Menu
Kajian dan Aksi Strategis IMTK FTUI 2021
Cyber security adalah perlindungan sistem yang terhubung ke internet, termasuk perangkat keras, perangkat lunak, dan data dari serangan cyber. Dalam konteks komputasi, keamanan terdiri dari keamanan cyber dan keamanan fisik yang mana keduanya digunakan oleh perusahaan untuk melindungi pusat data dan sistem komputer mereka terhadap akses ilegal. Keamanan informasi, yang dirancang untuk menjaga kerahasiaan, integritas, dan ketersediaan data, adalah bagian dari keamanan cyber.
Konsep dasar dari Cyber security ada 3 berdasarkan “The CIA Triad” yang terdiri atas Confidentiality (kerahasiaan), Integrity (integritas), dan Availability (ketersediaan). Confidentiality atau kerahasiaan merupakan aturan yang membatasi akses informasi dengan cara mengambil langkah-langkah untuk membatasi informasi sensitif agar tidak diakses oleh peretas dunia maya. Dalam organisasi, orang-orang diizinkan atau ditolak untuk mengakses informasi sesuai dengan kategorinya dengan memberikan wewenang kepada orang yang tepat di suatu departemen.
Integrity memastikan bahwa data konsisten, akurat, dan dapat dipercaya selama periode tertentu. Ini berarti bahwa data dalam transit tidak boleh diubah, dihapus atau diakses secara ilegal. Langkah-langkah yang tepat harus diambil dalam suatu organisasi untuk memastikan keamanannya. Izin file dan kontrol akses pengguna adalah langkah-langkah yang mencegah adanya peretasan data. Selain itu, harus ada alat dan teknologi yang diterapkan untuk mendeteksi perubahan atau pelanggaran data. Untuk mengatasi kehilangan data atau penghapusan tidak disengaja atau bahkan serangan cyber, cadangan reguler harus ada. Saat ini, cloud backup menjadi solusi paling terpercaya.
Availability dalam hal ini mencakup keperluan seperti perangkat keras, perangkat lunak, jaringan, dan peralatan keamanan yang harus dipelihara dan ditingkatkan performanya. Hal ini dilakukan untuk memastikan kelancaran fungsi dan akses data tanpa gangguan serta menyediakan komunikasi yang konstan antara komponen melalui penyediaan bandwidth yang cukup. Selain itu, pemilihan peralatan keamanan tambahan juga penting jika terjadi bencana atau kemacetan.
Kebocoran data BPJS ini merupakan salah satu kasus cyber security crime yang terjadi baru-baru ini. Informasi kebocoran data milik 279 juta warga Indonesia yang diduga merupakan data dari BPJS Kesehatan pertama kali beredar di media sosial pada 20 Mei 2021. Data tersebut dipublikasikan dan dijual di salah satu forum online. Data itu mencakup nomor induk kependudukan, kartu tanda penduduk (KTP), nomor telepon, email, nama, alamat, hingga gaji.
Direktur Utama BPJS Kesehatan Ali Ghufron Mukti menyatakan bahwa pada hari yang sama, pihaknya segera melakukan koordinasi dan investigasi terkait adanya dugaan peretasan data. Proses koordinasi terus berlanjut kepada pihak-pihak lain yang terkait. Direktur Utama BPJS Kesehatan Ali Ghufron Mukti mengatakan selama ini BPJS telah melakukan upaya maksimal untuk melindungi data peserta. BPJS mengembangkan dan mengimplementasikan standar ISO 27001 (tersertifikasi), Control Objectives for Information Technologies (COBIT) serta mengoperasikan Security Operation Center (SOC).
