SOAL pelindungan data pribadi sudah saatnya Indonesia masuk kelompok negara paling tidak aman di dunia. Berulang kali terjadi kebocoran data pribadi tanpa ada penjelasan gamblang dan tindakan tegas menandakan negara tidak berdaya menghadapi para peretas yang begitu leluasa masuk karena buruknya sistem keamanan digital kita.

Kejadian teranyar adalah bocornya data 6 juta nomor pokok wajib pajak (NPWP) yang dikelola Direktorat Jenderal Pajak Kementerian Keuangan. Bukan main-main, selain nama, alamat, nomor telepon, nomor induk kependudukan, dan NPWP, data pajak yang bocor berupa tanggal daftar wajib pajak, status pengusaha kena pajak (PKP), tanggal pengukuhan PKP, jenis wajib pajak, serta nama badan hukum.

Baca berita dengan sedikit iklan, klik di sini

Selain itu, dari 6 juta data NPWP yang bocor tersebut, ada nama sejumlah menteri hingga Presiden Joko Widodo dan anaknya, Gibran Rakabuming Raka serta Kaesang Pangarep. Adapun data menteri yang bocor adalah milik Menteri Keuangan Sri Mulyani Indrawati, Menteri Komunikasi dan Informatika Budi Arie Setiadi, Menteri Badan Usaha Milik Negara Erick Thohir, Menteri Perdagangan Zulkifli Hasan, serta Menteri Koordinator Perekonomian Airlangga Hartarto.

Data tersebut kemudian dijual oleh akun Bjorka dengan harga sekitar Rp 150 juta di BreachForums pada Rabu, 18 September 2024. Sebelumnya, akun itu beberapa kali mengaku membobol data pemerintah, dari dokumen Badan Intelijen Negara hingga dinas kependudukan dan pencatatan sipil, pada medio September 2022.

Kebocoran data pribadi sebelumnya terjadi pada data kepesertaan Badan Penyelenggara Jaminan Sosial (BPJS) Kesehatan, data kartu tanda penduduk elektronik (e-KTP) Komisi Pemilihan Umum, dan hasil tes Covid-19 Kementerian Kesehatan. Hingga kini tak jelas kabar lebih lanjut penanganannya.

Southeast Asia Freedom of Expression Network (SAFEnet) mencatat, sepanjang 2022 hingga 2023, terjadi 113 kali peretasan data pribadi. Mayoritas yang terkena pembobolan data pribadi adalah instansi pemerintah, dari BPJS Kesehatan, Kepolisian RI, KPU, hingga Kementerian Pertahanan.

Namun, alih-alih mengambil tindakan tegas, Jokowi malah meminta Kementerian Komunikasi dan Informatika, Kementerian Keuangan, serta Badan Siber dan Sandi Negara (BSSN) sekadar memitigasi kebocoran data itu. Padahal yang paling utama adalah mengusut sumber kebocoran dan memastikan bobolnya data superpenting tersebut tidak terjadi kembali.

Bukannya langsung mencopot pembantunya yang tak becus menjaga keamanan data karena harus berburu dengan waktu, Kepala Negara malah hanya meminta dilakukan mitigasi. Setali tiga uang, para menterinya hingga kini juga kompak membantah terjadi kebocoran data.

Yang tak kalah absurd adalah saat Jokowi menyebutkan peristiwa kebocoran data pribadi tidak hanya terjadi di Indonesia, tapi juga di sejumlah negara. Mengelak dari kewajiban meminta maaf karena gagal menjaga kerahasiaan data pribadi warganya, ia malah menyebutkan kebocoran data bisa jadi karena warga salah menulis password dan menyimpan data di banyak tempat.

Pernyataan itu sembrono dan terkesan menggampangkan persoalan besar yang menyangkut hak asasi warga negara untuk mendapat pelindungan data pribadi. Untuk kesekian kali, Jokowi seperti sedang melempar kesalahan kepada pihak lain saat masyarakat tak bisa lagi tenang dan merasa tidak aman karena data pribadi mereka beredar di dunia maya yang otomatis rentan menjadi korban kejahatan siber.

Sulit berharap Kementerian Komunikasi dan Informatika serta BSSN mampu mengejar para pembocor data pribadi itu, kemudian menyeret mereka ke penjara. Terbukti dua lembaga tersebut tidak bisa bekerja sesuai dengan tugas pokok dan fungsinya menjaga keamanan sistem siber negara. Sulit juga berharap pejabat di lembaga tersebut malu karena gagal melaksanakan tugas kemudian mengundurkan diri dari jabatannya.

Pemerintah juga selama ini terang-terangan tak memprioritaskan untuk menjaga data pribadi warga negara. Ini terlihat ketika KPU dan polisi tidak mengusut dugaan pencatutan KTP warga Jakarta untuk bisa meloloskan pasangan calon independen Gubernur-Wakil Gubernur Jakarta, Dharma Pongrekun-Kun Wardana.

Tapi sebetulnya masih ada satu cara yang bisa dilakukan, yaitu gugatan class action terhadap pemerintah akibat berulangnya kasus kebocoran data pribadi. Langkah ini bisa dilakukan dengan tetap waspada pembobolan data pribadi kita kembali terulang dan diperdagangkan di jagat maya.

integrasolusi.com – Masih ingat dengan banyaknya kasus pembobolan data pribadi oleh peretas (hacker) yang menyebut dirinya Bjorka. Hingga kini, belum ketahuan juga identitas asli Bjorka.

Ada yang berspekulasi bahwa Bjorka bukan hanya satu orang, namun sekelompok orang dengan keahlian meretas. Mulai dari data pribadi rakyat Indonesia hingga pejabat, semuanya kena. Bjorka pun menjual semuanya ke situs Breach Forum.

Bagaimana Pembobolan Data bisa terjadi?

Kita berasumsi bahwa pembobolan data dilakukan oleh peretas luar, tetapi hal itu tidak sepenuhnya benar.

Alasan terjadinya pembobolan data terkadang bisa dilihat kembali kepada serangan yang disengaja. Namun, pembobolan data juga bisa terjadi akibat kelalaian individu atau kelemahan dalam infrastruktur perusahaan.

