Fenomena Kebocoran Data dan Cara Mengantisipasinya

Facebooktwittergoogle_plusinstagramby feather

Penduduk dunia tidak lagi asing dengan tekonologi internet. Ada banyak keuntungan bisa didapat dengan memanfaatkan jejaring internet. Sayangnya, keuntungan ini oleh sebagian (sekelompok) orang diraih dengan jalan kejahatan, yang disebut dengan kejahatan cyber.

Ada banyak contoh kasus kejahatan cyber. Di luar Indonesia, ada beberapa kejadian yang mencuri perhatian banyak orang. Pada 24 November 2014 perusahaan Sony Pictures Entertainment diserang peretas (hacker).  Peretas yang mengaku sebagai Guardian of Peace (GoP)  itu pun menyebarkan lebih dari 40GB data rahasia perusahaan tersebut. Di antara data yang bocor itu termasuk data medis karyawan, gaji, tinjauan kinerja, bayaran untuk para selebriti, nomor jaminan sosial, serta salinan beberapa film yang belum dirilis.

Kasus lain yang tidak kalah heboh adalah bobolnya iCloud milik Apple. Alhasil, ratusan “foto panas” selebriti Holywood tersebar ke khalayak dunia. Jumlah foto tidak kurang dari 500 foto.

Kerugian dari kejahatan cyber juga bernilai ekonomi. Baru-baru ini, terungkap sebuah gerakan peretasan yang menamai diri kelompok “Carnabak.” Mereka diperkirakan telah berhasil merampok uang US$ 1 miliar atau sekitar Rp 12 triliun dari ratusan bank dan lembaga keuangan di Amerika Serikat, Jerman, Cina, dan Ukraina sejak 2013.

Hal senada juga terjadi di Indonesia. Sudah banyak bank di Indonesia, baik milik swasta maupun BUMN, dibobol. Sehingga miliaran uang nasabah berpindah tangan secara tidak sah. Kasus terbaru, saat ini Polda Metro Jaya tengah melacak siapa pelaku pembobol data nasabah yang kemudian menduplikat dan menjualnya dalam bentuk kartu ATM palsu melalui jalur online.

Kenali Dunia Cyber

Sebenarnya seberapa banyak orang mengakses internet? Data yang dilansir Tim WeAreSocial Singapore, saat ini tidak kurang ada 2,5 miliar pengguna internet. Khusus untuk pengguna media sosial, ada 1,86 miliar pengguna aktif di seluruh dunia.

Di Asia, sebanyak 635 juta orang berlangganan paket data agar dapat mengakses internet melalui handphone. Penitrasi pasar Asia terbesar ada di kawasan Asia Tenggara, yakni mencapai 109 juta persen.

Bagaimana dengan Indonesia? Dari total penduduk sekitar 250 juta orang, 38 juta orang di antaranya pengguna aktif internet. Dengan kata lain, penitrasi internet di Indonesia mencapai 15 persen. Tetapi penetrasi perangkat telepon cerdas (smartphone) mencapai 112 persen, atau lebih banyak dari jumlah penduduk kita sendiri.

slide-indo-5

slide-indo-3

slide-indo-2

slide-indo-1

Menurut Prof Richardus Eko Indrajit, dibandingkan  dengan  penetrasi  teknologi  lainnya  dalam  sejarah  manusia, penetrasi  internet  merupakan  yang  paling  cepat,  karena  digambarkan  dalam sebuah  grafik  pertumbuhan  yang  eksponensial.  Pada  saat  yang  sama  disinyalir terjadi  milyaran  transaksi  per  hari  dengan  nilai  transaksi  mencapai  milyaran dolar Amerika per detiknya – terjadi tanpa henti selama 24 jam sehari dan 7 hari seminggu.  Suatu  frekuensi  dan  volume  perdangangan  yang  belum  pernah sebelumya  terjadi  dalam  sejarah  kehidupan  manusia.  Semua  fakta  ini mengandung  arti  bahwa  domain  “pasar”  yang  terbentuk  di  internet  memiliki nilai yang sedemikian tingginya, karena lambat laun semakin banyak transaksi  dan  interaksi  yang  terjadi  di  sana.  Bahkan  sejumlah  sumber mensinyalir,  dalam  waktu  yang  tidak  lama  lagi,  nilai  perdagangan  di  internet akan menjadi jauh lebih besar daripada yang terjadi di dunia nyata.

