Tag Archives: kebocoran data

Kebocoran data di platform digital terus terjadi. Masyarakat tidak punya opsi untuk menuntut tanggung jawab. Regulasi yang dibutuhkan tak juga muncul.

Pasrah Menghadapi Kebocoran Data di Tanah Air

Apa yang bisa kita lakukan sebagai pengguna layanan digital ketika data yang kita serahkan justru bocor dan diperjualbelikan di pasar gelap? Di Indonesia, jawabannya hampir tidak ada. Rentetan kasus kebocoran data beberapa waktu terakhir menunjukkan konsumen berada di posisi terlemah dalam siklus ini.

Belum jelas nasib kebocoran data di Tokopedia dan Kredit Plus, kasus serupa terulang lagi. Kali ini Cermati dan RedDoorz yang kena bidik peretas. Sekitar 2,9 juta data di Cermati yang digondol peretas berisi bermacam data mulai dari alamat email, kata sandi, alamat, nomor telepon, pendapatan, bank, nomor pajak, nomor identitas, hingga nama ibu kandung. Set data ini tergolong sensitif dan berharga untuk diperjualbelikan.

Jumlah data yang dicuri dari Reddoorz lebih banyak mencapai 5,8 juta data. Data itu berupa nama, alamat email, nomor telepon, dan detail pemesanan. Peretas menjual gelondongan data itu seharga US$2.000 atau sekitar Rp28 juta.

Selain mengambil langkah pencegahan, apa yang bisa kita lakukan sebagai pengguna jika dirugikan akibat kebocoran data yang sudah terjadi?

Pratama Prasadha, peneliti keamanan siber dari Communication and Information System Security Research Center (CISSRec), mengakui kondisi saat ini memang menyulitkan konsumen platform digital menggugat penyelenggara sistem dan transaksi elektronik (PSTE). Pasalnya memang tidak ada satu pun kewajiban hukum yang bisa dikenakan kepada PSTE atas kelalaian mereka.

“Di Indonesia sulit bagi konsumen untuk melakukan tuntutan hukum atas kebocoran data pribadi yang dikelola PSTE. Adapun konsumen atau masyarakat dalam posisi sangat lemah untuk meminta pertanggungjawaban PSTE,” ujar Pratama.

Pratama menjelaskan, sejatinya ada sanksi yang bisa dikejar konsumen sesuai Peraturan Menteri Komunikasi dan Informatika Nomor 20 Tahun 2016. Pasal 36 menyebutkan ada sejumlah sanksi administratif bagi mereka yang melanggar ketentuan berupa peringatan lisan, peringatan tertulis, penghentian sementara kegiatan, dan/atau pengumuman di situs dalam jaringan.

Dilihat dari sudut mana pun, jenis sanksi tersebut terlampau ringan jika dibandingkan risiko yang harus dihadapi oleh pengguna yang datanya sudah tercecer di mana-mana. Pratama menilai tanpa ancaman hukuman yang serius, hampir dipastikan insiden kebocoran data akan terus berulang.

“PSTE tidak ada kewajiban mengamankan dengan sebaik-baiknya karena juga tidak ada ancaman hukuman bila lalai,” imbuh Pratama.

Damar Juniarto dari Southeast Asia Freedom of Expression Network (SAFEnet) menekankan saat ini memang belum ada mekanisme yang bisa ditempuh konsumen baik secara perdata maupun pidana atas kerugian yang mereka derita. Tanpa peraturan yang betul-betul melindungi masyarakat sebagai konsumen dan warga negara, perlindungan data pribadi masih sebatas wacana.

“Selama belum ada Undang-Undang Perlindungan Data Pribadi, sulit membayangkan akan ada perbaikan,” tegas Damar.

Denda jumbo

Sudah banyak orang mendambakan RUU PDP segera disahkan menjadi peraturan resmi. Bertahun-tahun DPR selalu meminggirkan beleid ini untuk segera disahkan. Padahal keadaan di lapangan menunjukkan RUU PDP makin dibutuhkan untuk melindungi masyarakat yang kian terekspos terhadap layanan digital.

Salah satu yang disebut bisa mencegah maraknya kebocoran data adalah sistem denda yang akan dikenakan kepada PSTE. Proses penyusunan RUU PDP kerap disebut berkiblat pada GDPR (General Data Protection Regulation) milik Uni Eropa. Pemberian sanksi denda yang berat adalah salah satu karakter GDPR. Tak jarang aturan itu bisa menjerat suatu entitas yang bersalah dengan denda puluhan hingga ratusan juta euro.

Yang jadi persoalan dalam pembahasan RUU PDP selama ini belum ada kepastian apakah sistem denda dan sanksi administratif jadi fokus utama atau sistem pidana yang akan dipilih. Namun anggota Komisi I DPR RI Charles Honoris mengatakan beleid tersebut akan meninggalkan sanksi pidana untuk menghindari tumpang tindih dengan peraturan lain.

