Peretasan Data Mencemaskan, Apa yang Harus Dilakukan?
Kewaspadaan juga ditingkatkan warga di tengah maraknya pencurian data pribadi, misalnya memperbarui PIN kartu ATM, serta tak mengunggah data pribadi di media sosial.
Oleh
NIKOLAUS HARBOWO
·5 menit baca
Ancaman siber yang semakin besar di Tanah Air semakin menambah kekhawatiran publik. Apalagi, belakangan ramai kabar peretasan jaringan internal 10 kementerian/lembaga pemerintah oleh Mustang Panda, sekelompok peretas dari China. Mereka ketar-ketir data pribadinya bocor dan digunakan oleh pelaku kejahatan. Ada sejumlah hal yang perlu dilakukan untuk mengatasi pencurian data pribadi, di tingkat lembaga maupun pada tataran individu.
Pegawai swasta, Valentina Sitorus (26), saat dihubungi di Jakarta, Selasa (14/9/2021). mengatakan, berbagai serangan siber yang terjadi di Indonesia membuat dia khawatir akan keamanan data pribadinya. Apalagi, dia telah mempercayakan sebagian data pribadinya ke sejumlah platform digital, bank, bahkan aplikasi milik pemerintah.
”Saya sebagai warga negara juga mempertanyakan bagaimana usaha negara menjaga ruang siber ini tetap aman? Padahal, itu tanggung jawab negara juga,” ujar Valentina.
Padahal, sebagai pemilik data, Valentina mengaku sudah terus berusaha melindungi keamanan data pribadinya. Dalam menginput data ke sebuah aplikasi, misalnya, dia akan mempelajari terlebih dahulu syarat dan ketentuan terkait keamanan data pribadi. Aplikasi yang dipilih juga harus kredibel. Misalnya, terkait lembaga keuangan, maka harus terdaftar di Otoritas Jasa Keuangan (OJK).
Selain itu, Valentina juga menyadari pentingnya mengganti kata sandi atau PIN secara berkala untuk meminimalkan potensi pembobolan data. Lebih dari itu, di media sosial, ia juga tidak asal mengunggah hal-hal yang mengandung privasi, seperti sertifikat, kartu tanda penduduk, dan kartu keluarga.
Namun, menurut Valentina, semua cara itu akan sia-sia jika peretas atau pembobol data langsung mengarah ke servernya. ”Sebenarnya, saya sudah hati-hati, cuma kalau yang dibobol pusatnya, apa iya, pemilik data yang dibilang sembrono? Kan, seharusnya, penerima data yang menjamin keamanan data, apalagi kalau itu lembaga kredibel, termasuk lembaga pemerintah,” ujarnya.
Kekhawatiran akan kebocoran data pribadi juga diungkapkan pensiunan pegawai negeri sipil, Mieke Slamet (68). Ia menduga kebocoran data di Indonesia sudah sangat parah. Itu terbukti ketika ia kerap menerima telepon dan pesan singkat (short message service) dari orang tak dikenal. Ironisnya lagi, identitas dirinya juga diketahui oleh orang tak dikenal itu.
”Kalau ada yang begitu-begitu, saya pasti langsung tutup teleponnya atau abaikan saja pesannya. Itu saja saya sudah curiga, mereka dapat nomor (telepon) dan data saya dari mana? Pasti ada kebocoran data di sini,” ucap Mieke.
Mieke hanya bisa terus waspada. Kewaspadaan juga ditingkatkan di beberapa hal, misalnya, memperbarui PIN kartu ATM dan tidak mengunggah data pribadi di media sosial. ”Jadi, saya lebih jaga-jaga saja,” katanya.
Perspektif kejahatan
Co-Founder Indonesia Cyber Security Forum (ICSF) M Novel Ariyadi berpandangan, dalam perspektif pelaku kejahatan, data pribadi sangat penting untuk dicuri dan disalahgunakan. Sebab, data pribadi tersebut bisa menjadi langkah pembuka bagi aktivitas kriminal lanjutan dalam mencapai target yang diinginkan.
”Melalui pencurian identitas atau account take over, pelaku kejahatan dapat melakukan akses ilegal untuk melakukan transaksi ilegal atau fraudulent transaction dengan mengatasnamakan korban dan tanpa persetujuan korban,” ujar Novel.
Dengan latar belakang ini, lanjut Novel, pelaku kejahatan senantiasa mencari kelemahan untuk mendapatkan data pribadi tersebut. Bagi mereka, kelemahan merupakan peluang. Tanpa adanya hal tersebut, tentu sangat sulit untuk mencapai tujuan kriminalnya.
