Baca berita dengan sedikit iklan, klik di sini

Arsip

Kombinasi Lemahnya Teknologi dan Keteledoran Pengelola

Kebocoran data terus terulang di berbagai instansi dan lembaga di Indonesia. Perlu perubahan paradigma soal keamanan data.

23 Oktober 2021 | 00.00 WIB

Image of Tempo
Perbesar
Pengguna membuka halaman promosi Tokopedia di Jakarta, 3 Mei 2021. TEMPO/Tony Hartawan

Baca berita dengan sedikit iklan, klik di sini

Poin penting

  • Kebocoran data semakin sering menimpa lembaga dan instansi di Indonesia.

  • Tak cukup dengan sekadar menempatkan data di data center atau memasang firewall.

  • Publik menjadi pihak yang paling dirugikan.

JAKARTA — Penjualan data Komisi Perlindungan Anak Indonesia (KPAI) di situs RaidForums menambah panjang daftar kasus pembobolan data di Tanah Air. Pengamat teknologi informasi Ruby Alamsyah menilai kejadian berulang tersebut menunjukkan bahwa teknologi dan sumber daya manusia penyelenggara sistem elektronik di berbagai lembaga di Indonesia belum mumpuni dalam menjaga keamanan data.

Baca berita dengan sedikit iklan, klik di sini

Berkaca pada kasus kebocoran data yang dialami perusahaan rintisan pada 2019, Ruby mengatakan, teknologi canggih saja tak cukup untuk menjamin keamanan data. Sebab, ada unsur kelalaian dari pengelolanya. "Kalau SDM tidak berdisiplin, tidak menjalankan prosedur operasional standar, terjadi terus kebocoran data," kata dia, kemarin.

Baca berita dengan sedikit iklan, klik di sini

Dalam tiga tahun terakhir, kebocoran data di instansi pemerintah maupun swasta terus bermunculan. Pada 2019, misalnya, kebocoran data dialami Bukalapak. Sebanyak 13 juta data pelanggan lokapasar itu dijual di forum peretas. Tahun berikutnya, giliran Tokopedia yang kena. Tak tanggung-tanggung, 91 juta data penggunanya bocor.

Tahun ini, secara beruntun kebocoran data terjadi di instansi pemerintah dan perbankan, antara lain BPJS Kesehatan, BRI Life, e-HAC, dan Bank Jatim. Teranyar, kebocoran data juga diduga dialami Komisi Perlindungan Anak Indonesia. Data pelapor KPAI diduga bocor dan dijual murah di situs RaidForums.

Dari berbagai kasus tersebut, semestinya penyelenggara teknologi informasi menarik pelajaran dengan mempertebal keamanan siber mereka. Kenyataannya, menurut Ruby, tidak. Dia mencontohkan kebocoran data yang berturut-turut terjadi di Bukalapak dan Tokopedia, yang sama-sama raksasa lokapasar di Indonesia.

Aktivitas pelayanan di kantor BPJS kesehatan Jakarta. TEMPO/Tony Hartawan

Ruby mengatakan langkah mitigasi yang paling penting adalah pemantauan 24 jam. Jika Tokopedia, misalnya, mengawasi data mereka tanpa henti, dia melanjutkan, pengelola pasti mengetahui ada peretas yang masuk ke sistem mereka tak lama setelah kejadian. Namun, saat terjadi kebocoran data pelanggan, Tokopedia baru menyadarinya setelah lewat dua bulan. "Artinya pemantauannya enggak ada," kata Ruby.

Pengamat teknologi informasi dan media sosial Kun Arief Cahyantoro menilai ada pemahaman yang tidak tepat soal keamanan data. Menurut dia, kebanyakan orang mengasosiasikan data mereka langsung aman setelah diletakkan di pusat data atau ditempeli banyak firewall. Layaknya menaruh uang di brankas atau memasang alarm di pintu.

Padahal obyek dalam dunia siber berbeda dengan di dunia nyata. Pencurian data tidak mengakibatkan data berkurang seperti pencurian uang tunai. Kebocoran data satu kali saja, dia melanjutkan, menunjukkan kegagalan keseluruhan sistem. "Mitigasinya hanya satu cara, yaitu restrukturisasi data tersebut. Misalnya penggantian kata kunci terhadap seluruh pengguna yang teridentifikasi dicuri atau bocor," ujar Kun.

