Penulis: Robin Syihab (Anggota Badan Inovasi Strategis PBNU)
Kebocoran data di Indonesia seperti tidak ada tanggal liburnya. kebocoran data tidak hanya terjadi pada perusahaan swasta, namun juga perusahaan BUMN seperti Pertamina, KAI, bahkan Bank BSI. Lebih parah lagi, kebocoran juga terjadi di instansi pemerintah setingkat kementerian, dari mulai Kemensos, Kemenkumham, Kemendagri, bahkan Kemenhan.
Belum lama ini kami menemukan kasus baru, yaitu kebocoran data yang terjadi di Kementerian Koordinasi Bidang Perekonomian. Total besaran data yang dibocorkan adalah 136GB (terkompresi) dan berisi informasi data kepegawaian (seperti nama, jabatan, gaji, tukin, LPJ), sampai data pribadi seperti NIK, email, nomor telepon, honor pembicara, bahkan rekaman rapat kepegawaian.
Sedikit gambaran data yang bocor dari Kementerian Perekonomian
Data-data ini bisa ditemukan secara publik di internet, dan siapapun bisa mengunduhnya, dengan beberapa juga diperjualbelikan di pasar gelap.
Kami mencatat, kebocoran data di Indonesia mengalami peningkatan yang tajam sejak tahun 2020. Bahkan pada bulan Mei 2020, terjadi tiga kebocoran besar pada tiga e-commerce ternama secara beruntun. Kebocoran data diawali dari Tokopedia yang mengalami kebocoran 91 juta data penggunanya, disusul Bukalapak dan Bhinneka.
Setelah tahun 2020, kebocoran mulai didominasi oleh instansi pemerintahan, seperti BPJS Kesehatan (Mei 2021), KPAI (Oktober 2021), Bank Jatim, dan Database Polri (November 2021).
Kemudian pada tahun 2022 ke atas kebocoran mulai didominasi oleh BUMN, kementerian dan lembaga tinggi negara. Kebocoran data di BUMN terjadi di Jasa Marga, BSI (Bank Syariah Indonesia), MyPertamina (Pertamina), dan IndiHome (Telkom). Kemudian dari kementerian ada Kemensos, Ditjen Imigrasi (Kemenkumham), Ditjen Kependudukan dan Catatan Sipil (Kemendagri), data vaksin Peduli Lindungi (Kemenkes).
Pertanyaannya, mengapa hal ini terus terjadi? Apakah karena kurangnya SDM kita dalam pengamanan data, atau karena kita abai dan menganggap data sebagai hal yg tidak penting?
Lemahnya Kesadaran akan Data Pribadi
Kami melakukan beberapa survei di media sosial, dan menemukan mayoritas gen-z tidak terlalu menganggap serius kebocoran data. Beberapa bahkan berpikir data itu tidak berguna dan tidak berbahaya. Apakah benar klaim tersebut?
Anggapan kebocoran data tidak berbahaya adalah sangat keliru. Memang apabila kita melihat kasus kebocoran data secara satu per satu, sekilas tidak berbahaya. Hal ini karena informasi yang terkandung biasanya tidak lengkap alias hanya sebagian.
Namun yang sering dilupakan orang, informasi yang tidak lengkap itu dapat digabungkan menjadi informasi yang utuh. Dengan kata lain, kombinasi dari beberapa kebocoran dapat menghasilkan informasi yang luar biasa akurat tentang seseorang, dan penyalahgunaannya pun dapat berakibat fatal.
Sebagai contoh, kebocoran data pada e-commerce Tokopedia yang terjadi pada Mei 2020, informasi yang terkandung hanya berupa nama, email, dan nomor telepon. Informasi penting seperti nomor KTP, alamat lengkap, dan nomor rekening tidak bocor di kasus ini.
Namun kemudian terjadi kebocoran juga pada Dukcapil yang berisi informasi nomor telepon, NIK, dan alamat lengkap. Ketika data dari beberapa kebocoran ini disatukan, informasi yang bocor pun menjadi “komplit”. Contohnya, kesamaan nomor telepon bisa mengungkap informasi alamat lengkap. Ketika data ini dikombinasikan lagi dengan kebocoran data BSI, terungkap nomor rekening banknya.
