PENJUALAN DATA PRIBADI

Insiden Siber BRI Life: Buang Sikap Egoistis

Ilustrasi | Foto: freepik.com

PEKAN LALU, publik dunia maya Indonesia dikejutkan dengan 2 juta data nasabah PT Asuransi BRI Life (BRI Life) yang dijual oleh broker data di forum jual beli data. (Baca: Yang Perlu Diketahui Seputar Peretasan Sistem BRI Life)

BRI Life mengklaim sistem elektronik BRI Life Syariah telah diretas oleh penjahat siber. Data nasabah yang terkena dampak diklaim hanya 25.000 pemegang polis. (Baca: Hasil Investigasi Temukan Peretasan di Sistem BRI Life Syariah)

Kasus yang dialami BRI Life menambah deretan kasus serupa sebelumnya yang dialami BPJS Kesehatan, Tokopedia, Bukalapak, KreditPlus, dan Bhinneka.

Kasus pelanggaran data (data breach) seringkali disamakan dengan kebocoran data (data leak). Padahal, secara definisi, keduanya berbeda. Data breach terjadi ketika sistem elektronik sebuah organisasi tersebut sengaja ditarget dan diserang oleh peretas.

Sementara, data leak terjadi bukan karena serangan sengaja peretas. Ini bisa terjadi lantaran seseorang kebetulan menemukan kelemahan di sebuah sistem elektronik yang mengelola data pribadi.

Atau, “Perusahaan mengelola informasi dengan cara buruk, akhirnya diretas karena praktik keamanan yang tidak baik. Kebocoran data juga bisa disebabkan oleh kecelakaan, yang akhirnya berujung pada peretasan,” tutur F-Secure, perusahaan keamanan siber AS, di blog perusahaan.

Meningkatnya pelanggaran data karena “bisnis data sangat menguntungkan”. Data pribadi menjadi sumber pendapatan hingga jutaan dolar. Maka, seringkali terdengar ungkapan data is the new oil.

Menyikapi kasus BRI Life perlu juga ada penelusuran lebih lanjut bagaimana sebenarnya terjadi. Audit forensik digital perlu dilakukan untuk memeriksa apakah memang ada kerentanan pada sistem elektronik BRI Life.

Yang lebih penting lagi, setelah BRI Life mengakui adanya peretasan ke sistem BRI Life Syariah, perusahaan juga perlu memberitahukan pembaruan (update) informasi terkait hal ini.

Setidaknya, BRI Life, sebagai anak perusahaan bank negara (BRI), perlu memberikan teladan ketika mengalami insiden siber. Demi membudayakan keterbukaan informasi serangan siber, perusahaan perlu memberikan halaman situs web khusus tentang sejauh mana proses investigasi insiden siber itu dilakukan.

Contohlah Volue

Atau, contohlah Volue. Perusahaan Norwegia ini dikenal sebagai penyedia layanan IoT untuk industri, analis data dan pasar, perangkat lunak konstruksi, dan lain-lain. Memiliki pelanggan di 44 negara, khususnya di Eropa.

Pada 5 Mei lalu, mereka terkena ransomware. Mereka merilis insiden, alih-alih menutup diri. Informasi perkembangan penanganan disajikan terbuka sejak pertama insiden hingga terakhir 17 Mei.

Penjelasan yang diberikan Volue terbilang detail dibandingkan dengan perusahaan-perusahaan lain ketika menjadi korban insiden siber.

Volue bersikap transparan tentang serangan siber dengan menyediakan siaran berbasis web, pembaruan harian, dan alamat email serta nomor telepon CEO dan CFO mereka untuk pertanyaan tentang serangan tersebut, tulis BleepingComputer pada 18 Mei lalu.

Yang paling menarik, ialah perusahaan menyatakan telah membagikan semua indikator peretasan (IOC) dengan KraftCert, tim tanggap darurat komputer (CERT) Norwegia, guna memberitahu perusahaan lain dan penegak hukum.

Sikap terbuka tersebut mendapat respons positif dari kalangan profesional keamanan siber. Bahkan, langkah tersebut dibandingkan dengan Norsk Hydro, perusahaan Norwegia lain yang juga diapresiasi atas cara mereka menangani serangan ransomware LockerGoga pada 2019.

Selama ini, sampel atau catatan malware selalu terungkap setelah beberapa hari insiden siber, dan itu pun ketika peretas mempublikasikan data yang dicurinya. Namun, Volue memilih membeberkan apa yang sedang terjadi sebenarnya.

Seterbuka apa BSSN dan Kominfo?

