DATA BREACH

Author: Heru Prasetyo, S.E, M.Kom

Program Studi Teknologi Komputer

Menurut Trend Micro, Data Breach adalah suatu insiden di mana informasi dicuri atau diambil dari sistem tanpa sepengetahuan atau otorisasi pemilik sistem.

Data Breach(Pelanggaran Data) dapat dialami oleh baik perusahaan kecil ataupun organisasi besar. Data yang dicuri mungkin mengandung informasi sensitif, eksklusif atau rahasia, seperti misalnya nomor kartu kredit, data pelanggan, rahasia dagang, hingga informasi yang terkait pada masalah keamanan nasional(perusahaan yang melaksanakan tender Alutsista dari instansi pemerintah, misalnya).

Secara taksonomi keilmuan, Data Breach adalah salah satu bentuk dari Cyber Security Incident yang merupakan kejadian pelanggaran informasi dalam bidang ilmu Information Security yang dipelajari dalam Jurusan atau Program Studi terkait Information Technology. Data Breach bersama kejadian pelanggaran informasi yang lain dan metode pelanggarannya seperti hacking(peretasan) dan scraping(data crawling, fetching, extracting dari website target) misalnya, dimasukkan dalam bahasan utama dalam Cyber Warfare atau Cyber Attack. Kata Data Leak(kebocoran data) juga kadang dipakai bergantian dengan Data Breach jika kejadiannya melibatkan jumlah data yang besar.

Beberapa kejadian terkait Data Breach di Indonesia dalam beberapa tahun terakhir antara lain:

1. Pelanggaran data terhadap Tokopedia. Tahun 2020. 91 juta user data
2. Pelanggaran data terhadap Bukalapak. Tahun 2020. 12,9 juta user data.
3. Pelanggaran data terhadap Bhinneka. Tahun 2020. 1,2 juta user data.
4. Pelanggaran data terhadap Malindo dan Lion Air Group. Tahun 2019. 156 ribu data penumpang Indonesia.
5. Pelanggaran data terhadap Facebook. Tahun 2021. 130 ribu user data Indonesia.
6. Pelanggaran data terhadap Cermati. Tahun 2020. 2,9 juta user data.
7. Pelanggaran data terhadap Kreditplus. Tahun 2020. 819 ribu data nasabah.
8. Pelanggaran data terhadap KPU. Tahun 2020. 2,3 juta  data pemilih.
9. Pelanggaran data terhadap Pasien Covid-19. Tahun 2020. 230 ribu data pasien.
10. Pelanggaran data terhadap Perusahaan Cryptocurrency Jakarta. Tahun 2021. Kerugian ditaksir USD 24,9 juta.
11. Pelanggaran data terhadap Pertamina. Tahun 2021. 91 ribu data pelanggan dan dokumen internal.
12. Pelanggaran data terhadap BPJS Kesehatan. Tahun 2021. 279 juta data peserta.

Data-data tersebut kebanyakan dijual melalui situs-situs(DeepDotWeb, misalnya) atau forum-forum(RaidForums, misalnya) di Darknet, oleh sebab itu kejadian kebocoran data baru dapat diketahui jika ada akun yang menawarkannya.

Dalam konteks Cyber Warefare, sebuah negara dapat melakukan cyber attack untuk keperluan Data Breach terhadap negara lain. Yang umum dilakukan adalah untuk kepentingan pencurian teknologi serta profiling Sistem Hankam dan penduduk dari negara target.

Secara individu, Data Breach merupakan ancaman keamanan data finansial dari orang per orang yang datanya bocor di Internet. Lebih jauh dapat menjadi ancaman fisik dan atau psikologis bagi korban maupun keluarganya.