“Singkat kata, internet  merupakan  sebuah  entitas  yang  tidak  ternilai  harganya  –  yang  dari masa  ke  masa,  akan  semakin  meningkat  harga  dan  nilainya,  karena  semakin banyak aktivitas yang terjadi di sana,” tutur Guru Besar Institut Perbanas ini.

CYBER THREAT

Tren kejahatan dunia maya terus meningkat. Diperkirakan pada 2017, pasar keamanan dunia maya (cyber security) secara global diperkirakan akan meroket menjadi USD 120,1 miliar. Bandingkan nilainya pada tahun 2011 yang “hanya” USD 63,7 miliar.  Mari perhatikan infographic di bawah ini, sebagaimana dilansir oleh Go-Gulf.

CYBER THREAT 1

Eko memetakan motivasi pelaku kejahatan cyber. Pertama, ditujukan untuk mengambil harta. Sasarannya adalah  uang  digital,  nilai kartu  debit,  kekayaan  di  rekening  bank,  jumlah  tagihan  kartu  kredit,  dan  lain sebagainya.

Kedua, membuat jaringan internet tidak berfungsi, sehingga mengganggu  transaksi  perdagangan,  aktivitas  akses  informasi,  prosedur administrasi pemerintahan, dan lain sebagainya.  Ketiga, memodifikasi data individu atau kelompok yang ada di internet dengan tujuan memfitnah, menyesatkan, mengadu  domba, menghancurkan  citra, menipu,  dan lain‐lain.

Keempat, menyebarkan faham  radikal dan menyesatkan. Yang termasuk dalam hal ini seperti pornografi,  gerakan mendukung  tindakan  terorisme,  perjudian online, bahkan praktik prostitusi online yang masih marak di Indonesia

Kelima, membuat dan atau menyebarkan program  jahat  (malicious  software) melalui internet, yang biasanya secara terselubung, sehingga tidak disadari oleh pengguna internet. Output-nya macam-macam, seperti menghilangkan data di hard  disk,  mengambil  data  tanpa  sepengetahuan pemilik,  memata‐matai  aktivitas  pengguna,  memacetkan  komputer  atau “hang”, menurunkan kinerja kecepatan prosesor, dan masih banyak lainnya.

Statistik yang dibuat oleh Go-Gulf jenis kejahatan malicious  software menjadi yang paling marak, yakni 50 persen. Sebaran malicious  software ada yang berupa virus, malware, worms, dan trojan. Jenis kejahatan cyber lainnya secara berurutan yakni kejahatan yang dilakukan kalangan internal perusahaan/ organisasi (criminal insider), pencurian data, SQL injection, dan lain sebagainya.

CYBER THREAT 2

Inilah yang disebut oleh Eko sebagai cyber attack. Berdasarkan  Konvensi  Budapest, masih dari Eko, jenis  serangan  di  dunia  maya  dapat dikategorikan  menjadi  tiga  jenis. Kategori  pertama  adalah  kumpulan  jenis serangan dimana  teknologi informasi dan komunikasi menjadi alat atau senjata utama untuk melakukan kejahatan. Contohnya adalah: Komputer  dan  internet  dipergunakan  sebagai  alat  dan  medium  untuk menyebarkan aliran sesat; telepon  genggam dimanfaatkan  untuk  mengirimkan pesan  atau SMS yang menipu calon korban; Electronic  mail  dipakai  sebagai  sarana  untuk  mengirimkan  gambar atau video bernuansa pornografi; dan lain sebagainya.

Kategori  kedua  adalah  kumpulan  peristiwa  di mana  komputer  atau  teknologi informasi menjadi sasaran pusat serangan dari pelaku tindak kejahatan, seperti: melakukan  transaksi  keuangan  fiktif  dalam  sebuah  sistem  perbankan berbasis internet (baca: e­banking); mematikan  atau  memacetkan  kerja  sebuah  jejaring  internet  (baca:  LAN atau WAN) secara remote; menyebarkan virus untuk mengganggu kinerja komputer tertentu; dan lain sebagainya.