Selama ini baik Badan Siber dan Sandi Negara maupun Kementerian Kominfo tak pernah melakukan keterbukaan penanganan insiden siber. Lebih baik ditutupi, daripada dibuka ke publik—barangkali kredo ini yang cenderung diterapkan.

 Alasannya selalu sama saja: reputasi dan rahasia negara/perusahaan. Apakah Anda pernah mendengar bagaimana hasil akhir investigasi terkait 91 juta data pengguna Tokopedia? Yang keluar dari jawaban pemerintah terkait kasus ini ialah investigasi sudah selesai dan Tokopedia telah diberi teguran dan rekomendasi, tapi tak pernah jelas seperti apa teguran dan rekomendasi itu, lalu bagaimana nasib konsumen yang datanya telah bocor? Di mana peran negara melindungi nasih warganya? (Baca: Kominfo Pastikan Investigasi Kebocoran Data Pengguna Tokopedia Rampung, Apa Sanksinya?)

Senyap.

Belum pernah dalam sejarah keamanan siber di Indonesia yang mau terbuka dan memberikan hasil investigasi ke publik—padahal hasil investigasi ini bisa menjadi bahan penelitian bagi periset keamanan siber, seperti pola serangan, tipikal peretas, jenis kerentanan dan lain-lain.

Riset keamanan siber diperlukan karena di Indonesia, arsip-arsip tentang riset ini sungguh tak tersentuh publik. Mungkin memang ada arsip riset tersebut, tapi tampaknya itu hanya untuk “kepentingan negara/perusahaan” dengan alasan “rahasia negara/perusahaan”, maka tidak dipublikasikan. Alasan sebagai rahasia negara/perusahaan sungguh tak masuk di akal saya, sementara data pribadi warganya saja dibiarkan bocor di dunia maya atau mudahnya dibobol peretas. Pendek kata, Anda saja tak becus kelola keamanan data, kok audit investigasi saja enggak terbuka dengan alasan rahasia negara/perusahaan.

Kembali ke kasus BRI Life, maka perusahaan juga harus berani mengatakan, apakah yang dialami perusahaan tersebut data breach atau data leak? Memang ini akan menjadi perdebatan: apa pentingnya pengakuan yang penting kasus tertangani sehingga kerentanan tak dieksploitasi lagi.

Argumen semacam itu memang positif, tapi bisa melenakan, sebab kasus keduanya sama-sama menunjukkan kelemahan protokol keamanan siber yang diterapkan perusahaan. “Tapi kan kami diserang” atau “Kami kan korban”—jika dua pernyataan argumen ini yang dikemukakan ke publik, justru semakin memperlihatkan keegoisan perusahaan. Mereka egois tidak ingin disalahkan, lalu mengkambinghitamkan peretas. Sementara, penyerang sendiri sebetulnya tidak akan bisa menembus sistem elektroniknya jika tidak ada celah keamanan, bukan?

Jika argumen egoistis itu dikemukakan, lalu konsumen atau warga yang datanya terkena dampak harus bagaimana? Pasrah?

Setidaknya ketika ada pengakuan akan memudahkan publik menilai tingkat keseriusan perusahaan mengelola data pribadi konsumen.

Selanjutnya, bagaimana konsekuensi perusahaan untuk korban yang datanya telah bocor? Ini yang perlu dibahas lebih lanjut. Apakah ada kompensasi dari perusahaan? Denda, mungkin? Lalu, denda ini mau diserahkan ke mana?

Data pribadi yang lengkap mencakup KTP dan KK sangat rawan disalahgunakan, salah satunya, bisa saja dipakai untuk melakukan kredit atau pinjaman ke aplikasi pinjaman online. Mereka pemilik perusahaan atau direksi bisa saja santai-santai, seolah-olah tak ada masalah dan tak pernah merasakan bagaimana ruwet dan ngerinya warga yang diteror debt collector dari layanan pinjol—maka ketika adanya penjualan data nasabah/konsumen seharusnya mereka memiliki empati yang besar.

Dalam kasus-kasus pelanggaran data di luar negeri, terutama Uni Eropa dan AS yang telah memiliki regulasi perlindungan data pribadi yang kuat, perusahaan yang terkena insiden siber, biasanya menawarkan pemantauan kredit secara gratis. Ini saya kira perlu dicontoh.

Dalam hal lain, apakah bisa korban meminta ganti rugi. Saya pikir tak ada salahnya para konsumen yang menjadi korban mengajukan gugatan ke pengadilan. Memang ini butuh waktu dan biaya yang tak sedikit, butuh dukungan publik dan lembaga bantuan hukum yang pro bono.[]

Penulis adalah wartawan Cyberhreat.id. Artikel di atas adalah pendapat pribadi penulis.