Ketika tempat penyimpanan data tidak lagi tunggal, privasi data juga semakin terancam. Siapa yang harus bertanggung jawab soal keamanan data pribadi perlu jadi renungan bersama.
Oleh
MEDIANA
·4 menit baca
Pertengahan September 2019, blog teknologi BleepingComputer mengungkapkan, puluhan juta data pribadi penumpang maskapai penerbangan Malindo Air dan Thai Lion Air, bagian dari Lion Air Group, bocor di sebuah forum daring. Jenis data pribadi yang bocor meliputi kartu tanda penduduk, nomor paspor, nomor telepon, alamat tempat tinggal, dan alamat surat elektronik. Data itu disimpan dalam dokumen cadangan (backup) yang dibuat Mei 2019.
Kabar itu segera bikin gempar. Apalagi disebut ada sekitar dua persen di antara data pribadi penumpang yang bocor merupakan warga negara Indonesia.
Kementerian Komunikasi dan Informatika bahkan mengundang pihak Lion Air Group untuk mendapatkan kejelasan duduk perkara, berkomunikasi dengan Jabatan Perlindungan Data Pribadi Malaysia, serta berkorespondensi dengan Amazon Web Services (AWS), penyedia infrastruktur penyimpanan data berbasis sistem komputasi awan atau cloud, mitra maskapai itu.
Masuk pekan terakhir September, Malindo Air akhirnya menyatakan bahwa mantan karyawan GoQuo bertanggung jawab atas kebocoran data penumpang mereka. Kebocoran data diklaim telah diatasi dan masalah itu telah dilaporkan ke aparat penegak hukum Malaysia dan India. Malindo Air juga menegaskan AWS tak terkait dengan persoalan itu.
Kasus kebocoran data pribadi penumpang itu bukan kali pertama. Tahun lalu, publik dihebohkan kasus kebocoran data pribadi sekitar 9,4 juta penumpang maskapai Cathay Pacific Airways dan anak usahanya Hongkong Dragon Airlines. Ada pula kasus kebocoran data pribadi dan transaksi finansial penumpang maskapai British Airways. Kebocoran di British Airways terjadi di penyimpanan data berbasis komputasi awan di sistem mereka sendiri. Penyebabnya karena ada peretas.
Terlepas dari kasus itu, di era serba digital seperti sekarang, penyimpanan data pelanggan dan karyawan tidaklah tunggal. Penyimpanan data bisa dilakukan melalui on-premises data center, private cloud, public cloud, atau gabungan yang lebih populer dengan istilah elaborasi. Perusahaan tentu akan memakai infrastruktur pusat data dari multipenyedia. Kalau kebiasaan bekerja membawa perangkat sendiri dijalankan, penyimpanan data dapat terjadi di gawai pribadi karyawan.
Belum lagi, jika perusahaan mengandalkan analisis data berukuran besar untuk mempermudah strategi pemasaran yang lebih personal atau tersegmen. Perusahaan bisa memakai jasa pihak ketiga untuk mengelola dan menganalisa data konsumen lebih cepat. Mitra kemungkinan besar memakai cloud untuk memudahkan kerja itu.
Terkait kebocoran data penumpang Lion Air Group, sempat muncul berita saling tuding tanggung jawab. Dalam konteks keamanan cloud sebenarnya ada model berbagi tanggung jawab antara perusahaan pemakai dan penyedia cloud.
Model berbagi tanggung jawab keamanan diterapkan ke tiga jenis servis yang ditawarkan penyedia, yaitu infrastruktur (Infrastructure as a Service/IaaS), platform (Platform as Service/PaaS), dan aplikasi (Software as a Service/SaaS). Berbagi tanggung jawab ini biasanya dituangkan di awal kerja sama.
Perusahaan dituntut berinvestasi alat dan memastikan aturan kontrol keamanan siber. Aturan kontrol ini mencakup siapa boleh melakukan apa. Untuk urusan klasifikasi dan akuntabilitas data yang bisa dikatakan menempati urutan teratas keamanan, tanggung jawab keamanan dipegang oleh perusahaan pengguna, bukan penyedia cloud.
Gartner Inc, dalam laporan Emerging Risk (Agustus 2018) menyebutkan, keamanan cloud kini jadi perhatian utama. Hingga 2022 diperkirakan ada setidaknya 95 persen kegagalan keamanan cloud karena kesalahan organisasi. Taktik yang lebih canggih, seperti rekayasa sosial, untuk mengkompromikan data sensitif marak. Laporan itu menyurvei para eksekutif senior di organisasi perusahaan global.
Kejadian kebocoran data yang belakangan terjadi ini menyiratkan pesan. Layanan cloud, yang disebut-sebut aman, tetap membutuhkan kewaspadaan dan keamanan siber yang ekstra.
Layanan cloud, yang disebut-sebut aman, tetap membutuhkan kewaspadaan dan keamanan siber yang ekstra.
Ketika ‘tempat’ penyimpanan data tidak lagi tunggal, privasi data juga semakin ‘terancam’. Siapa yang harus bertanggung jawab soal keamanan data pribadi perlu jadi renungan bersama. Sibuk berdebat lokalisasi infrastruktur pusat data sah-sah saja.
Kembali ke kasus kebocoran data pribadi penumpang, alangkah baik melongok akhir kisah kebocoran data pribadi penumpang British Airways. Mengutip BBC, dengan berlakunya Peraturan Perlindungan Data Umum (GDPR), British Airways membayar penalti sekitar 183 juta poundsterling yang diambil dari omzet mereka. GDPR mematok penalti 4 persen dari omzet kepada perusahaan yang terlibat pelanggaran data pribadi.
Ini menimbulkan efek jera kepada perusahaan lain. Alangkah lebih baik saatnya mengerucutkan perbincangan ke ke mana arah kebijakan keamanan dan perlindungan data pribadi terhadap organisasi perusahaan, selain juga terus-menerus mengedukasi warga agar tingkat literasinya bertambah. (MEDIANA)