idNSA.id – Baru-baru ini, tepatnya pada tanggal 20 Mei 2021 telah viral kebocoran data yang luar biasa, yaitu bocornya data 279 juta penduduk Indonesia. Informasi bocornya data ini bersumber dari postingan status yang diunggah oleh seseorang yang bernama Kotz di forum dunia maya Raid Forums, Kotz juga menyertakan contoh sebanyak 1 juta data yang dapat diunduh gratis. Contoh data dengan jumlah tersebut, membuat kita dapat dengan mudah menentukan benar atau tidaknya data tersebut.
Berdasarkan Press Release yang dipublikasikan oleh CSIRT.ID, kerugian karena kebocoran 279 juta penduduk Indonesia ini adalah lebih dari 600 trilyun rupiah!!. Ini Berdasarkan hitungan besarnya kerugian karena kebocoran data yang biasa digunakan oleh Lembaga riset Ponemon-IBM.
Pada pelaksanaan sensus penduduk di Istana negara 24 Januari 2020, Presiden Jokowi mengatakan : "Data ini adalah jenis kekayaan baru. Saat ini data adalah new oil, bahkan lebih berharga dari minyak. Data yang valid menjadi salah satu kunci pembangunan,". Dengan pernyataan tersebut dan jika melihat kondisi kebocoran data yang sedang terjadi, ini merupakan kerugian yang sangat besar bagi negara.
Pemerintah harus segera mengambil tindakan terbaik untuk menghadapi kondisi kebocoran data ini, sebelum keadaan menjadi lebih buruk dengan penyalahgunaan data. Kasus-kasus penyalahgunaan data yang dapat ditimbulkan, misalnya peretasan nomor kontak pribadi dan akun media sosial secara masif, pembuatan akun-akun baru yang para pemiliknya tidak pernah merasa membuat, penggunaan data pribadi untuk keuntungan finansial seperti pinjaman online, kemungkinan terganggunya atau terhentinya program-program pemerintah yang sedang berjalan karena tersebarnya data pribadi secara massif, misalnya program transformasi digital yang direncanakan oleh Kementrian Kominfo, hingga hilangnya kepercayaan masyarakat dan yang lainnya.
Dalam mengatasi dampak segera dari kejadian ini dan terhindar dari kejadian serupa di masa mendatang, dapat dilakukan langka-langkah berikut ini. Direkomendasikan berdasarkan Press Release CSIRT.ID
Melakukan langkah penanganan yang sifatnya segera dan untuk jangka pendek :
1) Melakukan tindakan perlindungan lebih lanjut terkait bukti-bukti yang mungkin bisa digunakan untuk investigasi, seperti perlindungan terhadap catatan-catatan log, kontrol akses, personal yang mengoperasikan dsb.
2) Melakukan kordinasi internal dengan lembaga terkait dan memberikan peran serta kepemimpinan kepada lembaga yang kompeten untuk penanganan insiden siber, dalam hal ini kepada BSSN (Badan Siber dan Sandi Negara) untuk penanganan insiden (investigasi, analisa dampak serta pemulihan) dan kepada Kementrian Kominfo terkait peran kerangka hukum dan legal.
3) Segera memikirkan solusi alternatif penggunaan data pribadi penting dalam bentuk lain yang bisa segera diimplementasikan. Contoh untuk solusi ini adalah penggunaan digital ID seperti yang sudah dijalankan secara parsial di u.id atau Privy.id. Hal ini dilakukan dengan pertimbangan bahwa kemungkinan kebocoran data ini terjadi jauh jauh hari bahkan dalam hitungan bisa lebih dari 5-6 bulan sebelum diumumkan di raid forums.
4) Meminta pertanggung jawaban para pengelola data yang bocor ini dan menggantinya dengan yang lebih kompeten.
5) Segera memberikan pengumuman atau laporan kepada para pemilik data terkait kondisi terkini, langkah langkah investigasi yang diambil dan konsekwensi yang akan diberikan sebagai bentuk pertanggung jawaban dan untuk menjaga tingkat kepercayaan masyarakat.
6) Segera mengambil langkah langkah pencegahan terkait ancaman karena eksploitasi lanjutan penggunaan data pribadi yang sudah tersebar.
Memperkuat faktor-faktor dalam lima aspek berikut untuk penguatan ke depan :
1) Aspek Teknis: Perbaikan sistem dan kemampuan teknis dalam proteksi, monitoring dan penanganan insiden, seperti kemampuan mencari sumber kebocoran, kemampuan mengaudit sistem secara berkala, kemampuan melakukan pemulihan insiden dan sebagainya.
2) Aspek Hukum: Perbaikan dalam kerangka legal dan penegakan hukum, peraturan dan investigasi untuk menjaga data pribadi.
3) Aspek Manajemen: Perbaikan dalam proses bisnis, policy, prosedur, kordinasi, komunikasi dan pengelolaan resiko.
4) Aspek Bisnis: Penguatan sistem yang menjamin hak masyarakat pengguna sistem elektronik, dan berjalannya layanan proses bisnis secara kontinyu dan normal.
5) Aspek Sosial: Perbaikan Edukasi dan Sosialisasi publik sehingga dapat membantuk memperkuat sistem keamanan data sampai tingkat end-user.
Pelajaran yang dapat diambil dari peristiwa kebocoran data dengan jumlah besar berdasarkan Press Conference CSIRT.ID adalah sebagai berikut:
1) Lemahnya tatakelola keamanan data: Pemerintah dan para penyelenggara sistem elektronik yang menangani data-data yang kritikal dan penting belum cukup sadar dan belum memberikan perhatian penuh bagaimana data-data penting yang lebih mahal dari minyak ini dapat dikelola dengan standar keamanan yang tinggi.
2) Lemahnya sistem proteksi dan monitoring data: Kejadian kebocoran data yang sudah berlangsung berkali-kali menunjukkan masih lemahnya sistem monitoring dan mekanisme proteksi terhadap pengamanan data, baik pada tingkat pemilik data (data owner) maupun pengelola data (data processor). Permasalahan ini ditambah juga masih lemahnya pada sisi audit keamanan informasi dan juga vulnerability assessment yang semestinya dapat mencegah potensi kebocoran data agar dapat diantisipasi sedini mungkin.
3) Lemahnya kemampuan penanganan Insiden: Lambatnya investigasi dan mitigasi terhadap insiden kebocoran data yang sangat masif ini menunjukkan masih lemahnya kemampuan penanganan insiden dan koordinasi antar lembaga yang terkait. Apalagi kalau dilihat dari skala kritikalitas dan dampak insiden yang bersifat nasional dan sangat luar biasa.
4) Lemahnya sanksi hukum: Beberapa kejadian kebocoran data yang terjadi saat ini terkesan masih lemahnya dari sisi sanksi hukum dan tidak adanya efek jera terhadap Lembaga atau organisasi yang telah diberi kepercayaan untuk mengelola data-data penting. Sense of urgency terhadap kehadiran UU Perlindungan Data Pribadi sudah sangat diperlukan dan harus mendapatkan perhatian serius dari Pemerintah dan DPR.