Kategori ketiga ditujukan bagi peristiwa  yang bertujuan utama untuk merusak (termasuk memodifikasi dan memfabrikasi) data atau informasi  yang  tersimpan  di  dalam  media  perangkat  teknologi  informasi. Serangan yang dimaksud yaitu merubah isi sebuah situs tanpa sepengetahuan pemiliknya, mengambil  kumpulan  password  atau  informasi  lengkap  kartu  kredit sekelompok individu untuk disalahgunakan atau diperjualbelikan, merusak sistem basis data utama sehingga semua informasi di dalamnya menjadi  tidak  dapat  terbaca  atau  diakses  secara  normal  dan  lain sebagainya.

Berikut adalah gambaran dari mana saja berbagai malicious  software dibuat. Tujuannya jelas untuk menyerang sistem komputer atau teknologi dunia maya.

Cyber Attack

Aktifitas pelaku kejahatan cyber tidak bisa dibiarkan. Saat ini ada dua jenis lembaga utama yang bertugas mengawasi traffic internet yaitu model CSIRT (Computer Security Incident Response Team) dan CERT (Computer Emergency Response Team). “Hasil analisis mereka memperlihatkan bahwa kerawanan pada program  aplikasi semakin  lama  semakin  bertambah  kuantitas dan  kualitasnya.  Hal  ini  sejalan  dengan  semakin  banyak  dan  kompleksnya jumlah  incident  yang  terjadi  di  dunia  maya  akibat  eksploitasi  terhadap kerawanan  tersebut  oleh  pihak yang  tidak  bertanggung  jawab,” kata Eko.

Perlunya Standar Keselamatan

Beragam kejahatan cyber tidak bisa dibiarkan begitu saja. Perlu ada standar keselamatan untuk melindungi masyarakat luas dari ancaman kejahatan cyber yang semakin luas, meresahkan, dan merugikan secara ekonomi maupun sampai mengguncang stabilitas politik.

Menurut Peter Eisenegger dari British Standards Institution (BSI), standar keamanan internet atau teknologi informasi (cyber security) sangat penting diterapkan. Ada beberapa prinsip utama setiap kali bicara soal standardisasi dalam bidang teknologi informasi.

  1. Keamanan data adalah prinsip fundamental untuk menjaga privasi.
  2. Data pribadiharus diproses secara adil dan resm
  3. Datapribadi hanya bisa diperoleh untuk satu atau lebih tujuan spesifik dan resmi
  4. Datapribadi harus memadai, relevan dan tidak berlebihan
  5. Data pribadi harus tepat dan terus diperbarui ketika dibutuhkan
  6. Data pribadidiproses untuk tujuan apapun atau tujuan tidak akan disimpan lebih lama dari yang diperlukan
  7. Data pribadiharus diproses sesuai dengan hak  subyek data
  8. Langkah teknis dan organisasi harus dilakukan terhadap pengolahan data pribadi yang tidak sah dan melanggar hukum dan terhadap kehilangan.
  9. Data pribadi masuk dalam perlindungan hak asasi manusia, karena setiap orang punya hak untuk menghargai kehidupan pribadi dan keluarganya, tempat tinggalnya dan korespondensinya.

Dalam praktiknya, kejahatan cyber masih saja terjadi. Menurut Eko, ada tiga cara utama untuk memproteksi diri dari serangan kejahatan cyber. Pertama, memproteksi infrastruktur tempat mengalirnya data dan informasi dalam proses transmisi.  Artinya semua  infrastruktur, baik melalui darat (seperti fiber optic), laut (seperti kabel bawah laut), dan udara  (seperti satelit), secara  fisik maupun operasional harus dilindungi dan diproteksi dari beraneka ragam potensi gangguan yang mungkin timbul. Kedua, memproteksi data, informasi,  atau  konten  yang  ada  dan/ atau mengalir  dalam  sebuah  sistem komunikasi dan teknologi informasi. Metode yang lazim digunakan adalah penyandian atau kriptografi informasi. Ketiga, melakukan proteksi terhadap komponen terkait dengan proses interaksi, mulai dari pemilihan jenis media dan perangkat lunak komunikasi email, chatting, browsing, blogging, dan lain sebagainya. Khusus untuk interaksi yang melibatkan transaksi keuangan  misalnya, perlu ditambahkan mekanisme standar pengaman dan prosedur khusus agar tidak terjadi kebocoran dan pencurian data keuangan.