Berikut cara terjadinya pembobolan data:

Seperti Apa Pencurian Data Pribadi oleh Bjorka?

Yang paling menghebohkan, dokumen surat online yang dilakukan oleh Presiden Joko Widodo termasuk salah satunya. Bahkan, pencurian data pribadi yang dilakukan oleh Bjorka tidak tanggung-tanggung.

Surat-surat digital yang dikirimkan Presiden Jokowi kepada BIN (Badan Intelijen Negara) juga berhasil dicuri oleh Bjorka. Selain itu, Bjorka juga melakukan doxing (penyalahgunaan data pribadi digital dengan tujuan kriminal) kepada beberapa pejabat pemerintah.

Beberapa korban doxing Bjorka termasuk Johnny G. Plate (Menteri Komunikasi dan Informatika), Erick Thohir (Menteri Badan Usaha Milik Negara), hingga Puan Maharani (Ketua Dewan Perwakilan Rakyat).

Mengingat sudah sampai seserius ini, audit keamanan informasi sangat diperlukan. Jangan sampai ada yang jadi korban lagi, karena penanganan masalah ini membutuhkan waktu yang tidak sebentar.

Apa yang Diincar dalam Pembobolan Data?

Meski pembobolan data bisa diakibatkan oleh kesalahan yang tidak disengaja, kerusakan besar bisa terjadi jika orang dengan akses tidak sah mencuri dan menjual Informasi Pengenal Pribadi (PII) atau data intelektual perusahaan demi keuntungan materi atau untuk menimbulkan kerugian.

Penjahat cenderung mengikuti pola dasar: menargetkan organisasi untuk dibobol membutuhkan perencanaan. Mereka menyelidiki korban untuk mengetahui letak kerentanan, seperti pembaruan yang hilang atau gagal, dan kerentanan karyawan terhadap penipuan phishing.

Peretas mempelajari kelemahan target, lalu mengembangkan upaya penipuan supaya orang dalam tidak sengaja mengunduh malware. Terkadang mereka langsung menyerang jaringan.

Setelah berhasil masuk, penjahat bebas mencari data yang diinginkan — dan memiliki banyak waktu untuk melakukannya, karena rata-rata pembobolan membutuhkan waktu lebih dari lima bulan supaya terdeteksi.

Berikut kerentanan umum yang ditargetkan penjahat:

Cara untuk tidak menjadi korban Pembobolan Data

Pencegahan pembobolan data melibatkan semua orang di setiap tingkatan — mulai dari pengguna akhir hingga staf TI, dan semua orang di antaranya.

Jika Anda merencanakan cara mencegah pembobolan atau kebocoran data, sistem keamanan bisa dirusak jika ada celahnya. Setiap orang yang menggunakan sebuah sistem berpotensi memiliki kerentanan. Bahkan anak kecil yang menggunakan tablet di jaringan rumah Anda bisa menjadi sumber risiko.

Berikut beberapa praktik terbaik supaya terhindar dari pembobolan data

Produk yang Direkomendasikan:

Liputan6.com, Jakarta - Informasi hoaks yang mencantumkan tautan situs palsu alias bodong sebagai modus pencurian data pribadi beredar belakangan ini di tengah masyarkat.

Untuk menarik minat orang agar percaya mengisi data di situs bodong tersebut, biasanya dibumbui dengan informasi dari perusahaan atau program yang saat ini sedang tren.

Informasi tersebut pun harus dihindari, agar kita tidak terjebak dan dirugikan karena pencurian data pribadi lewat situs bodong.

Berikut cara mengenali ciri-ciri situs bodong pencuri data pribadi dilansir dari Cemati:

1. Cari nama situs web di mesin pencarian dan lihat hasilnya

Jika ada website mencurigakan yang disarankan ke email atau sosial media kamu. Sebelum membuka website cobalah untu memeriksa website tersebut menggunakan Google, Bing, Yandex, atau mesin pencari internet lain.

Jika website yang dicari muncul di halaman awal bisa dikatakan website tersebut aman karena mudah terdeteksi dan muncul di mesin pencarian.

Contohnya: Bila kamu mengetik Cermati untuk mengecek apakah website Cermati.com itu benar pada kotak pencaharian di mesin pencarian apapun, maka bagian pertama yang keluar terkait keyword cermati adalah websitenya, untuk Google pada bagian kanan halaman akan tercantum alamat kantor lengkap Cermati.com dan keterangan soal perusahaan Cermati secara singkat.

Khusus untuk mencari di Google jangan lupa mengecek ulasan pengguna tentang situs web dengan lalu lintas tinggi di dekat bagian atas hasil pencarian, jadi pastikan untuk memeriksa ini jika ada.

2. Perhatikan bilah alamat

Untuk mengecek apakah website fintech memang aman dan menggunakan enkripsi untuk mentransfer data, melindunginya dari peretas. Kamu bisa mengecek pada bagian awal alamat situs web apakah apakah ‘https://’ atau ‘http://’. Jika https// maka bisa dikatakan website cukup aman, meskipun belum bisa dijamin 100 persen.

https:// akan keluar secara otomatis saat kamu mengklik dua kali pada bagian URL atau saat akan meng-copy alamat website.

3. Menggunakan laporan transparansi Google

Untuk langkah yang lebih cepat, kamu bisa langsung meng-copy dan mem-paste alamat website yang ingin kamu cek kredibilitas atau keasliannya di https://transparencyreport.google.com/safe-browsing/search. Klik enter setelah menulis atau mem-paste alamat website/url dan tunggu hasilnya.

4. Cek nama domain atau evaluasi URL situs web

Trik paling banyak digunakan penipu adalah membuat situs webnya sangat mirip atau meniru alamat merek atau perusahaan besar. Seperti website bank atau website popular seperti e-commerce atau fintech besar.

Trik ini digunakan karena banyaknya orang yang tidak mengecek dua kali atau melihat sekilas saja alamat situs web dan nama domain. Seperti YahOO.com atau Amazon.net, padahal alamat sebenarnya adalah yahoo.com (menggunakan huruf O bukan angka nol) dan amazon.com.

Untuk website Cermati sendiri, menggunakan domain (.com) sebagai alamat resmi website, walaupun menulis dengan domain (.co.id) secara otomatis akan diarahkan ke alamat yang menggunakan (.com).

