP untuk segera mengambil langkah-langkah konkret dalam menangani masalah ini dan memperkuat sistem keamanan datanya.

"Keterbukaan dan transparansi dalam penanganan kasus kebocoran data sangat penting untuk memulihkan kepercayaan masyarakat terhadap institusi perpajakan," tegas dia.

Upaya pemulihan harus mencakup pemberitahuan kepada semua pihak yang terkena dampak serta langkah-langkah preventif untuk mencegah kejadian serupa di masa depan.

"Domba tidak akan pernah selamat dari Serigala bila pagar kandang hanya palang penghalang," tandas Rinto.***