Seberapa Aman Data Kita Dilindungi di Indonesia

SEBERAPA AMAN DATA KITA DILINDUNGI DI INDONESIA

Perkembangan teknologi yang pesat selalu dibarengi dengan sisi gelap dunia siber. Jika penggunaan teknologi digital tidak dibarengi dengan literasi digital yang baik, maka banyak resiko yang harus dihadapi. Yang paling umum terjadi yakni kebocoran data pribadi yang dapat menjadi sumber dari panjangnya daftar kejahatan siber. 

Daftar Panjang Kasus Kebocoran Data

Sempat gempar di tahun lalu, 91 juta data Tokopedia Bocor, pelaku menjual data di darkweb berupa user ID, email, nama lengkap, tanggal lahir, jenis kelamin, nomor ponsel, dan password. Semua dijual dengan harga US$ 5.000 atau sekitar Rp 74 juta. 

Masih di tahun 2020, kita tentu ingat insiden zoombombing  Wakil Presiden RI. Tepatnya di akhir Juni 2020, webinar di Zoom yang dihadiri oleh Wakil Presiden Ma’ruf Amin diduga diretas. Saat Wapres berbicaa, tiba-tiba tampilan layar Ma’ruf Amin penuh dengan  coretan. Aksi peretasan tersebut terjadi di hadapan ribuan orang yang menjadi peserta webinar. 

Pada Agustus 2020, terjadi kasus peretasan situs berita Tempo.co dan Tirto. Pemimpin Redaksi (Pemred) Tempo.co saat itu memberi keterangan, “Muncul warna hitam dan muncul lagu Gugur Bunga, di dalamnya ada pesan-pesan yang terkait dengan stop hoax, jangan bohongi rakyat Indonesia, kembali ke etika jurnalistik yang benar, patuhi Dewan Pers. Jangan berdasarkan orang yang bayar saja. Itu sampai jam 1 kurang sepuluh,” katanya.  

Dan yang terbaru, masih lekat diingatan kita kasus kebocoran 279 data pribadi masyarakat Indonesia pada awal Juni lalu. Kebocoran ini berasal dari data BPJS yang diduga dijual ke forum peretas Raid Forum pada 12 Mei 2021. Menurut Laporan Indonesia Cyber Security independent Resilience Team (CISRT) insiden ini mengakibatkan Indonesia mengalami kerugian materil mencapai Rp 600 triliun. 

Kini, isu kebocoran data kembali menyeruak. Kali ini muncul dugaan data KTP  dengan potret diri (selfie) bocor dan diperjualbelikan di media sosial. Badan Reserse Kriminal (Bareskrim) polri tengah menyelidiki isu ini. namun belum dapat dijelaskan secara rinci mengenai kebenaran isu tersebut. 

Sistem Keamanan Indonesia 

Badan Siber dan Sandi Negara (BSSN) menyatakan keamanan siber di Indonesia pada 2020 membaik. Indonesia duduk di peringkat ke 21 dari 76 negara. Pun demikian BSSN juga memaparkan bahwa kasus kebocoran data akibat Malware Information Stealer sepanjang tahun 2020 mencapai 79.439 kasus. Target pencurian informasi terbesar berada di sektor pemerintahan sebanyak 40%, disusul oleh sektor keuangan sebesar 27%, dan sektor telekomunikasi sebesar 15%. Selanjutnya sektor penegakan hukum 9%, transportasi 8%, dan BUMN lainnya 1%. 

Berdasarkan hasil monitoring keamanan siber BSSN tahun 2020, informasi yang dicuri umumnya berupa username dan password yang berkaitan. Informasi tersebut sebagian besar masih valid dan dapat digunakan untuk mengakses sistem elektronik pada sektor yang terdampak. 

Berdasarkan laporan data keamanan siber dari compritech.com, hingga 24 Maret 2021, Indonesia menjadi salah satu dari 20 negara yang keamanan sibernya paling buruk. 