Jika menemukan alamat dengan kata cermati tapi meggunakan (.blogspot atau .wordpress) sebelum (.com) artinya situs ini mencurigakan atau merupakan blog pribadi seseorang.

Nah, untuk yang ingin mengecek alamat website lainnya, berikut tanda-tanda bahaya dari sebuah alamat website bodong yang perlu dikenali:

Website memiliki beberapa tanda hubung atau simbol di nama domainNama domain meniru bisnis sebenarnya (misalnya, “Amaz0n” atau “NikeOutlet” atau “Cybertreat”)Menggunakan template situs web yang kredibelEkstensi domain seperti “.biz” dan “.info”. Situs-situs dengan esktensi ini cenderung tidak kredibel.

5. Mencari tahu usia domain

Para penipu biasanya beraksi pada momen tertentu untuk melakukan aksinya. Misalnya, ketika selama liburan biasanya akan ada gelombang belanja online yang lebih banyak dibandingkan hari lainnya. Untuk itu, mereka menyusun situs web yang tampak sah dan sangat mirip dengan website perusahaan besar yang ditiru dengan sangat cepat di sekitar waktu itu.

Dengan mengecek usia domain kamu bisa menilai sendiri apakah website tersebut bodong atau tidak. Kamu bisa mengeceknya dengan mengklik link ini https://whois.domaintools.com/

Tulis alamat website pada kota pencarian dan tunggu hasilnya. Jika usia domain hanya berkisar 1 bulan tapi menggunakan nama perusahaan besar yang kamu tahu sendiri berapa lama kira-kira perusahaan itu berdiri artinya website tersebut mencurigakan.

Biasanya, website e-commerce atau fintech usia domainnya akan setahun atau dua tahun lebih tua dari usia resmi perusahaan berdiri. Karena saat domain dibeli, belum tentu websitenya sudah layak digunakan dan masih dalam tahap pengembangan sebelum secara resmi diluncurkan.

Untuk website cermati.com, jika kamu mengeceknya menggunakan link tersebut maka tanggal pembuatan domain adalah 2014 setahun lebih awal dari tahun resmi Cermati berdiri yaitu tahun 2015.

6. Perhatikan penggunaan tata bahasa, kualitas tulisan dan pengejaannya

Website dengan ejaan, tanda baca, kapitalisasi, dan tata bahasa yang baik, sesuai kkbi juga tanpa kesalahan penulisan menunjukkan bahwa situs web itu dibuat dengan serius.

Memang ada perusahaan dengan situs web yang sah dan mungkin saja mengalami kesalahan ketik sesekali profesional. Namun, tetap perhatikan jika situs web menggunakan huruf besar untuk setiap kata atau memiliki banyak frasa dan tanda baca yang aneh, maka patut dicurigai.

7. Menawarkan benefit, promosi atau diskon yang tidak masuk akal

Penipu biasanya akan menggunakan penawaran, diskon, promosi dan hadiah dengan keterangan yang tidak masuk akal. Misalnya potongan sampai 99% tapi dengan persyaratan yang terlalu mudah.

Umumnya jika perusahaan resmi menawarkan diskon sebesar itu, persyaratan yang diberikan juga cukup detail dan banyak.

Seperti harus mengikuti quiz, mengadakan kompetisi, mencari kode tertentu dengan harus membeli produknya terlebih dahulu dan berbagai benefit lainnya diumumkan di platform resmi seperti sosial media yang sudah verified bahkan ada juga yang diiklankan ke televisi atau billboard.

Jadi, jika persyaratan hadiah yang ditawarkan hanya dengan mengisi informasi pribadi jangan lakukan.

Bisnis.com, JAKARTA - Indonesia Cyber Security Forum (ICSF) memprediksi peristiwa pembobolan website resmi operator Telkomsel di www.telkomsel.com yaitu karena sumber daya manusia (SDM) yang kurang waspada.

Ardi Sutedja, Chairman of ICSF menilai SDM dapat menjadi salah satu faktor pemicu situs Telkomsel diretas oleh hacker. Menurutnya, perusahaan harus memperhatikan SDM agar lebih waspada terhadap sektor keamanan, sehingga perusahaan tidak mudah diretas. "SDM juga menjadi salah satu sektor penting untuk diperhatikan, karena jika SDM ini tidak waspada, bisa jadi peretas masuk melalui kelalaian SDM yang tidak aware dengan keamanan," tuturnya kepada Bisnis di Jakarta, Jumat (28/4/2017). Seperti diketahui ‎website resmi operator Telkomsel www.Telkomsel.com  telah dibobol oleh peretas yang sampai saat ini masih ditelusuri identitas‎nya. Peretas tersebut membuat laman website operator plat merah itu menjadi hitam‎ dengan tulisan seperti makian terhadap Telkomsel karena harga paket kuota Internet yang mahal dan tidak pro terhadap rakyat. Vice President Corporate Communications ‎Telkomsel, Adita Irawati membenarkan telah terjadi pembobolan terhadap website resmi Telkomsel.

Dikatakan, saat ini pihaknya tengah melakukan perbaikan dan penelusuran terhadap pelaku peretasan tersebut. "Saat ini kami sedang melakukan penelusuran dan perbaikan yang dibutuhkan agar pelanggan dan masyarakat bisa kembali mengakses website itu," tuturnya. Dia juga meminta maaf kepada seluruh pelanggan Telkomsel karena tidak dapat mengakses website resmi Telkomsel. Namun, dia memastikan seluruh informasi yang berkaitan dengan produk, layanan dan informasi lain dapat diakses melalui Aplikasi My Telkomsel, Call Center dan Grapari Telkomsel. "Kami menyampaikan permohonan maaf atas ketidaknyamanan ini," tukasnya.