Ketika dikombinasikan dengan data IndiHome, akan terungkap history browsing internetnya. Ketika dikombinasikan dengan data PeduliLindungi, terkuak data golongan darah, riwayat vaksin, dan jenis vaksin. Begitu seterusnya, sehingga kombinasi dari beberapa kebocoran data akan menciptakan gambaran utuh dari seseorang.
Kami sendiri menemukan menemukan perangkat lunak atau layanan bawah tanah di darknet yang bisa digunakan untuk profiling atau doxing seseorang. Alat ini secara otomatis mengkombinasikan data dari berbagai kebocoran data yang pernah terjadi. Beberapa layanan bahkan dibuat sebagai mesin pencari; mirip seperti Google tapi untuk kebocoran data.
Cukup hanya dengan memberikan ID media sosialnya saja, alat tersebut bisa mendapatkan banyak informasi pribadi seseorang.
Di Darknet, ada search engine yang menampilkan informasi seseorang dengan lengkap. Seluruh informasi ini adalah gabungan dari data yang pernah bocor
Sudah Ada Regulasi
Kalau kita beranggapan bahwa negara abai, itu juga tidak benar. Saat ini, Indonesia sudah memiliki UU Perlindungan Data Pribadi (PDP) yang disahkan pada tanggal 20 September 2022.
Lalu mengapa kebocoran terus terjadi dan bahkan beruntun seperti ini?
Kami pun mencoba melakukan analisis dengan cara mempelajari beberapa sampel data yang kami dapatkan dari darknet serta forum internet bawah tanah seperti RaidForums dan BreachForums.
Dari hasil analisa kami menemukan bahwa penyebab kebocoran sebagian besar terjadi karena beberapa hal berikut:
Pertama, kelalaian dalam penyimpanan data pencadangan yang tidak sesuai standar. Contohnya pelanggaran terhadap penerapan ISO 27001 ketika pencadangan data berada di lingkungan yang tidak aman. Contohnya data ditaruh di server dengan akses publik, pada flashdisk, atau pada laptop pegawai tanpa enkripsi.
Kedua, akibat serangan malware seperti ransomware dan spyware. Hal ini diindikasikan dari temuan data non database dengan jenis dokumen berbeda-beda. Contohnya dokumen dalam bentuk pdf, excel, ppt, dan video. Beberapa jenis ransomware seperti LockBit melakukan pencurian data dengan cara menyalin satu disk dan mengunggahnya ke server milik aktor kejahatan.
Penelitian menunjukkan, penyebab utama kebocoran data adalah serangan ransomware
Ketiga, serangan peretasan ke layanan pusat data. Hal ini diindikasikan dari adanya data dalam bentuk database dump dengan informasi metadata atau signature khusus yang menandakan adanya pelanggaran keamanan. Ada juga yang dalam bentuk akses penuh ke sistem kontrol panel korban. Yang menarik kasus seperti ini tidak begitu banyak.
Keempat, disebabkan orang dalam. Hal ini diindikasikan dengan temuan bahwa beberapa pelaku mengklaim sebagai orang dalam dan bahkan memberikan layanan khusus berbayar untuk mencarikan data secara spesifik dari dalam sistem.
Yang menarik dari keterlibatan orang dalam ini, ternyata ada layanan khusus operator ransomware, yaitu program afiliasi ransomware as a service (RaaS). Contohnya yang dilakukan operator ransomware LockBit yang membuat program yang menjanjikan imbalan besar pada siapa saja –kebanyakan orang dalam–untuk menanamkan program jahat (malware) ke sistem komputer perusahaan.
Ketika serangan itu berhasil, LockBit akan membayar orang dalam tersebut setelah perusahaan yang jadi korban membayar uang tebusan. Program afiliasi ini paling mengerikan, karena sebagus apapun teknik pengamanan sistem kalau pelakunya orang dalam tetap akan tembus juga.
Solusi Kebocoran Data
Lalu bagaimana solusinya? Menurut kami, pemerintah perlu melakukan sosialisasi UU PDP yang lebih luas dan intens agar semua pihak menyadari pentingnya melindungi data privasi. Selain itu, pemerintah juga perlu mengadakan pelatihan khusus pengamanan data pada stakeholder terkait, dan sanksi yang tegas terhadap penyelenggara data yang gagal mengamankan data.
Yang tak kalah penting adalah penanaman akhlak yang sebenarnya bagi para pegawai sehingga tidak menjadi orang dalam yang justru menjadi aktor pencurian data.