Permasalahan kelemahan tersebut terbuka lebar, baik pada aspek regulasi, penyelenggara sistem elektronik, maupun aspek pengguna. Hal inilah yang menyebabkan data pribadi rawan dicuri dan dimanipulasi untuk berbagai tujuan kriminal.
Pertama, kelemahan pada aspek regulasi, misalnya tidak adanya sanksi yang memadai terhadap kelengahan dan lemahnya aspek kompetensi pada penyelenggara sistem elektronik (PSE) untuk melakukan perlindungan data pribadi pengguna. Lemahnya sanksi dan penegakan hukum ini menyebabkan PSE berperilaku tidak bertanggung jawab dan tidak peduli dengan keamanan data pribadi pengguna.
”Hal ini tentu berbeda jika dibandingkan dengan sanksi administratif di Eropa yang sangat tinggi, yang mencapai 4 persen per annual revenue, sehingga para PSE harus bertanggung jawab dan mengerahkan segenap kemampuan untuk mengamankan data pribadi milik pengguna,” kata Novel.
Kedua, kelemahan pada aspek PSE, di antaranya tidak disiplin dan ketidakmampuan dalam menerapkan standar dan praktik terbaik yang berlaku di industri keamanan siber. Sering kali, kewajiban sertifikasi SNI ISO/IEC 27001 dianggap sebagai formalitas belaka atau dianggap sebagai tujuan akhir.
”Padahal, filosofi standar keamanan informasi itu merupakan titik awal perjalanan atau standar minimal keamanan sistem elektronik,” ujar Novel.
Ketiga, kelemahan pada aspek pengguna, antara lain, ketidaktahuan tentang urgensi perlindungan data pribadinya yang berakibat pada lemahnya kesadaran keamanan (security awareness). Alhasil, muncul sikap tidak disiplin dalam menerapkan perilaku keamanan siber yang baik.
”Ketiga aspek kelemahan tersebut dalam perspektif pelaku kejahatan merupakan peluang yang dapat dimanfaatkan untuk mencuri dan melakukan manipulasi data pribadi,” tutur Novel.
Antisipasi warga
Sejumlah langkah yang dapat dilakukan oleh warga agar data pribadinya terlindungi, antara lain, meneliti terlebih dahulu aplikasi yang ingin digunakan, serta mempelajari syarat dan ketentuan terkait perlindungan data pribadi. Pengguna diharapkan tidak menggunakan aplikasi di mana PSE menyatakan tidak bertanggung jawab terhadap kerentanan pada sistem miliknya.
Selain itu, pengguna juga wajib meneliti relevansi izin akses (permission) yang diminta oleh sebuah aplikasi. PSE yang bertanggung jawab hanya meminta izin akses sesuai dengan tujuan dari aplikasi tersebut dan tidak berlebihan.
Pengguna juga perlu menerapkan prinsip-prinsip cyber hygiene dalam beraktivitas dalam jaringan atau online. Salah satunya yang paling penting adalah mengamankan akun dengan menerapkan prinsip-prinsip password yang kuat dan menerapkan multifactor authentication.
Pengguna juga perlu meningkatkan kewaspadaan terhadap pesan elektronik (e-mail) atau pesan dari seseorang tak dikenal, serta tidak mengklik sebuah link dan attachement yang mencurigakan.
Namun, semua itu belum cukup. Novel menilai, aktivitas pengamanan data pribadi tidak bisa dilakukan dari sisi pengguna saja. Upaya pengamanan data pribadi merupakan aktivitas yang bersifat kolaborasi dari para seluruh pemangku kepentingan, yaitu antara pengguna, penyelenggara sistem elektronik, dan regulator.
Dari perspektif regulator, mereka harus menyiapkan substansi regulasi yang dapat menjawab ancaman siber saat ini dan dapat diimplementasikan oleh pengguna dan penyelenggara sistem elektronik. Lebih jauh lagi, regulasi harus digunakan untuk membentuk perilaku yang bertanggung jawab, baik dari sisi PSE, maupun pengguna.
”Adanya sanksi yang fair, adil, dan berefek jera dapat menjadi upaya untuk membentuk perilaku tersebut,” kata Novel.
Dari perspektif PSE, mereka juga harus disiplin untuk menerapkan standard and best practice keamanan siber, serta harus selalu waspada dengan dinamika ancaman siber yang selalu berubah. ”Perlu juga terus meningkatkan kompetensi di bidang keamanan siber untuk mengantisipasi lanskap ancaman yang sangat dinamis,” ucapnya.