Tidak dipungkiri, laju perkembangan teknologi yang luar biasa di era digital seperti saat ini memang banyak memberikan dampak positif. Namun dibalik segala kelebihannya, sesuatu hal diyakini akan mendatangkan hal-hal negative juga. Disatu sisi, teknologi mampu menghadirkan kecepatan pendistribusian informasi yang luar biasa. Update peristiwa dilokasi tertentu, misalnya invasi Rusia ke Ukraina, akan diketahui oleh public di belahan dunia lain. Dengan sekali klik, video yang diunggah, akan dapat ditonton oleh jutaan bahkan milyaran umat manusia di dunia. Namun, disisi lain, mengintip tindak kejahatan yang berevolusi dalam bentuk kejahatan cyber. Salah satu cyber crime yang paling populer adalah kebocoran data (data leak).

Salah satu peristiwa yang masih hangat dibicarakan dalam berbagai media terjadi di awal bulan Maret ini. Saat para ASN sedang menikmati romantisme tanggal muda, tiba-tiba publik dihebohkan dengan berita tentang kebocoran data pengguna internet. Hal itu terungkap setelah peneliti siber dari Singapura, DarkTracer, mempublikasikan laporannya bahwa terdapat kebocoran data kredensial lebih dari 49 ribu situs pemerintah di seluruh dunia. DarkTracer juga membuat daftar situs pemerintah dengan kebocoran data paling banyak. Dari data tersebut, terdapat tiga situs pemerintah Indonesia yang masuk dalam daftar 10 situs teratas, salah satunya melalui situs Ditjen Pajak (djponline.pajak.go.id). Terdapat 17.585 data kredensial untuk akses ke situs djponline.pajak.go.id yang bocor. Bukan hanya di situs itu saja, kebocoran data milik wajib pajak juga terjadi di situs ereg.pajak.go.id.

Namun kemudian secara resmi Direktur Penyuluhan, Pelayanan dan Hubungan Masyarakat (P2Humas) DJP menenangkan public melalui keterangan persnya pada tanggal 3 Maret 2022. Juru bicara Ditjen Pajak tersebut menyampaikan bahwa kebocoran data bukan berasal dari system internal DJP, melainkan berasal dari perangkat pengguna (user) yang terinfeksi malware, yang kemudian digunakan untuk masuk ke dalam situs pemerintahan. DJP pun menyarankan agar pengguna situs DJP dan wajib pajak secara luas segera mengganti kata sandi dengan yang lebih kuat dan aman secara berkala. Huffhhh…melegakan sekali.

Jika menengok 2 bulan ke belakang, tepatnya di minggu pertama Januari 2022, DarkTracer juga melaporkan bahwa sebanyak 40.629 pengguna internet di Indonesia terinfeksi Stealer seperti Redline, Raccoon, Vidar dan lainnya. Selain itu, terdapat 502 ribu lebih data kredensial untuk akses ke domain .id (dot id) yang bocor dan didistribusikan melalui situs gelap. Data kredensial pengguna yang bocor tersebut tidak hanya data pengguna yang mengakses ke sejumlah situs pemerintahan saja seperti Kemdikbud, BKN, Ditjen Pajak, dan BPJS Ketenagakerjaan. Namun kebocoran juga sudah merambah ke data user yang mengakses beberapa aplikasi e-commerce seperti Shopee dan Lazada.

By the way, kenapa sih kok bisa data yang sebegitu penting bisa bocor? Dilansir dari situs UpGuard terdapat enam penyebab paling umum terjadinya kebocoran data di 2021, diantaranya kesalahan konfigurasi software, penipuan melalui rekayasa sosial (social engineering), password atau kata sandi yang digunakan berulang, pencurian barang yang mengandung data sensitif, kerentanan perangkat lunak, dan penggunaan kata sandi bawaan (default password).

Harus dipahami bersama bahwa kebocoran data sangat erat hubungannya dengan pembobolan data. Ketika data tanpa sengaja terekspos ke internet ataupun situs yang tidak aman, seorang peretas dengan senang hati akan segera mengakses informasi pribadi Anda untuk melakukan pembobolan data (data breach). By the way, kenapa sih kok bisa data yang sebegitu penting bisa bocor?

Jika kita perhatikan, banyak faktor yang berpotensi menjadi penyebab kebocoran data. Dari beberapa literatur, penulis mengelompokkan faktor-faktor tersebut menjadi 3 penyebab utama kebocoran data, yaitu faktor kesalahan manusia (human error), serangan Malware (malicious software), dan manipulasi psikologis melalui social engineering.

Pertama, human error. Fitrah manusia yang hobi mempraktekkan kebiasaan ekonomis diantaranya dengan mencari free software atau aplikasi bajakan (yang biasanya memberikan iming-iming free trial atau bonus-bonus lainnya) “memaksa” kita untuk secara suka rela memasukkan data pribadi berupa nomor telp di situs atau aplikasi yang tidak terjamin keamanannya. Dan tanpa kita sadari, hal ini sering kita lakukan.

Kedua, serangan malware. Acap juga kita lalai dan tidak teliti dalam menerima maupun mengirim email, yang berpotensi menjadi pintu masuk malware. Malware pada dasarnya adalah program yang dirancang untuk merusak dengan menyusup ke system computer. Salah satu jenis malware yang berbahaya yaitu spyware. Menurut salah satu vendor antivirus yang sudah mendunia, Kaspersky, spyware merupakan software yang didesain untuk masuk ke dalam perangkat komputer. Spyware mempunyai kemampuan mengumpulkan data-data pribadi user dan mengirimnya kepada pihak ketiga tanpa persetujuan user. Jahat sekali kan?

Ketiga, social engineering yaitu penggunaan manipulasi psikologis untuk mengumpulkan data sensitif seperti nama lengkap, username, password, dan sebagainya melalui media elektronik dengan menyamar sebagai pihak yang dapat dipercaya. Biasanya phishing memanfaatkan email untuk mengelabui korbannya. Email yang dikirimkan pelaku dapat berisi sesuatu yang mengatasnamakan pihak tertentu dan memancing korban untuk meng-klik tautan yang tercantum di dalamnya. Malah penulis beberapa kali mendapatkan sms yang berisi tautan dengan iming-iming bonus pulsa, bisa jadi sms dengan tautan tersebut merupakan kail untuk memancing “ikan-ikan” yang tergoda dengan umpan yang melambai-lambai memanggil-manggil untuk di klik.

