"Satpam-satpam" Siber yang Bakal Jadi Rebutan
RUU Perlindungan Data Pribadi mengatur pengelola data harus memiliki data protection officer (DPO). Maka, tak lama setelah RUU itu disahkan, akan dibutuhkan banyak DPO di Indonesia.
Keberadaan petugas penjaga data warga atau data protection officer (DPO) bakal menjadi keniscayaan tatkala kelak Rancangan Undang-Undang Perlindungan Data Pribadi disahkan. Mereka ibarat "satpam" yang menjaga agar data pribadi masyarakat yang dikelola lembaga, tidak bocor.
Namun, menjaga data pribadi bukan hal mudah. Director of Cyber Security di BDO Indonesia, M Novel Ariyadi, merasakan harus siaga 24 jam demi kepastian data-data pribadi yang dikelola puluhan kliennya tidak bocor. Perusahan telekomunikasi dan perbankan baik di dalam dan luar negeri memercayakan keamanan data pribadi penggunanya di bawah tim yang dipimpin Novel.
BDO (Binder Dijker Otte) adalah kantor akuntan publik internasional dan konsultan manajemen yang berkantor pusat di Belgia. Di lembaga ini, ia berperan sebagai pihak yang mengembangkan dan menjalankan sistem pengamanan informasi untuk meningkatkan ketahanan terhadap serangan siber, risiko siber, dan krisis siber.
“Pendek kata, saya ini satpam. Bedanya, kalau di dunia nyata saya menyiapkan pengamanan dengan membawa gembok, atau kunci brankas, untuk melindungi aset penting perusahaan. Tetapi, di dunia siber, saya membentengi manajemen pengelolaan informasi dan data itu dengan perangkat lunak. Fungsinya pada dasarnya mengamankan sistem agar data-data penting tidak diterobos,” tuturnya dalam wawancara daring dari Jakarta, Minggu (21/3/2021).
Dengan tim yang relatif besar, dan berbagai jenis ancaman yang mungkin dihadapi, Novel dan timnya harus bekerja presisi. Kebocoran data bisa dikenai saksi denda empat persen dari penerimaan perusahaan. BDO menyediakan DPO seperti Novel karena perusahaan itu mengacu pada ketentuan General Data Protection Regulation (GDPR) di Uni Eropa.
Baca juga: Dunia Digital dan Keamanan Data Pribadi
Untuk mencari orang-orang dengan peran sebagai penjaga data pribadi (DPO), menurut Novel tidak mudah. Di Indonesia, strata satu jurusan keamanan siber masih terbatas. Jika mengacu pada GDPR Uni Eropa, setidaknya satu perusahaan cukup satu DPO. Namun, ia harus dilengkapi tiga kompetensi, yakni teknologi, hukum, dan industri spesifiknya. Namun, jika tidak memungkinkan, perusahaan bisa merekrut tiga orang dalam satu tim dengan masing-masing memiliki kompetensi itu.
“Karena bukan hal mudah mencari satu orang dengan multidisiplin. Orang hukum saja tidak cukup. Dia harus melek teknologi. Karena yang paling sering terjadi itu kebocoran dalam format digital. Kalau sudah sengketa, kan, membicarakan soal bukti. Nah, apakah orang hukumnya mengerti digital forensics? Enggak bisa juga orang teknis sendiri, karena bisa-bisa aspek dimensi hukumnya enggak mengerti. Kalau kompetensi industri spesifik, ini harus ada karena tantangan setiap sektor industri berbeda-beda,” katanya.
Hasan Addahroni (41), IT Security Officer di SpiderLabs Trustware, yang berbasis di Australia, bertutur, perlindungan data adalah keniscayaan. Di Australia, misalnya, peningkatan layanan aplikasi harus melalui pengecekan lebih dulu, dan itulah yang di tekuni. Selama enam tahun di Australia, ia bertugas mengecek adakah kelemahan pada sistem informasi atau perangkat lunak di aplikasi baru tersebut.
“Kami bekerja seperti hacker, yakni masuk ke sistem aplikasi itu. Kami meretas sistem itu dan melihat apakah kami bisa membobol data pribadi aplikasi itu. Jika ternyata dapat dibobol, kami laporkan kelemahan itu kepada klien, supaya itu diperbaiki,” ucapnya dihubungi dari Jakarta.