“Dalam berbagai perdebatan, ya, dan masukan yang kami terima dari beberapa stakeholder alangkah baiknya apabila aturan sanksi pidana yang sudah diatur dalam UU lain tidak lagi diatur di UU PDP,” ujar Charles seperti dikutip dari Kompas.

Contoh denda jumbo itu seperti Inggris yang menuntut Marriot membayar denda 99 juta poundsterling atau sekitar Rp1,8 triliun karena gagal melindungi data konsumen mereka yang bocor. Belum lama Inggris juga menuntut British Airways membayar denda 183 juta poundsterling atas kelalaian mereka. Pada akhirnya kedua perusahaan tadi diampuni dengan denda lebih rendah karena menghadapi kesulitan finansial akibat pandemi.

Selama pemberlakuan sanksi denda tersebut belum ada di Indonesia, banyak pihak ragu ada perubahan berarti dalam lanskap keamanan digital. Tanpa ancaman serius terhadap PSTE, insiden kebocoran data adalah sebuah keniscayaan. Lebih parah lagi hal tersebut bisa berakibat buruk terhadap kepercayaan konsumen.

Namun masyarakat sepertinya patut bersabar lebih untuk RUU PDP. Pasalnya kecil kemungkinan DPR dapat meloloskan RUU PDP di tahun ini dengan masa sidang yang tak lama lagi.

“Harapan saya di 2020 ini kita sudah bisa memiliki UU PDP. Tapi mengingat sisa masa sidang tinggal 1 bulan lagi sepertinya agak sulit direalisasikan,” ucap Charles dalam webinar dengan Lembaga Studi dan Advokasi Masyarakat (ELSAM).

Hingga saat ini tidak ada satu pun kasus kebocoran data yang diusut tuntas. Insiden Bukalapak, Tokopedia, Kredit Plus, Cermati, dan Reddoorz masih tak ada kejelasan siapa yang harus bertanggung jawab. Pertanyaan juga perlu dialamatkan ke Kemenkominfo, Otoritas Jasa Keuangan (OJK), dan Badan Siber dan Sandi Negara (BSSN) yang bertugas mengawasi dan mencari pertanggungjawaban PTSE terhadap konsumen.

Mengantisipasi dan Menyikapi Kebocoran Data

Di era yang semuanya serba digital data menjelma sebagai aset penting yang berharga bagi bisnis, termasuk juga bagi orang-orang lain yang tidak bertanggung jawab. Kebocoran data adalah musibah bagi bisnis. Selain merugikan secara operasional kebocoran data membawa dampak buruk bagi citra perusahaan secara keseluruhan, terlebih jika ada data pengguna. Tidak ada yang bisa menjamin seutuhnya keamanan sistem, untuk itu tindakan pencegahan dan tindakan menyikapi kejadian kebocoran data menjadi hal-hal yang harus disiapkan.

Sumber kebocoran data

Bak  air hujan selalu ada celah data mengalami kebocoran dari sistem-sistem yang sudah dibangun. Entah itu dikarenakan kelalaian pengguna, desain teknologi kurang baik, hingga penulisan kode program yang rentan. Banyak jalan menuju kejahatan-kejahatan yang berakibat pada kebocoran data.

Beberapa kelalaian manusia yang bisa menyebabkan kebocoran data biasanya terdapat pada pemilihan password yang lemah. Edukasi mengenai pemilihan password untuk akun-akun perusahaan dan penting ini wajib dilakukan di setiap lini bisnis. Kelalaian lainnya biasanya soal manajemen. Tentang siapa bisa akses apa dan dari mana saja. Pembatasan-pembatasan ini penting untuk memastikan data-data penting hanya diakses oleh orang-orang yang berhak.

Selanjutnya, jalur lain yang memungkinkan data-data penting bocor ada pada pemilihan teknologi, termasuk bagaimana para pengembang menuliskan kode-kode mereka. Harus diuji tidak hanya mengenai fungsionalitasnya tetapi juga mengenai seberapa aman kode yang mereka bangun.

Tetap waspada

Kebocoran data bisa menimpa siapa saja, perusahaan mana pun memiliki risiko untuk terdampak kebocoran data. Perusahaan-perusahaan besar semacam Sony dan Equifak pun pernah menjadi korban. Untuk itu tetap waspada menjadi pilihan utama untuk menghindari bisnis terdampak. Untuk itu diperlukan beberapa antisipasi di berbagai level.

Cara pertama yang bisa diambil adalah menguji dan memastikan rencana respons terhadap kejadian-kejadian yang bersifat merugikan. Seperti serangan hacking dan semacamnya. Jika rancangan penanggulangan sudah ditetapkan jangan ragu untuk memastikan rencana atau rancangan tersebut bekerja sesuai dengan semestinya. Buat simulasi atau skenario kejadian agar rencana tersebut bisa dibuktikan.

