Keamanan Data bak Tom dan Jerry

"Data ada, oleh karena itu ia rentan dicuri". Begitulah analoginya ketika menyikapi peristiwa heboh pencurian data yang terjadi akhir-akhir ini.

Saya meminjamnya dari Descartes, seorang filsuf Perancis yang terkenal dengan ungkapannya " I think, therefore I am".

Selama ada data, maka selalu saja ada orang yang ingin mencurinya. Data tidak bisa 100 persen aman dari pencurian.

Sebelum menulis lebih jauh, di sini saya tidak membedakan antara istilah data dan informasi. Keduanya saya asumsikan sama, meskipun secara teknis data dan informasi jauh berbeda.

Kalau ada pencuri data, maka orang yang mempunyai, atau paling tidak orang yang bertanggung jawab menyimpan data pasti melakukan segala upaya agar datanya aman.

Antara pencuri dan pemilik data, masing-masing berusaha agar keinginannya terpenuhi. Untuk mencapainya mereka terkadang melakukan petak umpat. Saya mengumpamakan tingkah laku pencuri data dan pemilik/pengelola data seperti tingkah laku Tom dan Jerry.

Tom dan Jerry senantiasa berseteru dalam urusan apa saja, mulai dari hal remeh-temeh sampai hal krusial.

Jika orang yang melindungi data itu Tom, sedangkan Jerry adalah pencuri data, maka Tom berusaha dengan sekuat tenaga mengamankan data. Dilain pihak, Jerry tentu akan menggunakan segala cara untuk mencuri data.

Mereka memang tidak pernah akur. Antara keduanya selalu berusaha mencari celah dan kesempatan, untuk menyerang atau mencelakai satu sama lain.

Bahkan Tom dan Jerry terus-menerus saling ejek, apalagi kalau salah satu pihak terkecoh atas perbuatan pihak lawan.

Sebagai catatan, saya memilih kata "pencuri", karena tidak mau terjebak dengan perdebatan mengenai istilah hacker, hacktivist maupun cracker.

Alasannya simpel saja. Kegaduhan dan perdebatan mengenai istilah, meskipun ada beberapa orang yang menyukai ini, bukan merupakan hal esensial. Apalagi perdebatan mengenai istilah tidak akan menyelesaikan masalah.

Oh ya, berbicara tentang kegaduhan, sebelumnya sempat ada saling tuding tentang siapa yang mempunyai tugas mengurusi hal-hal yang berhubungan dengan pencurian data.

Untunglah, saat ini telah diputuskan bahwa Kominfo, BSSN, Polri (Divisi Cyber Crime) dan BIN akan bahu membahu untuk mencari siapa pencuri data tersebut, dan juga ke depannya mengupayakan keamanan data.

Kerja sama antarlembaga tersebut lumrah karena dalam UU no 11/2008 (diubah menjadi UU no 19/2016) Bab IX pasal 40 tertulis "Pemerintah melindungi kepentingan umum dari segala jenis gangguan sebagai akibat penyalahgunaan informasi elektronik dan transaksi elektronik...".

Apalagi Jerry menyalahgunakan (baca: mencuri) informasi yang berhubungan dengan data pribadi.

Sebagai manusia yang punya kehidupan sosial, data pribadi ini menjadi penting. Alasannya, orang merasa dihargai jika selain dijamin hak-hak pribadinya (baca: jaminan atas kebebasan yang bertanggung jawab), keamanan diri (termasuk data pribadi) juga dijaga oleh negara.

Kalau di Eropa sana, data pribadi dilindungi General Data Protection Regulation (GDPR). Undang-undang ini diadopsi parlemen Eropa tahun 2016 dan efektif berlaku mulai Mei 2018.

Sedikit saja tentang GDPR, ada tiga hal yang menjadi kunci. Pertama data yang dikumpulkan oleh suatu badan/lembaga, kedua adalah pengawas/pengontrol data dan ketiga adalah pemroses data.

Pengawas data akan berhubungan dengan badan yang mengumpulkan data (misalnya perusahaan yang mempunyai data pegawai), kemudian pengawas juga berhubungan dengan pemroses data, agar kewajiban masing-masing dapat dijalankan dengan baik secara transparan.

Pengawas menempati posisi sentral, dan satu-satunya yang berhubungan dengan pengumpul/penyimpan dan pemroses data.

Sebagai bangsa Indonesia, kita patut bersyukur karena akhirnya DPR telah mengesahkan RUU Perlindungan Data Pribadi (PDP) menjadi UU pada 20 September 2022.

Meskipun masyarakat sempat khawatir karena pembahasan perihal siapa yang layak menjadi pengawas berjalan alot.

Meskipun sudah ada UU PDP, namun kita tidak boleh lengah karena pencuri data tidak akan berhenti walaupun UU PDP sudah kelar.

Sosialisasi UU PDP juga harus dilakukan, karena masyarakat wajib tahu apa saja dan bagaimana data pribadi masyarakat dapat dilindungi. Kita tidak mau PDP kemudian hanya menjadi PHP, bukan?

Kita kembali ke pembahasn Tom dan Jerry. Perseteruan antara Tom dan Jerry dipastikan akan berlangsung sepanjang masa.

Tom bisa saja melengkapi dirinya dengan teknologi tercanggih untuk menjaga data. Akan tetapi harus diingat bahwa Jerry tentu tidak diam. Dia pasti terus berusaha melengkapi dirinya juga, supaya dapat mengungguli Tom dengan teknologi yang lebih canggih.

Jika Anda menonton kartun Tom dan Jerry, perkelahian mereka hanya menggunakan alat-alat sederhana dan tidak berubah dari waktu ke waktu.

Keterampilan teknisnya juga sederhana, seperti bersembunyi, berlari dan memukul dengan palu.

Akan tetapi di dunia maya, "perang" antara Tom dan Jerry tidak hanya memerlukan ketrampilan teknis saja. Ketekunan dan hal-hal non teknis juga dibutuhkan.

Jika meminjam istilah Kevin Mitnick, "seni" dibutuhkan supaya menang dalam upaya melindungi data dari pencurian.

Saya tidak tahu apakah pencuri data yang sedang menjadi buah bibir sekarang, sudah membaca trilogi buku karangan hacker yang pernah menduduki urutan teratas sebagai orang yang dicari oleh FBI.

Di buku tersebut, Kevin menjelaskan dengan gamblang bagaimana orang mampu mengelabui sistem, tidak terdeteksi, sampai dengan cara menyelinap ke dalam jaringan.

Meskipun Jerry sudah tamat membaca trilogi buku karangan Kevin, Tom tidak perlu khawatir. Untuk menangkap Jerry, selain hal teknis, Tom harus mempunyai insting dan ketekunan mendalami segala sesuatu yang berhubungan dengan Jerry.

Dengan kata lain, selain biaya, tenaga juga diperlukan karena banyak yang harus dianalisis. Contohnya analisis diperlukan untuk mengetahui bagaimana kehidupan dan perilakunya, antara dunia nyata dan maya. Saya yakin Jerry pasti memisahkan antara keduanya.

Hal-hal teknis (baca: teknologi) memang bukan segalanya. Sebagai penutup tulisan, saya ingin mengutip tulisan Kevin Mitnick yang layak kita renungkan bersama.

"What I found personally to be true was that it's easier to manipulate people rather than technology".