Terlepas dari faktor-faktor utama tersebut, mungkin kita telah mengetahui tips-tips “normatif” untuk menghindari kebocoran data, yang bisa kita temukan di berbagai website maupun platform media social. Namun, apa yang harus kita lakukan jika sebuah data website sudah bocor? Langkah mitigasi yang paling cepat dan praktis yaitu, segera meng-update dan mengubah password akun user. Ibarat sebuah pintu, jika ada pelaku criminal yang sudah menduplikasi kunci tersebut, maka cara paling ampuh dan cepat yang bisa dilakukan empunya pintu yaitu langsung mengganti set pintu dengan yang baru. Cara tersebut disinyalir menjadi cara paling ampuh dan bisa dilakukan secara mandiri.

Memang, teknologi yang semakin maju disatu sisi akan semakin memudahkan manusia. Namun disisi lain, ancaman terhadap keamanan penggunaan teknologi juga semakin berevolusi. Bagaimana menyikapinya? Tidak perlu paranoid atau kekuatiran yang berlebihan, yang penting tetap hati-hati dan waspada. Makanya bro, sayangi data pribadimu mulai sekarang. Karena privacy adalah privilege yang tidak akan pernah bisa ditukar dengan nominal berapa pun saja.

(Penulis: Mahmud Ashari, Kepala Seksi Hukum dan Informasi KPKNL Kisaran)

Oleh: Grace Mayda & Rena Elvaretta

Staf Bidang Jurnalistik LK2 FHUI 2024

Baru-baru ini, masyarakat Indonesia dihebohkan dengan kasus peretasan Pusat Data Nasional (PDN). Kementerian Komunikasi dan Informatika (Kemenkominfo) sebagai pengelola PDN menyatakan bahwa peretasan sudah terjadi sejak 20 Juni 2024. Peretasan PDN tentu saja merupakan masalah besar bagi keamanan data pemerintah negara, pasalnya PDN itu sendiri merupakan sekumpulan Pusat Data yang digunakan bersama oleh Instansi Pusat dan Pemerintah Daerah sehingga saling terhubung. Ketika terjadi peretasan, maka data masyarakat yang tersimpan di dalamnya akan berpotensi untuk mengalami kebocoran. Peretasan PDN terjadi akibat adanya serangan siber oleh Brain Cipher dengan menggunakan ransomware, yakni perangkat lunak yang bekerja dengan cepat seperti virus untuk dapat mengenkripsi sebuah data. Akibatnya, korban tidak dapat mengakses kembali data miliknya karena penyerang akan mengunci akses data tersebut. Data-data yang berada di dalam server PDN merupakan data penting negara, seperti Nomor Induk Kependudukan (NIK), Kartu Tanda Penduduk (KTP), nomor ponsel, hingga data-data diri yang bersifat rahasia lainnya. Serangan ransomware meningkatkan potensi kebocoran data PDN, gangguan sistem, hingga kerugian finansial bagi suatu negara. Lantas, bagaimana peretasan dapat terjadi terhadap server PDN yang dimiliki oleh pemerintah?

Kegagalan Pemerintah dalam Mengamankan PDN

Badan Siber dan Sandi Negara (BSSN) menyatakan bahwa peretasan terjadi akibat kelalaian tata kelola sistem yang buruk oleh Kemenkominfo yang tidak membuat backup atau cadangan terhadap data-data yang tersimpan di dalam server PDN. Ribuan data masyarakat dipertaruhkan akibat ketidaksiapan pemerintah dalam mengatasi masalah peretasan yang telah berulang kali terjadi. Kebocoran data yang terjadi saat itu sudah menandakan adanya kekacauan dalam pengelolaan cyber security system yang dimiliki oleh Indonesia. Sebuah server yang penting seharusnya dilengkapi dengan kepemilikan sandi yang kuat untuk mengamankan data di dalamnya. Namun, pengelola PDN terlihat tidak profesional karena pembuatan serta penggunaan sandi secara sembarangan yakni berupa “Admin#1234”. Peretasan PDN tidak hanya merugikan negara, tetapi juga seluruh masyarakat di dalamnya. Pengurusan pelayanan paspor, proses Penerimaan Peserta Didik Baru (PPDB), hingga data-data pribadi milik masyarakat yang bisa saja terjual secara bebas. Data-data yang terjual bebas dapat membahayakan identitas masyarakat, karena berpotensi terjadi penyalahgunaan data. Seperti contohnya penyalahgunaan data pribadi untuk mengajukan pinjaman online, pembobolan rekening, hingga disalahgunakan untuk melanggengkan tindak kejahatan lainnya.

Peretasan PDN dari Perspektif Hukum

Peretasan terhadap server PDN tentu dapat dijerat menggunakan regulasi hukum. Berdasarkan Pasal 30 ayat (3) Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (UU ITE), tindakan yang dilakukan sengaja maupun tidak sengaja dengan menerobos hingga menjebol sistem pengaman suatu sistem elektronik merupakan perbuatan yang dilarang. Melalui Pasal 46 ayat (3) dan Pasal 52 ayat (3) UU ITE mengatur terkait ancaman pidana penjara terhadap pelaku peretasan sistem pemerintah selama 8 tahun ditambah dua pertiga. Namun, regulasi hukum yang ada ini belum cukup kuat untuk mencegah adanya tindakan peretasan dan kebocoran data pribadi. Diperlukan regulasi yang tidak hanya mengatur mengenai tindakan yang dilarang, tetapi juga mengatur keamanan dan perlindungan terhadap data-data yang ada di dalamnya.

Untuk menjawab perlunya pengaturan tentang perlindungan data pribadi, pemerintah mengeluarkan Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP) yang memberikan perlindungan terhadap data-data dalam server PDN. Pasal 1 ayat (2) UU PDP menyatakan bahwa perlindungan data pribadi adalah sebuah upaya untuk melindungi data hingga menjamin pemrosesan data pribadi seseorang dengan aman. Proses perlindungan data pribadi tersebut akan dilakukan oleh pengendali data pribadi yang dalam Pasal 1 ayat (4) UU PDP disebutkan salah satunya adalah pemerintah. Dengan begitu, server PDN yang berisikan data-data pribadi milik masyarakat sudah seharusnya dijaga dan dilindungi sebaik mungkin oleh pemerintah.