Langkah selanjutnya yang bisa dilakukan adalah dengan melakukan review  dan menindaklanjuti laporan keamanan di periode-periode sebelumnya. Lihat pola serangan yang muncul, lakukan tindakan antisipasi, sembari mendokumentasikan jenis serangan lengkap dengan sumber dan apa target. Hal tersebut bisa berguna untuk memetakan mana sistem yang rentan dan mana yang harus diprioritaskan.

Untuk memastikan sistem aman secara menyeluruh sistem-sistem yang terintegrasi dengan pihak ketiga juga harus diperhatikan, diuji, dan diawasi. Ini mencegah data bocor dari celah kolaborasi sistem yang seharusnya membawa banyak manfaat. Pilihan selanjutnya yang bisa diambil untuk langkah antisipasi adalah dengan menyiapkan asuransi untuk aset-aset digital yang ada. Termasuk data-data penting, data-data pengguna.

Yang dilakukan setelah kejadian

Selalu mengesalkan jika bisnis yang dijalankan terdampak kebocoran data. Hanya saja untuk mengantisipasi hal tersebut jangan fokus pada penyesalan dan mengutuk keadaan, gerakan tim teknis untuk mengantisipasi kebocoran meluas dan segera mengondisikan keadaan.

Bukti, jejak, atau footprint itu penting untuk bukti digital forensik. Jika ditemukan kebocoran data di server atau di salah satu komputer di dalam kantor coba amankan komputer tersebut. Rekam jejak di perangkat seperti Usb, wireless, harddisk, ram, dan lainnya bisa sangat berharga untuk mencari tersangka, atau paling tidak mengetahui sumber serangan.

Untuk mengantisipasi kebocoran data yang lebih jauh dan mencegah backdoor atau malware atau perangkat lunak “jahat” menjangkiti lebih banyak komputer mencabut koneksi ke jaringan utama bisa dilakukan. Sambil terus memantau apakah ada data-data yang hilang atau berubah.

Kebocoran Data Harus Jadi Perhatian Sejak Awal

Teknologi dalam bisnis posisinya sudah menjadi sebuah kebutuhan yang tidak bisa terlepaskan. Terlebih untuk bisnis-bisnis yang menjadikan teknologi digital sebagai tulang punggung layanannya. Bisnis seperti itu selain menghadapi risiko bisnis secara umum seperti persaingan, kerugian, dan lain sebagainya juga menghadapi tantangan yang merupakan khas dari bisnis teknologi, kebocoran data.

Kebocoran data merupakan masalah penting yang harus dipikirkan oleh CEO dan manajer seluruh bisnis yang memanfaatkan teknologi digital. Hal ini penting, tidak hanya untuk mencegah jatuhnya informasi pribadi pelanggan ke tangan yang tidak bertanggung jawab, tetapi juga sebagai sebuah pertanggungjawaban atas kepercayaan pelanggan yang memberikan datanya. Tanpa menyampingkan data internal perusahaan atau bisnis, data pribadi pelanggan ini sifatnya lebih krusial karena tidak hanya berisiko secara bisnis tetapi juga secara pribadi. Apalagi data di beberapa perusahaan sudah diberlakukan sebagai aset.

Banyak CEO perusahaan yang sudah memikirkan hal ini. Sebagian besar menilai perlindungan data dari kebocoran ini menjadi hal penting untuk ditindak lanjuti. CEO Global Velocity Greg Sullivan beropini bahwa kebocoran data tidak terus-terusan mengancam perusahaan besar. terkadang bisnis kecil yang baru dirintis juga berpotensi untuk terkena kebocoran data.

Permasalahan sering kali muncul dari sikap abai para bisnis rintisan yang menganggap remeh tentang kebocoran data ini. Semua tahu bahwa tidak semua rintisan memiliki cukup dana untuk menyewa ahli keamanan atau sebuah perangkat keamanan untuk melindungi datanya, tetapi strategi antisipasi harusnya dimiliki oleh semua bisnis, baik bisnis mapan dengan modal atau perusahaan rintisan yang masih dalam tahap berjuang.

Solusi paling sederhana dan paling mungkin efektif adalah dengan melakukan enkripsi data. Ini memang tidak mencegah data diambil dan jatuh ke tangan yang tidak bertanggung jawab, tapi enkripsi data setidaknya mencegah data terbaca dengan mudah. Usaha-usaha seperti ini yang sekiranya bisa dilakukan oleh para pelaku bisnis.

Chief Security Officer Vaco Bryant Tow menyarankan hal yang pertama untuk mengantisipasi tragedi kebocoran data adalah dengan kepekaan. Bisnis harus tahu dan sadar mereka tengah mengalami serangan, termasuk harus tahu aset mana yang harus diamankan dan dilindungi.