Untuk mengusutnya, Polri telah membentuk tim khusus untuk mengusut dugaan kebocoran 279 juta data penduduk Indonesia. Ditambah lagi, BPJS Kesehatan juga sudah berkoordinasi dengan pihak-pihak terkait dalam rangka memastikan kebenaran berita serta mengambil langkah-langkah yang diperlukan. Di antaranya dengan Kementerian Komunikasi dan Informatika (Kemenkominfo), Badan Siber dan Sandi Negara (BSSN), Cybercrime Mabes Polri, Pusat Pertahanan Siber Kementerian Pertahanan, Kementerian Koordinator Bidang Politik, Hukum, dan Keamanan (Kemenko Polhukam), Kementerian Koordinator Bidang Pembangunan Manusia dan Kebudayaan (Kemenko PMK), serta pihak lainnya.
Sabtu 22 Mei 2021, dua hari setelah informasi dugaan kebocoran data mencuat, tim BPJS Kesehatan bersama BSSN dan tim security operation system melakukan investigasi dengan melakukan penelusuran melalui forensik digital dan sampel data dari akun kotz. Akun itu yang mengunggah informasi penjualan data di situs raidforum.com.
Namun, hingga sekarang, Polri mengaku belum memutuskan kasus dugaan kebocoran data BPJS. Karo Penmas Divisi Humas Polri Brigjen Rusdi Hartono menyampaikan bahwa pihaknya masih tengah menganalisa berbagai keterangan saksi yang diperiksa penyidik. Sejauh ini, Polri telah memeriksa 4 orang saksi, dengan 2 orang berasal dari pihak internal BPJS Kesehatan dan 2 orang lainnya berasal dari Badan Sandi dan Siber Negara (BSSN).
2. Kasus Kebocoran Data Tokopedia
Pada awal Mei 2020, sebanyak 91 juta data pengguna dan lebih dari tujuh juta data merchant Tokopedia dikabarkan dijual di situs gelap (dark web). Data pengguna Tokopedia yang dijual mencakup gender, lokasi, username, nama lengkap pengguna, alamat email, nomor ponsel, dan password. Data tersebut kabarnya sudah dikumpulkan peretas sejak Maret 2020. “Kami menyadari bahwa pihak ketiga yang tidak berwenang telah mem-posting informasi secara ilegal di media sosial dan forum internet terkait cara mengakses data pelanggan kami yang telah dicuri,” kata VP of Corporate Communications Tokopedia Nuraini Razak
Namun, Nuraini Razak mengatakan bahwa password milik pengguna telah terlindungi dan dienkripsi karena data yang bocor adalah bukan data pengguna yang terbaru. Tokopedia juga menerapkan sistem kode OTP (one-time password) yang hanya bisa diakses secara real time oleh pemilik akun.
Sebelumnya, lembaga riset cyber CISSReC menemukan link atau tautan yang berisi 91 juta data pengguna Tokopedia yang disebar di salah satu grup di Facebook dan bisa diunduh secara bebas. Kepala CISSReC Pratama Persadha menyebut tautan yang sudah dibagikan secara cuma-cuma sejak Jumat (3/7) tersebut berasal dari salah satu akun bernama @Cellibis, yang mengaku membelinya di dark web seharga US$5 ribu (Rp70 juta), di forum Raidsforum.
Nuraini melanjutkan bahwa pihaknya meminta penghapusan data yang tersebar itu karena merupakan pelanggaran hukum. Tokopedia sudah berkoordinasi dengan pemerintah dan pihak berwenang terkait pencurian data ini.
3. Kasus Kebocoran Data RedDoorz
Pada November 2020 lalu, sebanyak 5,8 juta data pengguna RedDoorz dijual dengan harga 2.000 USD atau sekitar Rp28,2 juta rupiah. Data yang bocor mencakup nama, e-mail, password, foto profil, gender, dan nomor ponsel. Pihak RedDoorz mengatakan bahwa data personal dan informasi finansial dari pengguna, seperti informasi kartu kredit tidak termasuk dalam data yang dibobol.