Pratama persadha, Chairman Lembaga Riset Keamanan Siber (CISSReC), mengatakan, bahwa Cyber Security Index menetapkan Indonesia dalam peringkat ke 40 keamanan siber. Menurutnya peringkat 40 sebenarnya berada pada ranking yang sedang-sedang saja, namun dalam persoalan keamanan siber, hal tersebut bukanlah produk akhir.

“Artinya ketika membeli satu server yang paling mutakhir, sistem operasi paling baru sekalipun, bukan berate cukup. Bisa jadi saat ini kuat, besok tidak kuat. Seperti kita sakit, saat ini flu, besok sembuh. Tapi bukan berarti tidak bisa kena flu lagi kan? Sama seperti ini, sistem keamanan itu  adalah pekerjaan yang dilakukan secara terus menerus, tidak bisa  hanya bilang sekarang aman, lalu tidak ada yang perlu dilakukan lagi. Ini seperti polisi dan penjahat, kejar-kejaran terus,”  ujarnya dalam diskusi Bersama radio Sonora, beberapa waktu lalu.

Dari data paparan publikasi hasil monitoring keamanan siber tahun 2020, BSSN mendeteksi adanya kasus siber kriminal Email Phising sebanyak 2.549. 55,63% dilakukan pada siang hari atau jam kerja. Email Phising adalah usaha untuk mendapatkan informasi penting dan rahasia secara tidak sah, seperti User ID, Password, PIN, informasi rekening bank, informasi kartu kredit, dsb. Dari data kasus Phising tersebut, 66% target Email Phising adalah email grup, 15 % email pribadi, dan 19% lainnya tidak terdeteksi. 

Baca juga:

Sementara di tahun yang sama ada 9.749 Kasus Web Defacement. Yakni Tindakan mengubah tampilan halaman utama sebuah website. Korban peretasan ini paling dominan dialami oleh situs Pendidikan tinggi atau akademik, sebanyak 35%, situs pemerintah daerah sebanyak 32%, dan situs swasta 21%. Tindak pretasan ini juga dominan dilakukan pada hari kerja.

Kasus data breach di Indonesia  atau kebocoran data  pribadi, menjadi komoditas target pencurian. Kecendrungannya akan sama di tahun 2021. Yang harus dicermati dari kasus ini adalah  sejumlah kasus kebocoran data  terjadi karena kesalahan konfigurasi/ kerentanan yang ada inhern dalam aplikasi. Misalnya ada informasi sensitif yang dapat diakses secara langsung, karena kesalahan direktori. Ada juga kasus kebocoran data karena backup data yang dilakukan admin sebuah aplikasi disimpan dalam public  directori, atau diakses secara publik sehingga pihak manapun yang tidak terotentifikasi dapat mengunduh data tersebut. Terakhir, cukup melegakan, password yang terdampak pada kasus kebocoran data umumnya telah diproteksi dengan algoritma hence tertentu sehingga membuat peretas ini sulit menemukan data password pengguna. 

KASUS KEBOCORAN DATA LAYANAN ELEKTRONIK

Mei, Tokopedia, 91 juta data

Nov, Red Doorz 5,8 juta data

Nov, Cermati 2,9 juta data

Jul, Kredit Plus, 890 ribu data

Secara  mandiri masyrakat bisa mengamankan data pribadi dengan upaya mengganti password secara berkala, tidak mengklik tautan link sembarangan, tidak memberitahu kode rahasia atau password, dsb. Namun  Jika kebocoran data bersumber dari suatu aplikasi atau layanan elektronik  atau institusi pemerintah seperti banyak kasus yang terjadi di Indonesia, maka masyarakat sulit untuk melakukan pencegahan mandiri. Pratama Persadha mengatakan, yang kebanyakan terjadi saat suatu institusi atau layanan elektronik mengalami kebocoran data, maka pihak tersebut juga merasa sebagai korban, padahal pihak pihak tersebut yang mengumpulkan data masyarakat memiliki kewajiban melindungi data data yang sudah mereka koleksi. Hal ini dikarena Indonesia masih belum memiliki Undang-undang perlindungan data pribadi.