Melihat maraknya kasus peretasan hingga kebocoran data, pemerintah mencoba untuk memperbaiki keadaan dengan mengeluarkan Peraturan Presiden Nomor 47 Tahun 2023 tentang Strategi Keamanan Siber Nasional dan Manajemen Krisis Siber (Perpres 47/2023). Pasal 1 angka 1 Perpres 47/2023 menyatakan bahwa keamanan siber adalah upaya adaptif dan inovatif untuk melindungi aset informasi di dalamnya dari ancaman dan serangan siber. Strategi keamanan siber yang dilakukan pemerintah meliputi perbaikan tata kelola sistem, meningkatkan kesiapsiagaan dan ketahanan sistem, hingga menguatkan perlindungan terhadap infrastruktur yang memuat informasi vital. Pasal 17 ayat (1) Perpres 47/2023 menyebutkan bahwa manajemen persiapan krisis siber akan dilakukan sebelum krisis siber, saat terjadi krisis siber, serta setelah krisis siber terjadi. Hal tersebut dilakukan untuk meningkatkan kesiapsiagaan pemerintah dalam menjaga keamanan server-server penting seperti PDN. Walaupun begitu, Perpres 47/2023 belum berjalan secara efektif dalam menangani kasus peretasan PDN karena manajemen siber masih dilakukan serampangan. Pemerintah harus mengevaluasi ulang terhadap keamanan sistem elektronik, data pribadi masyarakat, hingga ancaman siber.

Apa yang akan Terjadi Jika Pemerintah Tidak Bertindak Tegas atas Permasalahan Pembobolan PDN?

Insiden pembobolan PDN telah memberikan beberapa indikasi atas ketidaksiapan pemerintah saat ini. Dari segi regulasi, memang belum ada undang-undang khusus yang mengatur mengenai keamanan siber, akan tetapi sebenarnya telah ada regulasi lain seperti UU ITE, UU PDP, dan Perpres 47/2023 sehingga tidak akan terjadi kekosongan hukum. Hal yang perlu digaris bawahi atas insiden pembobolan PDN adalah implementasi atau bagaimana pelaksanaan peraturan tersebut yang belum dapat maksimal. Jika tidak ada tindakan lebih lanjut dari pemerintah di kemudian hari dalam meningkatkan keefektifan pelaksanaan keamanan siber, hal ini berpotensi menimbulkan beberapa dampak.

Dampak pertama adalah kepercayaan masyarakat akan menurun terhadap pemerintah dan mempertanyakan kinerja dari pemerintah dalam penanganannya. Terlebih jika terdapat data yang hilang karena tidak adanya backup, hal ini berpotensi menjadi permasalahan jangka panjang di kemudian hari. Hilangnya kepercayaan masyarakat akan berujung mempengaruhi aktivitas   sosial dan ekonomi masyarakat secara nasional menjadi lebih lambat, tidak efektif, atau bahkan kacau karena efek dari penyerangan yang memberikan indikasi negara tidak aman.

Dampak kedua yang dapat terjadi adalah pemerintah akan menjadi sasaran empuk bagi para peretas di kemudian hari. Ketidaksiapan dari sisi PDN maupun pemerintah akan memberikan indikasi kepada peretas bahwa akan sangat mudah untuk menembus sistem keamanan mereka. Perlu diperhatikan juga, terdapat prediksi bahwa di masa depan bahwa level keamanan siber dan perlindungan data pribadi yang digunakan harus jauh lebih tinggi dibandingkan sekarang untuk mencegah improvisasi serangan siber kemudian hari.

Selanjutnya, dampak ketiga adalah negara lain yang mengetahui kasus pembobolan di Indonesia akan kehilangan kepercayaan untuk bekerjasama dengan Indonesia karena menganggap Indonesia “tidaklah aman.” Mereka akan berpikir bahwa data penting nasional saja dapat terkena pembobolan, lalu bagaimana dengan data mereka yang diberikan kepada pemerintah Indonesia. Selain itu, negara-negara tersebut akan berpikir kembali atau mengurungkan niat untuk berinvestasi dan mendirikan perusahaan di Indonesia. Investasi yang akan masuk ke Indonesia menjadi berkurang dan ekonomi Indonesia akan terancam kesulitan.

Langkah yang Dapat Dilakukan Pemerintah atas Insiden ini

Untuk mengatasi insiden ini, diperlukan adanya evaluasi dan berkaca dengan keberhasilan negara lain. Belanda menjadi salah satu negara yang memiliki predikat bagus dalam keamanan sibernya dan sudah mempunyai regulasi khusus mengenai keamanan siber, salah satunya adalah the Network and Information Systems Security Act (NISSA). Bahkan, Belanda juga mempunyai manajemen keamanan siber, yaitu National Manual on Decision-making in Crisis Situation dan dielaborasikan secara spesifik melalui the National Digital Crisis Plan. Secara garis besar the National Digital Crisis Plan mengatur langkah-langkah persiapan, pencegahan, bahkan penanganan pasca terjadi serangan siber. Hal yang membedakan dengan Indonesia, the National Digital Crisis ditargetkan untuk menjadi pedoman bagi para karyawan, manager, direktur, organisasi swasta maupun publik, sehingga dapat disiapkan dalam persiapan rencana yang sejalan dengan peraturan tersebut. Indonesia masih berfokus hanya pada strategi dan manajemen krisis siber skala nasional, menjadikannya suatu pertanyaan apakah relevan jika diterapkan di perusahaan atau organisasi swasta lain. Selain dari kedua regulasi tersebut, Belanda saat ini banyak mengacu pada penggunaan regulasi European Union (EU) seperti The Digital Operational Resilience Act (DORA), The NIS2 Directive, Data Act, Cyber Resilience Act, dan beberapa regulasi lainnya.

Perlu diperhatikan bahwa sebenarnya pada Oktober 2023 lalu, dilakukan penandatanganan kerjasama antara Belanda dengan Indonesia mengenai strategi ketahanan siber yang komprehensif. Melalui kerjasama ini, seharusnya pemerintah meningkatkan lebih lanjut atas rekanan dalam meningkatkan keamanan siber di Indonesia, seperti pertukaran ilmu, teknologi, dan keahlian.