Jadi kebutuhan
Di Pasal 45 Ayat (1) RUU Perlindungan Data Pribadi (PDP) disebutkan; “Dalam hal tertentu Pengendali Data Pribadi dan Prosesor Data Pribadi wajib menunjuk seorang pejabat atau petugas yang melaksanakan fungsi pelindungan Data Pribadi.”
Maka, tak lama setelah RUU itu disahkan, akan dibutuhkan banyak DPO di Indonesia. Draf RUU PDP memberi waktu dua tahun setelah pengesahan sebelum ketentuan di UU itu mengikat, termasuk soal DPO.
Sejumlah perusahaan dan instansi pemerintah di pusat sudah mulai menyiapkan DPO.
Chief Public Policy and Government Go-Jek Shinto Nugroho dalam diskusi daring pekan lalu menceritakan usaha institusinya untuk membangun DPO sebagai upaya berkelanjutan. “Bayangkan untuk chief information security officer, kami merekrut insinyur yang pernah bekerja di NASA (National Aeronautics and Space Administration). Karena kalau roketnya saja tidak bocor, kami harapkan demikian juga dalam pengelolaan data kami,” kata Shinto.
Dalam beberapa tahun terakhir, Go-Jek juga terus meningkatkan sistem keamanan informasi yang dibangun di internal. Sebab, perlindungan khusus terkait data juga terus dilakukan oleh Go-Jek, di luar dari sistem keamanan informasi yang sudah ada di internal. Pengamanan data diterapkan pada tiga titik acuan kinerja, yakni people (orang), product (orang), dan process (proses).
Secara rutin, misalnya, Go-Jek mengadakan pertemuan dengan mitra pengemudi untuk menyosialisasikan pentingnya data pribadi mereka. Hal ini penting dilakukan karena kesadaran mitra terhadap data pribadi juga perlu terus ditingkatkan. Dalam proses kerjanya, untuk bisa masuk ke dalam sistem, mitra pengemudi mesti melewati face verification (verifikasi wajah).
Go-Jek juga sudah menyembunyikan nomor telepon pelanggan maupun pengemudi. Nomor telepon merupakan salah satu data pribadi yang harus dilindungi, karena nomor itu terhubung dengan data kependudukan.
“Kami juga punya bug bounty, yang tugasnya mencari bug di dalam sistem dan memperbaiki ketika ada intervensi dari luar yang tidak diinginkan,” katanya.
Upaya pengamanan data juga dilakukan Tokopedia. External Communications Senior Lead Tokopedia, Ekhel Chandra Wijaya, mengatakan, perusahaannya menerapkan sistem keamanan berlapis. Tokopedia juga berkolaborasi dengan mitra strategis yang punya spesialisasi di bidang keamanan siber untuk mengamankan data pengguna.
“Bisnis Tokopedia adalah bisnis reputasi dan kepercayaan, maka kerahasiaan dan keamanan data pribadi pengguna merupakan prioritas utama dalam bisnis kami,” ucap Ekhel.
Di Kementerian Luar Negeri, terdapat Pusat Teknologi Informasi dan Komunikasi Kementerian dan Perwakilan (Pustik KP Kemlu), yang salah satu tugasnya menjaga sistem keamanan siber Kemenlu serta perwakilan di luar negeri. Pustik KP sudah ada sejak 2017. Sementara itu, Kementerian Pertahanan juga memiliki Pusat Pertahanan Siber.
Terkait hal ini, Kepala Pustik KP Kemlu Agus Trenggono mengatakan, di Pustik KP terdapat kelompok kerja yang berfokus menjaga keamanan siber Kemenlu. Pokja keamanan siber itu terdiri dari 20 orang personel yang menguasai teknologi dan informasi. Mereka memantau lalu lintas jaringan sistem informasi, mencermati potensi ancaman, dan mendeteksi dini upaya serangan sistem teknologi informasi Kemlu.
Secara khusus, anggota pokja itu memiliki kompetensi yang tidak kalah dengan DPO di perusahaan-perusahaan swasta. Mereka antara lain ahli di bidang networking, network security, dan cryptography, serta berasal dari perguruan tinggi negeri dan swasta yang ternama.
