Serangan Siber Bjorka dan Kebocoran Data, Tanggung Jawab Siapa?

Namun untuk memastikan terjadinya kebocoran data perlu dilakukan pemeriksaan dan penelusuran apakah data pribadi pejabat RI yang ditampilkan dan diungkap oleh Bjorka valid dan berasal upaya untuk mengakses Sistem Elektronik milik penyelenggara negara dan atau badan usaha dengan cara apa pun termasuk menjebol sistem pengamanan untuk memperoleh data pribadi pejabat RI tersebut.

Kebocoran data pribadi mungkin sudah terjadi sebelumnya dan data pribadi yang diungkap berasal dari kebocoran data yang sudah terjadi tahun-tahun sebelumnya dan bercampur dengan data pribadi yang lain yang sudah tersedia secara publik.

Oleh karena itu, risiko kebocoran data pribadi sangat besar karena apabila data pribadi tersebut sudah bocor dan dapat diakses oleh pihak lain, maka data pribadi tersebut yang tidak bisa dipulihkan atau diganti seperti NIK, tanggal lahir, golongan darah dan nama ibu kandung.

Sedangkan ada beberapa jenis data pribadi apabila bocor atau terungkap ke publik masih bisa dilakukan pemulihan atau penggantian seperti username, kata sandi, dan nomor telepon.

Lima langkah antisipasi

Apa yang perlu dilakukan untuk dapat melakukan upaya pengamanan dan mitigasi risiko kebocoran data yang saat ini marak terjadi?

Guna melakukan pengamanan penyelenggaraan Sistem Elektronik, izinkan penulis berbagai persyaratan pengamanan (security requirements) apa yang perlu menjadi pertimbangan dalam upaya memitigasi kebocoran data terhadap bentuk-bentuk ancaman siber seperti ilegal akses, ancaman orang dalam (insider threat), manipulasi dan eksfiltrasi data pribadi dalam lima poin.

Pertama, Manajemen Akses. PSE wajib memastikan pengiriman dan penerimaan data dilakukan melalui jalur komunikasi yang aman.

PSE juga wajib menyediakan kontrol akses dalam upaya pengamanan khususnya data pribadi yang sifatnya spesifik seperti data rekam medis, serta implementasi pembatasan akses terhadap data sensitif dan rahasia.

Kedua, Manajemen Data. PSE wajib memastikan pengamanan data untuk setiap siklus data baik, data saat diproses (data in process), dikirim (data in transit) dan data saat disimpan (data at rest), terakait. Seperti contoh, perlu adanya kendali keamanan dalam hal data saling berbagi pakai.

Di samping itu, PSE juga wajib menjaga kerahasiaan, keutuhan, keautentikan, keteraksesan, ketersediaan, dan dapat ditelusurinya suatu Informasi Elektronik dan/atau Dokumen Elektronik sesuai dengan ketentuan peraturan perundang-undangan.

Ketiga, Manajemen Identitas. PSE wajib melakukan pengujian keautentikan identitas dan memeriksa otorisasi pengguna Sistem Elektronik dengan menerapkan autentikasi dua faktor (two-factor authentication) atau autentikasi multi faktor (multi-factor authentication) untuk membantu melindungi login akses pada Sistem Elektronik selain kata sandi.

PSE juga wajib memastikan pengendalian terhadap otorisasi dan hak akses terhadap sistem, basis data, dan aplikasi yang memproses data pribadi.

Keempat, Manajemen Ancaman (Malicious Management). PSE wajib melakukan analisis risiko dan merumuskan langkah mitigasi dan penanggulangan untuk mengatasi ancaman, gangguan, dan hambatan terhadap Sistem Elektronik yang dikelolanya.

PSE juga wajib melakukan monitoring kebocoran data pribadi, akses perlindungan terhadap kebocoran atau penyalahgunaan monitoring data pribadi.

Terakhir, Manajemen Kepatuhan. PSE wajib menerapkan standar Sistem Manajemen Keamanan Informasi (SMKI) sesuai dengan standar SNI ISO/IEC 27001 atau standar keamanan lain yang terkait dengan keamanan siber yang ditetapkan oleh BSSN dan/atau kementerian atau lembaga terkait sektor.

Nah, sudah jelaskan bahwa keamanan siber merupakan tanggung jawab semua pihak, maka perlu kerja bersama dan setiap pihak memiliki tanggung jawab masing-masing.

Namun PSE merupakan pihak yang paling bertanggung jawab apabila terjadi serangan siber yang mengakibatkan kegagalan sistem seperti kebocoran data.