Ketika dunia direpotkan oleh serangan extortionware seperti serangan yang menimpa Colonial Pipeline yang menyebabkan empat negara bagian Amerika Serikat sempat mendeklarasikan keadaan darurat. Karena, terhambatnya distribusi BBM yang disebabkan oleh serangan extortionware pada sistem komputer Colinial Pipeline.
Masyarakat (pemegang KTP) Indonesia masih dengan harap-harap cemas mencari tahu, apakah data kependudukannya bocor atau tidak. Apakah benar klaim Kotz bahwa ia memiliki data ratusan juta penduduk Indonesia.
Sementara itu lembaga yang bertanggungjawab atas pengelolaan data yang diduga bocor tersebut memberikan pernyataan sudah menganpatongi berbagai macam sertifikasi, dari sertifikasi ISO 27001, KAMI sampai COBIT,.
Namun, faktanya data yang menjadi tanggung jawabnya sudah bocor dan yang menanggung kerugian terbesar adalah pemilik data alias penduduk Indonesia.
Kalau yang bocor adalah data kredensial seperti username atau password, maka pemilik data akan dengan cepat dapat diganti dan diamankan, demikian pula dengan data penting lain seperti alamat email atau nomor telepon
Walaupun lebih merepotkan tetapi dengan sedikit 'berkeringat' masih bisa diganti. Belajar dari antisipasi yang dilakukan oleh salah satu e commerce Indonesia yang menjadi korban peretasan dan dengan cepat melakukan antisipasi mengamankan akun yang bocor dengan mengaktifkan TFA Two Factor Authentication.
Jadi, dampak kebocoran tersebut dapat diminimalisir hal ini makin menyadarkan perusahaan bahwa data yang dikelolanya adalah asetnya yang paling berharga hari ini.
Tetapi lain halnya dengan data kependudukan. Bagaimana mungkin kita bisa mengganti Nama, NIK, Tempat/Tanggal lahir, Jenis Kelamin dan Alamat yang ada di KTP ? Atau kalau data KK yang bocor lalu siapa yang berani nekad mengganti data istri dan anak ?
Tidak ada hal yang bisa dilakukan pemilik data untuk mencegah kebocoran data ini karena bukan ia yang mengelola data tersebut.
Dan hal yang cukup menggelitik rasa keadilan adalah pemilik data tidak melakukan kesalahan dan tidak menyebabkan kebocoran data tersebut, tetapi ia yang harus menanggung akibat dari kebocoran data. Ibarat orang lain yang merokok.
Namun, ia yang harus menanggung sakitnya kanker paru-parunya. Kalau mau bicara soal siapa yang paling salah tentunya adalah pihak yang mencuri data atau peretas dan bukan institusi pengelola data.
Karena tentunya tidak ada institusi yang dengan sengaja mau membocorkan datanya karena jelas-jelas akan merusak nama baik dan merugikan dirinya sendiri.
Perkembangan dunia digital yang bergerak dengan cepat saat ini di mana data secara de facto sudah menjadi komoditas yang paling berharga di muka bumi, sehingga menjadi harta karun digital yang secara teknis dapat diakses oleh siapapun menggunakan melalui jaringan internet dari belahan dunia manapun.
Maka siapapun yang mengelola data, apalagi Big Data yang kompleks itu harusnya menyadari bahwa datanya akan menjadi incaran utama penjahat digital yang ingin mengambil keuntungan dari data yang dikelolanya, aka
Maka sudah seharusnya melakukan langkah yang diperlukan untuk mengamankan data yang dikelolanya. Langkah standarisasi proses sekuriti seperti ISO 27001, COBIT dan KAMI dapat dijadikan acuan.
Namun perlu diingat, sekuriti adalah proses dan jangan menjadikan sertifikasi sebagai tujuan akhir karena justru sebaliknya sertifikasi merupakan awal dari suatu proses yang harus dijalankan secara disiplin dan berkesinambungan guna mengamankan dengan baik data yang dikelola.
Jangan pula menjadikan sertifikasi sebagai dasar untuk mengklaim bahwa perusahaan sudah mengamankan data dengan baik. Justru menjadi pertanyaan besar bahwa dengan segala sertifikasi yang sudah dimiliki mengapa datanya bisa bocor ?
Semua sistem, prosedur dan proses pencatatan (log) dilakukan dengan baik maka dalam waktu yang singkat dapat segera diketahui dari mana saja sumber kebocoran data.
Hal inilah seharusnya mendasari kerja administrator pengelola data sehingga bisa menjadi pembelajaran pengelolaan data khususnya yang berhubungan dengan data publik sehingga mampu meningkatkan kemampuan pengelolaan data publik dengan baik.
Mungkin kita bisa bertanya, apakah hak akses / privilege yang diberikan kepada pihak ketiga pengakses data sudah dibatasi dengan baik dan benar ? Apakah data yang di transmisikan tersebut di enkripsi dan akses data hanya diakses seperlunya dengan terbatas oleh pihak ketiga dst.
Jangan memperlakukan data itu sebagai Berkah, tetapi perlakukan sebagai Amanah supaya anda tidak mendapat Musibah.
Lalu, tindakan apa yang harus dilakukan sehubungan dengan data kependudukan yang sudah bocor ini ?
Praktisi Keamanan Siber, Alfons Tanujaya