Fenomena Data Breach dalam skala kecil juga mencakup penggunaan data pribadi dari seorang nasabah, user atau peserta yang tersimpan dalam gawai para pengguna aplikasi. Penggunaan informasi phonebook, lokasi, kamera, mikropon, sering dapat dilakukan oleh pengembang aplikasi tanpa persetujuan dari pengguna gawai. Sering pula terjadi data kontak pada gawai seorang nasabah suatu Fintech Online(Pinjaman Online/Pinjol) digunakan secara tidak sah untuk menyebarkan informasi hutang yang belum dibayar oleh nasabahnya. Hal yang sama dilakukan oleh bagian penagihan pihak ketiga dari suatu penyedia layanan finansial untuk menteror nasabah dengan cara menghubungi nomor-nomor telepon yang ada di gawai nasabahnya.

Secara umum ada setidaknya 3 point penting yang mempengaruhi rawannya terjadi suatu Data Breach, yaitu:

1. Regulasi negara terhadap Cyber Threats(UU Perlindungan Data Pribadi). Penggunaan standar keamanan siber tertentu jika dalam konteks perusahaan(ISO, IEC, ETSI, Information Security Management System). Dalam konteks individu, mengikuti regulasi yang disediakan negara.
2. Kebiasaan birokrasi(penyesuaian era paperless dan keamanan pengarsipan digital). Standard Operation Procedure yang ketat dalam penggunaan atau lalu-lintas data internal maupun eksternal, untuk skala perusahaan. Dalam konteks individu, menyangkut peningkatan sikap awareness dari pengguna layanan internet.
3. Anggaran(peningkatan anggaran di BSSN, direktorat siber di Polri dan TNI). Alokasi angggaran yang memadai untuk penyediaan perangkat (baik Hardware maupun Software, Firewall) dan SDM yang menguasai Cyber Technology, baik dalam skala negara maupun corporate. Dalam konteks individu, berkaitan dengan pemilihan gawai dan atau aplikasi yang aman, serta akses internet pada pengetahuan mengenai Cybercrime.

Dalam kunjungan penulis ke Cisco Head Quarter di Singapura beberapa waktu lalu, penulis mendapat penjelasan mengenai sebuah ruang yang disebut Battle Room. Battle Room ini terdiri dari sederet perangkat Komputer yang saling berhadapan di sebuah sebuah meja yang cukup besar dengan latar belankang rangkaian rak server dan perangkat jaringan firewall. Satu tim karyawan bertindak sebagai Attacker dan berhadapan dengan team lain yang bertindak sebagai Defender atau Blocker. Ruangan tersebut mensimulasikan sistem keamanan siber yang digunakan di kantor tersebut. Kedua tim bertugas mencari celah keamanan yang mungkin ada, dengan mensimulasikan Cyber attack terhadap sistem.

Pada Tahun 2013, menurut Akamai, Indonesia menempati urutan kedua setelah China sebagai sumber serangan siber. Seorang remaja dari Pasuruan pada 2018, mendapat hadiah dari Google karena keberhasilannya meretas system keamanan google (White Hacking). Menurut penyelidikan yang dilakukan Polri pada kasus data breach BPJS baru-baru ini, pelaku adalah remaja Indonesia berusia 19 tahun yang tinggal di luar pulau Jawa.

Informasi-informasi yang penulis sampaikan di atas memberi gambaran bahwasannya, sekalipun perusahan-perusahaan dan instansi-instansi Indonesia nampaknya masih  mudah menjadi target data breach, Indonesia juga memiliki potensi SDM yang unggul dan cukup memadai dalam Cyber Technology, terlepas bahwa penggunanya justru menggunakan kemampuannya untuk melakukan tindakan siber kriminal.

Menjadi tantangan bersama, bahwasannya kita tidak ingin menjadi sasaran empuk data breach namun juga tidak ingin dikenal sebagai gudang pelaku siber kriminal. Demografi penduduk dengan komposisi 70,72% penduduk usia kerja(15-64 tahun) dan 23,33% penduduk usia muda(0-14 tahun), sesuai sensus 2020, adalah kondisi potensial. Potensial untuk hanya menjadi korban data breach atau justru menghasilkan banyak tenaga-tenaga terdidik dan bermoral untuk mengembangkan dan menjadi pemimpin dalam penguasaan cyber security.Tenaga-tenaga potensial yang dapat membendung upaya-upaya Data Breach, baik sebagai bagian dari institusi negara, korporasi swasta maupun individu.