Kebocoran Data dan Budaya Bungkam
BOCOR, bocor, bocor!
Sudah berapa banyak data pelanggan, data penduduk, informasi data pribadi lain yang bocor di internet, bahkan diperjualbelikan di dunia nyata.
Sejak data-data pribadi mudah didapat oleh para sales, sejak itu pula data-data seseorang mudah tersebar. Lalu, bertubi-tubi dering telepon datang dari nomor antah-berantah yang masuk ke ponsel kita, ternyata penawaran kartu kredit dari bank yang Anda sendiri tak pernah menyerahkan data pribadi Anda. Kesal, bukan?
Regulasi yang ada juga belum memiliki daya kuat melindungi masyarakat yang dirugikan atas kebocoran data pribadi. Sejauh mana regulasi yang mengatur perlindungan data pribadi saat ini mampu menjamin, bahkan mengganti rugi atas yang dialami masyarakat karena penyalahgunaan informasi pribadi? Adakah masyarakat menjadi prioritas utama oleh negara atau pemilik plataform?
Di satu sisi, masyarakat juga masih abai dan belum memahami bahwa semua informasi pribadi sama sekali bersifat rahasia atau kredensial. Ini lantaran gelombang teknologi digital menyambar cepat, sedangkan bekal pengetahuan belumlah cukup.
Dulu, sebelum dunia digital merebak seperti sekarang, data pribadi seolah-olah “tak ada pentingnya”. Sebab, kala itu penipuan berbasis data pribadi masih belum masif.
Namun, di era semua orang mengenal internet, memakai ponsel pintar—dijajah oleh macam-macam aplikasi dari sosial hingga finansial yang semuanya meminta informasi data pribadi—penipuan online berbasis data pribadi bak jamur di musim hujan.
Akun online media sosial hingga aplikasi perbankan bisa dibobol hanya karena kita abai dengan informasi kredensial kita. Mungkin kita telah menerapkan perlindungan kuat, tapi ternyata data pribadi kita telah bocor di internet atau entah di mana—terlepas dari penggunaan malware—sehingga penjahat bisa menyamar sebagai diri kita, lalu menarik uang yang ada di dompet digital atau rekening bank.
Baca:
- Kondisi Indonesia: Cybersecurity Awareness Rendah, SDM Minim
- Organisasi di Indonesia Dinilai Sangat Lambat dan Tertutup Terkait Insiden Siber
Kata sandi, kode OTP, email, nomor seluler, nama ibu kandung, NIK, dan Nomor KK adalah hal-hal pribadi yang biasa kita jumpai ketika berinteraksi dengan platform sosial hingga perbankan. Data-data seperti itu jangan kita umbar atau diberikan kepada orang lain meski nomor seluler dan email tampaknya masih menjadi perdebatan apakah masuk kategori informasi pribadi atau tidak.
Dan, segala bentuk pengumpulan data pribadi oleh platform digital harus tunduk dalam syarat dan ketentuan yang ketat, setidaknya perlu persetujuan dari pemilik data.
Munculnya platform-platform online mendorong semakin banyaknya pengumpulan data pribadi. Platform online tak hanya dilakukan swasta, begitu juga dilakukan lembaga publik alias pemerintah.
Mereka seharusnya tunduk—untuk saat ini—terhadap regulasi Peraturan Pemerintah Nomor 71/20219 tentang Penyelenggaraan Sistem dan Transaksi Elektronik dan Permenkominfo Nomor 20/2016 tentang Perlindungan Data Pribadi Dalam Sistem Elektronik. Kita berharap RUU Pelindungan Data Pribadi bisa segera disahkan, inilah regulasi yang diharapkan seperti halnya GDPR di Uni Eropa.
Namun, sudahkah, seperti yang saya katakan tadi di atas, kedua regulasi itu menjadi pendukung kuat perlindungan masyarakat? Atau, menjad pemerkuat UU Perlindungan Konsumen?
Kita tengok kebocoran data Tokopedia, Bukalapak, KreditPlus, dan Bhinneka.com, dua tahun terakhir, apakah ada ganti rugi yang diperoleh oleh pelanggan atau pengguna mereka?
Adakah platform-platform itu mendapatkan sanksi seperti yang dicantumkan dalam kedua regulasi. Saya tak perlu kutipkan lagi bagaimana pasal-pasal yang mengaturnya, Anda bisa baca sendiri. Dan, sebarkan regulasi itu ke siapa saja, biar kita semua melek hukum, terutama tentang perlindungan data pribadi.
Alasan platform digital ketika terjadi masalah kebocoran data, selalu dan selalu bilang: kami juga korban? Lantas, pengguna atau pelanggan platform Anda akan diposisikan sebagai apa?
Ketika pemilik platform digital, notabene, mengumpulkan data pribadi tak mampu melindungi data pribadi pelanggan, artinya platform digital memang menganggap rendah pelanggan—dipandang sebagai alat eksploitasi demi keuntungan bisnis semata.