Pemerintah adalah role model utama dalam mencontohkan bagaimana menerapkan keamanan siber guna mendukung seluruh layanan kepada masyarakat yang efektif dan efisien. Proses pengadaan oleh pemerintah yang punya andil cukup besar di sektor swasta. Dengan menerapkan standar kriteria keamanan siber minimal yang harus dipenuhi, memudahkan dalam mengidentifikasi jika ada celah dalam proses pengadaan. Sejauh ini pemerintah memiliki Badan Siber dan Sandi Negara atau BSSN sebagai benteng pertahanan keamanan siber negara yang mana menjadi isu prioritas di seluruh negara mengingat teknologi informasi dan komunikasi sudah dimanfaatkan di berbagai sektor. BSSN sendiri memiliki laman di internet yang memungkinkan komunikasi masyarakat dengan BSSN secara daring. Laman BSSN ini juga memiliki kolom “Literasi” yang memberikan edukasi pada masyarakat, himbauan keamanan, serta berbagai publikasi. Namun, melihat maraknya kasus siber, nampaknya diperlukan benteng pertahanan yang lebih kuat.
Diperlukan juga regulasi untuk pelaporan yang wajib menjamin perusahaan dapat beroperasi dengan standar operasi perlindungan data yang ketat. Tetapi, di sisi lain hendaknya jangan sampai menghambat dan menimbulkan kesulitan bagi operasional harian perusahaan dengan adanya batasan-batasan tersebut. Ketersediaan SDM juga sangat krusial dan tidak akan terlepas dari indikator sebelumnya seperti regulasi dan teknologi. Sebagai gambaran, kawasan Asia Pasifik membutuhkan 2,6 juta tenaga ahli cyber security. Sama halnya di kawasan Amerika Latin yang juga membutuhkan 600 ribu tenaga baru.
D. DAFTAR PUSTAKA
BBC News Indonesia. 2021. Data ratusan juta peserta BPJS Kesehatan diduga bocor, ‘otomatis yang dirugikan masyarakat’ – BBC News Indonesia. [online] Available at: <https://www.bbc.com/indonesia/indonesia-57196905> [Accessed 10 June 2021].
BSSN. 2021. Strategi Keamanan Siber Nasional | bssn.go.id. [online] Available at: <https://bssn.go.id/strategi-keamanan-siber-nasional/> [Accessed 12 June 2021].
Detiknews.2019. Menerapkan E-Government: Belajar dari Estonia. [online] Available at: <https://news.detik.com/kolom/d-4608029/menerapkan-e-government-belajar-dari-estonia> [Accessed 9 June 2021]
Indonesia, C., 2021. Link Data Bocor di Medsos, Tokopedia Klaim Bukan Kasus Baru. [online] Available at: <https://www.cnnindonesia.com/teknologi/20200705233414-185-521145/link-data-bocor-di-medsos-tokopedia-klaim-bukan-kasus-baru> [Accessed 13 June 2021].
Informasi Pelatihan dan Training Uvi Consultant Yogya. 2020. Mengenal Apa Itu IT Cyber Security – Informasi Pelatihan dan Training Uvi Consultant Yogya. [online] Available at: <https://uvi.co.id/mengenal-apa-itu-it-cyber-security/> [Accessed 8 June 2021].
Khoirunnisaa, J., 2021. Langkah BPJS Kesehatan Usai Dugaan Data Peserta Bocor di Forum Online. [online] detiknews. Available at: <https://news.detik.com/berita/d-5582402/langkah-bpjs-kesehatan-usai-dugaan-data-peserta-bocor-di-forum-online> [Accessed 10 June 2021].
Media, K., 2021. 7 Kasus Kebocoran Data yang Terjadi Sepanjang 2020 Halaman all – Kompas.com. [online] KOMPAS.com. Available at: <https://tekno.kompas.com/read/2021/01/01/14260027/7-kasus-kebocoran-data-yang-terjadi-sepanjang-2020?page=all> [Accessed 10 June 2021].
Rahman, A., 2021. Riset Ungkap Peran Pemerintah Menghadapi Cyber Attack. [online] Cyberthreat. Available at: <https://cyberthreat.id/read/5949/Riset-Ungkap-Peran-Pemerintah-Menghadapi-Cyber-Attack> [Accessed 10 June 2021].