Langkah perlindungan ini adalah bagian dari mengimplementasikan manajemen resiko (risk mitigation). Banyak orang bertanya‐tanya mengenai hal‐hal apa saja yang harus diperhatikan dalam  rangka  mengembangkan sebuah sistem pengamanan yang efektif dan menyeluruh. “Standar  internasional BS7799/ISO 17799 mengenai manajemen keamanan informasi, menekankan perlunya memperhatikan 10 aspek utama untuk memperoleh sistem keamanan yang utuh, holistik, dan menyeluruh. Yang menarik  dari  standar ini  adalah diperhatikannya pula aspek keamanan dalam dunia nyata, dimana perilaku dan pengetahuan sumber daya manusia menjadi aspek utama yang perlu untuk diperhatikan. Perhatian bagan di bawah ini:

Untitled-1

Lebih lanjut, Eko mengatakan bahwa cyber  security  harus didukung oleh cyber law. Perlindungan terhadap masyarakat hanya akan efektif jika ada hukum yang menindak tegas para pelaku kejahatan cyber. Negara Indonesia sadar akan hal ini. Oleh karena itu, setelah melalui berbagai rangkaian proses maka lahirlah Undang‐undang Informasi  dan  Transaksi Elektronik (ITE) No.11 Tahun 2008 pada 25 Maret 2008.

Setelah memiliki instrumen hukum, lanjut pria kelahiran 24 Januari 1969 itu, hal yang perlu diperhatikan adalah kesiapan sumber daya manusianya, terutamapara penegak  hukumnya. Ia mengakui, mereka yang ahli di bidang teknologi Informasi masih sangat sedikit. “Salah satu cita-cita dan passion saya adalah mengenalkan sertifikasi yang dibuat oleh orang Indonesia untuk keperluan bangsa sendiri. Kuncinya hanya satu yaitu kita memiliki standar kompetensi.”

Untuk itu, Badan Nasional Sertifikasi Profesi (BNSP) tengah membuat standar kompetensi kerja nasional Indonesia (SKKNI) yang salah satunya bidang teknologi informasi. Eko yang merupakan salah satu dari 25 orang anggota yang berada di bawah naungan BNSP, memiliki konsentrasi pada sertifikasi kompetensi profesi bagi tenaga kerja bidang informasi dan komunikasi. “Salah satu yang perlu dilakukan saat ini adalah mensertifikasi tenaga kerja. Karena pada dasarnya sertifikasi itu adalah sebuah pengakuan bahwa seseorang kompeten di bidang tertentu.”

Selama ini standar cyber security Indonesia masih mengacu pada standar SNI ISO 27001 yang mana standar tersebut bukanlah standar untuk kompetensi melainkan standar untuk sistem manajemen mutu. “Saat kami bersama komunitas berlomba-lomba membuat standar keamanan informasi dari segi orangnya, urutannya adalah ada standarnya terlebih dulu baru setelah itu diubah menjadi standar kompetensi kerja nasional indonesia (SKKNI), setelah itu dibuat skema sertifikasi, kemudian barulah ada lembaga sertifikasi profesi.”

Menurut Eko, yang saat ini menjabat Ketua Pelaksana ID-SIRTII (Indonesia Security Incident Response Team on Internet Infrastructure), baru ada dua lembaga yang terkait dengan teknologi informasi, yaitu LSP Telematika dan LSP TIK. “Tugas saya saat ini adalah mengajak asosiasi asosiasi lain untuk membuat LSP di bidang lainnya seperti security, arsitektur, cloud computing serta lainnya sebanyak mungkin. Karena LPS inilah yang akan mengeluarkan sertifikasi-sertifikasi.”Eko.

Ini harus cepat dilakukan dan diwujudkan, mengingat akhir tahun ini akan berlaku Masyarakat Ekonomi ASEAN. Jika SDM kita yang bergerak di bidang teknologi informasi tidak disertifikasi, niscaya akan kalah bersaing dengan SDM dari luar negeri. ” Pemerintahan saat ini memberikan tugas dan amanah untuk mempercepat ini semua mengingat akhir 2015 adalah saat dimulainya MEA,” tutup Eko.

* Telah dimuat di majalah SNI Valuasi No.3/ 2015

Facebooktwittergoogle_plusby feather
wawan
Pribadi sederhana yang ingin terus belajar di bidang komunikasi. Dimulai dari menulis, fotografi, media relations, kadang-kadang menggambar, sampai mengadakan acara komunikasi seperti berbagai lomba dan pelatihan jurnalistik/ fotografi.

Leave a Reply