“Sampai saat ini tidak ada sanksi yang bisa menjerat lembaga-lembaga yang membocorkan data masyarakat indonesia. Karena kita tidak ada UU nya. Harusnya ada UU perlindungan data pribadi. Akhirnya instusi yang megalami kebocoran data itu juga (merasa) menjadi korban. Padahal nggak dong, seharusnya (insitusi) sebagai pelaku juga karena mereka mengkoleksi data masyarakat,” kata Pratama.

Apa yang dapat terjadi jika data bocor?

Ada beberapa kemungkinan bahaya yang harus kita waspadai dan dapat menjadi indikasi bahwa data pribadi kita telah bocor ke pihak-pihak lain. Diantaranya: 

• Telemarketing. Jika kita sering mendapat penawaran sebuah produk atau jasa melalui telepon atau email , terlebih jika pihak yang menawarkan jasa/barang tersebut sudah mengetahui nama lengkap kita. Maka bisa jadi nomor telepon kita sudah bocor ke pihak pihak lain. Seperti misalnya penawaran kartu kredit, penawaran pinjaman online, iklan, dsb. Inilah yang paling sering terjadi di masyarakat.
• Phising Scamming atau usaha untuk melakukan penipuan dengan mengiming-imingi korban hadiah besar. Biasanya Pelaku akan menyebutkan data data korban seperti nama, alamat, umur, atau user ID dalam suatu layanan elektronika milik korban, sehingga membuat korban lebih percaya dan terjerat. 
• Pencurian uang digital sangat memungkinkan terjadi jika data-data korban sudah dicuri dari sebuah layanan dompet  digital, atau akun e-commerce. 
• Dalam kasus yang lebih serius, bisa terjadi pengalihan rekening bank. 
• Jika data foto KTP dan foto selfie  yang berhasil  dicuri, maka dapat dijadikan data untuk mengajukan pinjaman online (pinjol), terutama pinjol ilegal yang kini marak beredar. Mengingat syarat pengajuan pinjol ilegal cukup mudah.

BSSN, dalam paparan publikasi hasil monitoring keamanan siber tahun 2020, memaparkan beberapa hal yang membuat suatu informasi dapat dicuri dengan mudah. 

1. Pengguna tidak menyadari perangkatnya telah terinfeksi malware pencuri informasi
2. Pengguna jarang mengganti password secara berkala
3. Pengguna menggunakan password yang sama untuk beberapa layanan sistem elektronik 
4. Pengguna tidak memiliki end point protection pada perangkatnya untuk mendeteksi adanya malware

Beberapa Upaya Ini Bisa Kita Lakukan

Ada beberapa upaya mandiri yang dapat kita lakukan untuk menghindari data pribadi kita dicuri. Yang paling mudah menurut ketua CISSReC, Pratama Persadha adalah mengubah password akun secara berkala, jangan gunakan password yang sama untuk akun yang berbeda, hindari mengklik tautan link yang disebarkan melalui pesan sms atau aplikasi percakapan.  Sementara sebagai upaya menghindari pencurian foto ktp dan foto selfie, Alfons Tanujaya, Pakar Keamanan Cyber, seperti dilansir dalam CNN Indonesia menyarankan agar setiap kali kita melakukan verifikasi foto selfie untuk layanan elektronik tertentu, usahakan memakai baju bermotif agar sulit diedit. Pastikan juga untuk memakai baju yang berbeda-beda untuk tiap verifikasi foto selfie di akun yang berbeda-beda. 

Namun seperti halnya Pratama Persada, Peneliti Keamanan Siber, Teguh Aprianto dalam Diskusi Publik Perlindungan Konsumen “Ratusan Juta Data Pengguna Media Sosial di Jebol’ di kanal Youtube BPKN-RI beberapa waktu lalu, juga mengatakan jika kebocoran data berasal dari situs institusi pemerintah atau situs situs layanan elektronik lain, sesungguhnya tidak ada yang bisa kita lakukan sebagai konsumen.

Maka hal tersebut seharusnya dapat  menjadi dasar kuat penyusunan Undang-Undang  Perlindungan Data Pribadi harus disegerakan.

Rani R, Jakarta