“Ketika ada temuan, kami segera menindaklanjutinya melalui pokja tersebut. Jika ada kesulitan untuk mengatasi ancaman siber itu, kami juga memiliki Computer Security Incident Response Team Indonesia (CISRT) yang bekerja sama dengan BSSN (Badan Siber dan Sandi Negara),” kata Agus.
Pustik KP juga bekerja sama dengan komunitas siber yang kerap mencari celah keamanan sistem siber atau disebut bug hunting. Dari forum itulah, personel Pustik KP mencari informasi perkembangan terkini untuk menutup celah keamanan (bug) sistem siber mereka.
Jenis serangan yang paling banyak masuk ke Pustik KP selama ini ialah virus komputer (malware) yang bertujuan meretas situs. Untungnya situs Kemlu sudah dilapisi keamanan firewall, sehingga malware tidak bisa berkutik. “Kami juga terus mengedukasi pegawai Kemlu agar bisa menggunakan sistem IT dengan aman,” tuturnya.
Kepala Pusat Pertahanan Siber Kementerian Pertahanan, Raja H Manalu, saat diwawancarai terpisah beberapa waktu lalu, mengatakan, mengamankan ruang digital di Kemhan juga bukan hal yang sederhana karena ada tujuh titik perkantoran di kementerian. Semua dihubungkan ke Pushansiber yang memiliki firewall untuk pertahanannya. Jumlah serangan siber ke infrastruktur Kemhan rata-rata 200.000 serangan per tahun.
Untuk menjaga agar personil Kemhan tetap waspada dan tidak menimbulkan kebocoran, terutama diawali dengan kebocoran data pribadi, setiap bulan ada edaran internal dari Badan Instalasi Strategis Pertahanan. Rekomendasi datang dari Kepala Bagian Data dan Informasi di masing-masing direktorat, yang isinya antara lain imbauan untuk tidak mengakses situs-situs porno, tips-tips, hingga seruan untuk tidak membuka wifi di sembarangan lokasi.
“Tapi ini susah, kita kan begitu tiba di mana-mana, langsung cari akses wifi, langsung koneksi ke laptop dan HP,” katanya.
Masalah lain, kata dia, ialah ketersediaan SDM. Sebagai contoh, Pushansiber memerlukan 55 orang, tetapi yang tersedia hanya 28 orang. Untuk itu, Pushansiber membangun hubungan dengan komunitas-komunitas siber.
“Kami berhasil menggandeng mereka. Walau karakternya tidak sama seperti pegawai-pegawai di Kemhan, tapi kita sama-sama Merah-Putih,” ucapnya.
Standar kompetensi
Novel mengingatkan, jika RUU PDP kelak berlaku, pemerintah setidaknya perlu membuat Standar Kompetensi Kerja Nasional Indonesia (SKKNI). Pemerintah melalui Menteri Komunikasi dan Informatika (Kominfo) perlu duduk bersama Menteri Ketenagakerjaan, serta Kepala BSSN, memformulasikan standar kompetensi kerja bagi DPO.
Dengan perumusan SKKNI, itu akan menjadi acuan bagi perguruan tinggi dan lembaga pelatihan untuk menyusun kurikulum dan modul latihan. Dengan begitu, ekosistem terbentuk dan Indonesia memiliki SDM DPO berkualitas.
“SKKNI untuk data privacy belum ada. Untuk jadi DPO, kan, butuh standar kompetensi itu. Jadi, bagi perusahaan swasta kalau mau bikin DPO, standarnya begini lho,” kata Novel.
Instansi swasta maupun pemerintah tengah berbenah dan menyiapkan diri untuk lebh tangguh dalam menghadapi serangan siber maupun kebocoran data pribadi. Kini, semua pihak menunggu niatan politik pembuat kebijakan dalam menuntaskan RUU PDP sebagai payung hukum perlindungan data pribadi. Akankah regulasi itu segera tuntas? Semoga.
(RINI KUSTIASIH/DIAN DEWI PURNAMASARI/NIKOLAUS HARBOWO/EDNA C PATTISINA)