Terdapat beberapa tindakan lain yang dapat ditingkatkan atau diperbaiki oleh pemerintah. Pertama adalah mengenai segi regulasi yang berlaku. Saat ini ketentuan yang ada masih belum berupa undang-undang khusus mengenai keamanan siber. Undang-undang diperlukan untuk menjadi standar dalam penanganan secara sigap jika terjadi insiden serupa. Pasca insiden PDN, Badan Siber Sandi Negara (BSSN) menyoroti bahwa salah satu rentannya Indonesia terhadap ancaman siber karena ketiadaan Undang-Undang Keamanan Siber. Saat ini pemerintah perlu segera mengesahkan RUU Keamanan Siber untuk dapat menjadi standar yang secara komprehensif dan spesifik mengatur tata kelola keamanan siber di Indonesia, serta meningkatkan kepercayaan masyarakat.

Selanjutnya mengenai segi sistem keamanan. Seharusnya terdapat standar sistem keamanan untuk institusi pemerintah, seperti PDN, yang telah teruji. Sistem keamanan tersebut juga harus di-upgrade dan ditingkatkan secara berkala untuk menghindari ketertinggalan sistem.  Diperlukan juga untuk melakukan cyber security testing, terdiri dari cybersecurity audit, penetration test, vulnerability scan, security scan, risk assessment,  dan posture assessment yang secara keseluruhan merupakan rangkaian tes uji coba untuk melihat tingkat keamanan dari sistem yang digunakan.

Langkah lainnya adalah dengan meningkatkan kemampuan sumber daya manusia yang ada. Pemerintah perlu melakukan pelatihan dan pendidikan secara berkala kepada ahli teknisi  agar lebih siap dalam menghadapi serangan siber yang dilakukan para peretas. Para ahli teknisi yang ada juga perlu melakukan uji coba atau praktik secara berkala dan pemahaman pola pikir para peretas agar siap beberapa langkah ke depan sebelum insiden terulang.

Melalui tata kelola dan persiapan matang, Indonesia diharapkan dapat mengikuti perkembangan zaman yang begitu pesat dalam bidang teknologi dengan lebih baik. Pemerintah Indonesia haruslah siap untuk menghadapi insiden serupa di kemudian hari melalui evaluasi yang lebih baik.

Agar tidak menjadi korban pencurian data pribadi, begini cara mengenali situs palsu dilansir dari cermati:

1. Cari nama situs web di mesin pencarian dan lihat hasilnya

Sebelum membuka website atau situs cobalah untu memeriksa laman tersebut menggunakan Google, Bing, Yandex, atau mesin pencari internet lain.

Jika situs yang dicari muncul di halaman awal bisa dikatakan website tersebut aman karena, website yang memiliki domain alamat website yang benar akan mudah terdeteksi dan muncul di mesin pencarian.

Contohnya: Bila kamu mengetik Liputan6 untuk mengecek apakah situs Liputan6.com itu benar pada kotak pencaharian di mesin pencarian apa pun, maka bagian pertama yang keluar terkait keyword Liputan6 adalah situsnya, untuk Google pada bagian kanan halaman akan tercantum alamat kantor lengkap Liputan6.com dan keterangan soal perusahaan Liputan6 secara singkat.

Khusus untuk mencari di Google jangan lupa mengecek ulasan pengguna tentang situs web dengan lalu lintas tinggi di dekat bagian atas hasil pencarian, jadi pastikan untuk memeriksa ini jika ada.

2. Perhatikan bilah alamat

Untuk mengecek apakah situs fintech memang aman dan menggunakan enkripsi untuk mentransfer data, melindunginya dari peretas. Kamu bisa mengecek pada bagian awal alamat situs web apakah apakah ‘https://’ atau ‘http://’. Jika https// maka bisa dikatakan situs cukup aman, meskipun belum bisa dijamin 100%.

Contohnya: https://www.liputan6.com/

https:// akan keluar secara otomatis saat kamu mengklik dua kali pada bagian URL atau saat akan mengkopi alamat situs.

3. Menggunakan laporan transparansi Google

Untuk langkah yang lebih cepat, kamu bisa langsung mengkopi dan memnempelkan alamat situs yang ingin kamu cek kredibilitas atau keasliannya di https://transparencyreport.google.com/safe-browsing/search. Klik enter setelah menulis atau menempelkan alamat situs/url dan tunggu hasilnya.

Apa Itu Pembobolan Data?

Definisi: pembobolan data bisa mengekspos informasi rahasia, sensitif, atau dilindungi kepada orang yang tidak berhak. Berkas-berkas data yang dibobol bisa dilihat dan/atau dibagikan kepada orang lain tanpa izin.

Siapa pun berisiko mengalami pembobolan data — mulai dari individu hingga perusahaan besar dan pemerintah. Yang lebih penting, siapa pun bisa membuat orang lain terpapar risiko jika tidak dilindungi.

Biasanya pembobolan data terjadi karena ada kelemahan dalam:

Meski komputer dan perangkat seluler memiliki fitur-fitur yang lebih konektif, ada lebih banyak celah kebocoran data. Teknologi baru dibuat lebih cepat daripada kemampuan kita untuk melindunginya.

Perangkat di sektor IoT merupakan bukti bahwa kita makin mengutamakan kenyamanan daripada keamanan.

Ada banyak produk “rumah pintar” yang memiliki celah, seperti ketiadaan enkripsi, dan peretas bisa memanfaatkannya.

Karena produk, layanan, dan alat-alat digital baru digunakan tanpa pengujian keamanan yang memadai, masalah ini akan terus bertambah.

Meski teknologi titik akhir telah disiapkan dengan baik, sebagian pengguna masih memiliki kebiasaan digital yang buruk. Cukup satu orang untuk membahayakan situs web atau jaringan.

Tanpa keamanan menyeluruh baik di tingkat pengguna maupun perusahaan, kita senantiasa berada dalam risiko.

Melindungi diri sendiri dan orang lain dimulai dari pemahaman bagaimana pembobolan data bisa terjadi.

Kerusakan Akibat Pembobolan Data

Sering kali pembobolan data tidak bisa diperbaiki hanya dengan sedikit perubahan kata sandi. Dampak kebocoran data bisa menjadi masalah jangka panjang bagi reputasi, keuangan Anda, dan sebagainya.

