Pertama, kelalaian dalam penyimpanan data pencadangan yang tidak sesuai standar. Contohnya pelanggaran terhadap penerapan ISO 27001 ketika pencadangan data berada di lingkungan yang tidak aman. Contohnya data ditaruh di server dengan akses publik, pada flashdisk, atau pada laptop pegawai tanpa enkripsi.
Kedua, akibat serangan malware seperti ransomware dan spyware. Hal ini diindikasikan dari temuan data non database dengan jenis dokumen berbeda-beda. Contohnya dokumen dalam bentuk pdf, excel, ppt, dan video. Beberapa jenis ransomware seperti LockBit melakukan pencurian data dengan cara menyalin satu disk dan mengunggahnya ke server milik aktor kejahatan.
Penelitian menunjukkan, penyebab utama kebocoran data adalah serangan ransomware
Ketiga, serangan peretasan ke layanan pusat data. Hal ini diindikasikan dari adanya data dalam bentuk database dump dengan informasi metadata atau signature khusus yang menandakan adanya pelanggaran keamanan. Ada juga yang dalam bentuk akses penuh ke sistem kontrol panel korban. Yang menarik kasus seperti ini tidak begitu banyak.
Keempat, disebabkan orang dalam. Hal ini diindikasikan dengan temuan bahwa beberapa pelaku mengklaim sebagai orang dalam dan bahkan memberikan layanan khusus berbayar untuk mencarikan data secara spesifik dari dalam sistem.
Yang menarik dari keterlibatan orang dalam ini, ternyata ada layanan khusus operator ransomware, yaitu program afiliasi ransomware as a service (RaaS). Contohnya yang dilakukan operator ransomware LockBit yang membuat program yang menjanjikan imbalan besar pada siapa saja –kebanyakan orang dalam–untuk menanamkan program jahat (malware) ke sistem komputer perusahaan.
Ketika serangan itu berhasil, LockBit akan membayar orang dalam tersebut setelah perusahaan yang jadi korban membayar uang tebusan. Program afiliasi ini paling mengerikan, karena sebagus apapun teknik pengamanan sistem kalau pelakunya orang dalam tetap akan tembus juga.
Solusi Kebocoran Data
Lalu bagaimana solusinya? Menurut kami, pemerintah perlu melakukan sosialisasi UU PDP yang lebih luas dan intens agar semua pihak menyadari pentingnya melindungi data privasi. Selain itu, pemerintah juga perlu mengadakan pelatihan khusus pengamanan data pada stakeholder terkait, dan sanksi yang tegas terhadap penyelenggara data yang gagal mengamankan data.
Yang tak kalah penting adalah penanaman akhlak yang sebenarnya bagi para pegawai sehingga tidak menjadi orang dalam yang justru menjadi aktor pencurian data.