Baca:
- Sembarangan Kumpulkan Data Pribadi, China Beri Waktu 15 Hari untuk 105 Aplikasi
- Terkait Dugaan Kebocoran Data Pribadi, Mungkinkah BPJS Kesehatan Didenda?
Mudahnya, para pemilik platform itu hanya manis di muka, masam di belakang. Di muka begitu masif, merayu dengan segala cara, untuk mengajak menggunakan platform digitalnya: “Ayo pakai platform kami, ada kemudahan transkasi dan segala macamnya!”Namun, itu semua tak dibarengi dengan tanggung jawab pemilik platform ketika data pribadi pelanggan bocor atau dibocorkan.
Insiden kebocoran data selama dua tahun terakhir tak pernah membukakan mata negara dan swasta. Bahkan, negara pun tak pernah hadir di kala seperti itu terjadi. Pemerintah dan swasta selalu berbicara jagalah data pribadi Anda—sudah berapa banyak kampanye literasi digital yang dilakukan, tapi begitu ada kejadian kebocoran data, ngumpet, tak seperti ketika menarik atau mengajak pengguna memakai platform digitalnya. Naif!
Baru-baru ini, kita digegerkan dengan dugaan 297 juta data peserta BPJS Kesehatan telah dijual di forum jual beli data, RaidForums. Sampel data pun menunjukkan kemiripan. Juru Bicara Badan Siber dan Sandi Negara Anton Setiawan kepada saya mengatakan tim analisisnya telah bekerja menyelidiki kebocoran data itu, bahkan mencurigai tiga server BPJS Kesehatan terpengaruh oleh peretasan.
Jawaban diplomatis
Dalam kasus ini, kita bisa melihat cara berbicara atau komunikasi publik negara kepada masyarakat. Sejauh ini, tak pernah ada yang mengakui apa benar terjadi peretasan? Direksi BPJS Kesehatan hanya mengatakan “kemungkinan ada peretasan.” Sebuah jawaban yang diplomatis—selalu begitulah gaya bicara pemerintah dari masa ke masa.
Memang boleh beranggapan soal kemungkinan, tapi bicara penyusupan artinya melacak jejak: ada atau tidak? Boleh jadi, ada sebagian peretas yang selalu sulit terdeteksi karena tidak meninggalkan jejak. Maka, di sinilah forensik digital diperlukan. Catatan (log) aktivitas ke server bisa menjadi petunjuk: adakah si penyusup?
Belum selesai BPJS Kesehatan, muncul data pribadi (NIK dan KK) warga justru diumbar di portal Open Data milik Pemkab Magelang. Data sama sekali telanjang tanpa enkripsi. Ini bentuk keterbukaan informasi yang serampangan, menunjukkan masih rendahnya komitmen perlindungan data pribadi di tingkat daerah, terutama kantor-kantor pemerintah. (Baca: NIK dan KK Penduduk Kabupaten Magelang Diumbar di Portal Open Data)
Berbarengan dengan itu, muncul penjualan data pribadi penduduk—sedikitnya 8,7 juta data pribadi—di RaidForums. Data pribadi itu berasal dari empat daerah yaitu, Pemkab Malang, Subang, Bekasi, dan Pemkot Bogor.
Penjual data dengan nama akun GadiZ bilang kepada saya bahwa semua data yang ditawarkan itu berasal dari kantor Dinas Kependudukan dan Catatan Sipil setempat. Ia bilang sangat mudah membobol server mereka karena keamanan yang buruk.
Pemkab Malang tak pernah mengakui bahwa layanan online adminduk-nya (Si Peduli) diretas. Pekan lalu, Plt Kepala Dinas Dukcapil Sirath Aziez mengatakan selama ini tak pernah mendapati server milik Dukcapil diretas. Namun, sehari setelah saya berkontak dengannya, ternyata mereka sudah melaporkan ke Ditjen Kependudukan dan Catatan Sipil Kemendagri. (Baca: Empat Server Dinas Dukcapil Daerah Disusupi Peretas, Data Penduduk Ditawarkan di RaidForums)
Sumber saya yang mengetahui masalah itu membenarkan bahwa Si Peduli diakses oleh peretas jahat. Kepala Dinas Kominfo Kabupaten Malang, Anis Waty, juga menegaskan hal itu. Karena sudah ada penanganan dari Ditjen Dukcapil Kemendagri, kata dia, jadi tidak ada yang perlu disampaikan lagi kepada publik. Ia tampaknya menganggap masalah sudah selesai. Padahal tidak sampai di situ.
Mari kita belajar dari peretasan yang terjadi di luar negeri, tentu saja, bukan dari Timor Leste atau Zimbabwe. Kita belajar dari bagaimana Amerika Serikat dan Eropa menangani sebuah peretasan.