Bagi perusahaan: pembobolan data bisa berdampak buruk pada reputasi dan keuntungan finansial sebuah organisasi/perusahaan. Beberapa perusahaan seperti Equifax, Target, dan Yahoo, misalnya, telah menjadi korban pembobolan data. Dan saat ini, banyak orang mengaitkan/mengingat perusahaan-perusahaan ini karena kejadian pembobolan data, bukan aktivitas bisnis mereka.

Bagi badan pemerintah: data yang diretas bisa berarti membocorkan informasi rahasia kepada pihak asing. Operasi militer, urusan politik, dan informasi lengkap tentang infrastruktur utama nasional bisa menimbulkan ancaman besar bagi pemerintah dan warga negaranya.

Bagi individu: pencurian identitas merupakan ancaman besar bagi korban pembobolan data. Kebocoran data bisa mengungkapkan segalanya, mulai dari nomor jaminan sosial hingga informasi perbankan. Jika penjahat memperoleh informasi ini, mereka bisa melakukan segala jenis penipuan atas nama Anda. Pencurian identitas bisa merusak kepercayaan kredit Anda, menjerat Anda dengan masalah hukum, dan persoalan ini sulit ditangani.

Meski termasuk kasus umum, kerugian akibat pembobolan data bisa jauh melebihi masalah ini. Jadi, sebaiknya Anda menyelidiki apakah data Anda telah terekspos. Untuk mengetahui apakah akun pribadi atau kantor Anda telah diretas, gunakan https://haveibeenpwned.com/ untuk memeriksanya (alat ini memeriksa pembobolan data di alamat email dan melaporkan kebocorannya).

Mungkin Anda menginginkan pemantauan yang lebih komprehensif untuk mengetahui secara waktu nyata apakah data pribadi telah bocor. Produk-produk seperti Kaspersky Premium menawarkan pendeteksian kebocoran data dan membantu Anda menangani situasi tersebut.

Tentu saja, cara terbaik untuk melindungi diri adalah jangan menjadi korban pertama. Tidak ada paket keamanan yang sempurna, tetapi ada cara untuk melindungi diri, baik individu atau perusahaan.

Pentingnya Audit ISO 27001

Penerapan keamanan berstandar ISO 27001 menjamin ketiga hal berikut:

Penerapan ini berarti kepastian bahwa informasi perusahaan hanya bisa diakses oleh orang yang berkepentingan.

Penerapan ini berarti kepastian bahwa informasi perusahaan akurat, lengkap, aman, serta tidak akan diganggu pihak yang tidak berkepentingan.

Penerapan ini berarti kepastian bahwa informasi perusahaan dapat diakses dengan mudah saat dibutuhkan..

Dengan adanya audit ISO 27001, perusahaan akan terbantu saat mengamankan semua data pribadi staf maupun klien mereka. Semoga tidak ada lagi peretas macam Bjorka yang pastinya menyusahkan banyak orang.

Hubungi kami untuk penjelasan lebih lanjut perihal ISO 27001.

Pembobolan data atau kebocoran data bisa lebih dari sekadar teror sementara — jalan hidup Anda bisa berubah. Baik perusahaan, pemerintah, maupun individu bisa mengalami masalah besar jika informasi sensitif bocor. Baik sedang offline maupun online, peretas bisa menghubungi Anda lewat internet, Bluetooth, pesan teks, atau layanan online yang sedang digunakan.

Tanpa perhatian yang cermat, kerentanan kecil bisa menyebabkan pembobolan data secara besar-besaran.

Karena banyak yang tidak menyadari betapa umumnya cara kerja ancaman keamanan modern, mereka tidak memperhatikannya.

Dalam artikel ini, kami akan menjelaskan tentang pembobolan data dan dampaknya bagi Anda.

Saat menelaahnya, Anda akan menemukan jawaban atas beberapa pertanyaan yang sering diajukan:

Sebelum menelaah lebih jauh, mari mulai dengan definisi singkat tentang pembobolan data.

Metode Berbahaya yang Dimanfaatkan untuk Membobol Data

Karena pembobolan data disebabkan oleh serangan siber, Anda wajib tahu hal yang perlu diwaspadai.

Berikut beberapa metode populer yang digunakan oleh peretas

Phishing. Serangan rekayasa sosial ini dirancang untuk memperdaya Anda supaya data bisa dibobol. Pelaku phishing menyamar menjadi orang atau perusahaan tepercaya supaya mudah menipu Anda. Penjahat ini akan berupaya membujuk Anda supaya mau menyerahkan akses ke data sensitif atau memberikan data itu sendiri.

Serangan brute force. Dalam pendekatan yang lebih nekat, peretas bisa menggunakan perangkat lunak untuk menebak kata sandi Anda.

mengupayakan seluruh kemungkinan kata sandi Anda sampai tebakannya benar. Serangan ini butuh banyak waktu, tetapi prosesnya makin cepat karena kecepatan komputer meningkat. Peretas bahkan membajak perangkat lainnya seperti perangkat Anda dengan infeksi malware untuk mempercepat prosesnya. Jika kata sandi lemah, cukup butuh beberapa detik untuk membobolnya.

Malware. Sistem operasi, perangkat lunak, perangkat keras, atau jaringan dan server perangkat yang terhubung bisa memiliki celah keamanan. Celah perlindungan ini dicari penjahat sebagai tempat yang tepat untuk memasukkan malware. Spyware sangat cocok untuk mencuri data pribadi tanpa terdeteksi sama sekali. Mungkin infeksi ini tidak diketahui sampai sudah terlambat.

Yang Dapat Dipelajari dari Pembobolan Data Pribadi oleh Bjorka

Meskipun banyak juga yang mendukung Bjorka saat melakukan pencurian data pribadi pemerintah, bukan berarti kita harus merayakannya. Pasalnya, bisa saja data kita termasuk salah satu data yang juga dibobol oleh peretas yang sempat trending dan viral itu.

Memang, saat ini belum jelas sosok utama di balik nama Bjorka. Tak perlulah kita menunggu. Maka dari itulah, kita membutuhkan audit ISO 27001.