Kun mengatakan fokus keamanan siber bukan pada sisi keamanan, melainkan ketahanan. Ketahanan itu meliputi kemampuan cepat untuk mengidentifikasi dan merespons masalah, lalu kembali beroperasi seperti sedia kala. Faktor ketahanan sistem dan aplikasi ini yang seharusnya ditingkatkan dan dijaga dengan pemantauan berkelanjutan.

"Hal yang terjadi malah sebaliknya," kata Kun. Kebanyakan penyelenggara sistem elektronik, dia melanjutkan, berfokus pada keamanan. "Jika data sudah ditambahkan dengan alat pengamanan atau diletakkan pada tempat aman, maka dianggap aman seterusnya."

Padahal kebolehan peretas berbanding lurus dengan kecanggihan teknologi informasi. Sehingga, Kun melanjutkan, penyelenggara tidak bisa hanya bergantung pada sistem atau aplikasi pengamanan. Harus ada tim audit yang setiap saat menganalisis perkembangan teknologi yang mungkin membongkar celah ketidakamanan di sistem.

Pakar keamanan siber dari Vaksincom, Alfons Tanujaya, menilai berulangnya kasus kebocoran data di dalam negeri disebabkan oleh kurangnya kesadaran akan pentingnya data sebagai aset. Para penyelenggara sistem elektronik, kata dia, cuma mau mengolah data, tapi kurang menjalankan kewajiban mengamankannya.

Seharusnya, Alfons melanjutkan, setiap lembaga pemerintahan memiliki kemampuan pengelolaan dan pengamanan data yang sama-sama tinggi. Sebab, obyek yang dikelola adalah data publik. Kalau bocor, yang paling rugi adalah pemilik data pribadi. "Mungkin darah-darah muda milenial perlu lebih dilibatkan dan mengurangi pekerja baby boomer yang sulit beradaptasi dengan zaman digital ini," ujarnya.

Dari sisi tata kelola, manajemen instansi perlu menempatkan tim internal yang merupakan karyawan tetap sebagai tim pengelola database. Dia mewanti-wanti agar penyelenggara sistem elektronik tidak mempercayakan urusan perawatan database kepada orang luar. "Kalau berbasis proyek, maka selesai proyek, perawatan data tidak dilakukan lagi. Hal ini yang menyebabkan server pengelola data bisa diretas," kata Alfons.

Menteri Komunikasi dan Informatika Johnny Gerard Plate menyebutkan tiga cara mitigasi agar kebocoran data bisa diminimalkan. Baik lembaga pemerintah maupun swasta yang menjadi penyelenggara sistem elektronik harus meningkatkan teknologi enkripsi, sumber daya manusia, dan tata kelola yang baik.

Menurut Johnny, meski aturan sudah bagus, jika tata kelola tidak mumpuni, ancaman pembobolan data tetap ada. Selain dari penyelenggara sistem elektronik, dia mengingatkan agar masyarakat lebih berhati-hati saat hendak mempercayakan datanya. Misalnya dengan tidak sembarangan menyebarkan nomor induk kependudukan. Cara lain adalah sering mengganti kata kunci akun surat elektronik maupun media sosial, sehingga tak mudah dibobol.

MAYA AYU PUSPITASARI
Image of Tempo
Image of Tempo
Berlangganan Tempo+ untuk membaca cerita lengkapnyaSudah Berlangganan? Masuk di sini
  • Akses edisi mingguan dari Tahun 1971
  • Akses penuh seluruh artikel Tempo+
  • Baca dengan lebih sedikit gangguan iklan
  • Fitur baca cepat di edisi Mingguan
  • Anda Mendukung Independensi Jurnalisme Tempo
Lihat Benefit Lainnya
Image of Tempo

Baca berita dengan sedikit iklan, klik di sini

Image of Tempo
>
Logo Tempo
Unduh aplikasi Tempo
download tempo from appstoredownload tempo from playstore
Ikuti Media Sosial Kami
© 2024 Tempo - Hak Cipta Dilindungi Hukum
Beranda Harian Mingguan Tempo Plus