Kita ambil contoh saja kasus Colonial Pipeline dan JBS. Colonial Pipeline adalah penyalur atau operator pipa bahan bakar terbesar di Pantai Timur AS, sedangkan JBS adalah produsen daging terbesar di dunia asal Brasil yang beroperasi di Amerika Utara dan Australia.
Ketika terjadi insiden siber Colonial Pipeline dan JBS langsung mengumumkan ke publik di situs webnya, bahwa telah terjadi peretasan. Pemerintah AS pun terbuka mengatakan mereka terkena ransomware. Terlepas dari kepentingan politik, pemerintah menyebut insiden itu ulah dari geng peretas ransomware Rusia.
Ada keterbukaan dan pengakuan dari perusahaan kepada publik, lebih-lebih kepada pelanggannya. Apalagi keduanya adalah perusahaan yang menjalankan rantai pasokan yang tentu bisa berefek luas jika hanya bungkam saja.
Dalam beberapa kasus insiden siber di negara-negara tersebut, selalu ada lini masa pemberitahuan kepada publik tentang pelaksanaan pemulihan. Begitu pula dengan Microsoft ketika perangkat lunak emailnya, Exchange Server terkena serangan siber, mereka langsung meneliti dan mengungkapkan hasil temuannya. Mereka meminta para penggunanya segera menginstal pembaruan keamanan agar tak menjadi korban berikutnya—meski Anda yang tinggal di Subang, Jawa Barat, misalnya, tak menjadi korban, itulah tanggung jawab pemilik platform memberitahukan bahwa seluruh pelanggan harus mengamankan diri.
Belajarlah ke Volue
Atau, contohlah Volue. Perusahaan Norwegia ini dikenal sebagai penyedia layanan IoT untuk industri, analis data dan pasar, perangkat lunak konstruksi, dan lain-lain. Memiliki pelanggan di 44 negara, khususnya di Eropa.
Pada 5 Mei lalu, mereka terkena ransomware. Mereka merilis insiden, alih-alih menutup diri. Informasi perkembangan penanganan disajikan terbuka sejak pertama insiden hingga terakhir 17 Mei.
Penjelasan yang diberikan Volue terbilang detail dibandingkan dengan perusahaan-perusahaan lain ketika menjadi korban insiden siber.
Volue bersikap transparan tentang serangan siber dengan menyediakan siaran berbasis web, pembaruan harian, dan alamat email serta nomor telepon CEO dan CFO mereka untuk pertanyaan tentang serangan tersebut, tulis BleepingComputer pada 18 Mei lalu.
Yang paling menarik, ialah perusahaan menyatakan telah membagikan semua indikator peretasan (IOC) dengan KraftCert, tim tanggap darurat komputer (CERT) Norwegia, guna memberitahu perusahaan lain dan penegak hukum.
Sikap terbuka tersebut mendapat respons positif dari kalangan profesional keamanan siber. Bahkan, langkah tersebut dibandingkan dengan Norsk Hydro, perusahaan Norwegia lain yang juga diapresiasi atas cara mereka menangani serangan ransomware LockerGoga pada 2019.
Selama ini, sampel atau catatan malware selalu terungkap setelah beberapa hari insiden siber, dan itu pun ketika peretas mempublikasikan data yang dicurinya. Namun, Volue memilih membeberkan apa yang sedang terjadi sebenarnya.
Dengan tidak transparan sejak awal, justru akan memperburuk masalah. Karena karyawan, pelanggan, dan mitra bisnis bisa menanggung kerugian karena tidak ada peringatan sama sekali. Ini pula yang pernah dialami mitra bisnis Pertamina ketika perusahaan migas Indonesia itu diduga terkena serangan siber. Ini lantaran Pertamina tak memberitahukan apa-apa bahwa sistem elektroniknya yang dipakai mitra bisnis sedang mengalami masalah.
Baca:
- Dugaan Peretasan Pertamina: Pengusaha Ini Mengaku Rugi Puluhan Juta Per Hari, Pertamina Membisu
- Peneliti TrendMicro Beberkan Catatan Tebusan Hacker RansomEXX yang Diduga Serang Pertamina
Hal semacam itu masih banyak dijumpai di level pemerintah baik pusat hingga daerah di Indonesia, begitu pula dengan swasta. Mereka masih memiliki budaya bungkam. Diam-diam mengakui adanya kesalahan, diam-diam memperbaikinya, sehingga seolah-olah tak pernah ada masalah. Padahal, ada pertanggungjawaban hukum dan moral mereka kepada publik.
Apalagi menyangkut kebocoran data bisa berimpilikasi luas terhadap pemilik data. Mau sampai kapan entitas publik dan swasta kita bungkam ketika terjadi insiden siber, terutama kebocoran data? Apakah menunggu kerugian besar terjadi?[]
Penulis adalah wartawan Cyberthreat.id. Tulisan di atas ialah opini pribadi.