Katakepri.com, Jakarta – Aksi peretasan adalah aksi melanggar hukum dan pelakunya jelas melakukan tindakan melanggar hukum dan terancam hukuman pidana. Apalagi menyebarkan data yang didapatkan dari aksi peretasan dan berusaha mendapatkan keuntungan dari data tersebut. Pemilik data dalam hal ini sebenarnya adalah korban.
Masalahnya, di era digital ini dimana data secara de facto sudah menjadi komoditas yang paling berharga di dunia dan menjadi incaran banyak aktor jahat yang ingin mendapatkan keuntungan dari data tersebut, maka pengelola data yang memanfaatkan jaringan internet yang bisa diakses siapapun untuk menjalankan layanannya sudah seharusnya tahu akan resiko ini dan melakukan tindakan pengamanan ekstra guna mengamankan data yang dikelolanya.
Pengelola data sudah layak dan sepantasnya (wajib) bertanggung jawab atas keamanan data yang dikelolanya. Jangan cuma mau enaknya memanfaatkan Big Data dan mendapatkan keuntungan dari pengelolaan data tersebut, namun kurang menjalankan pengamanan data dengan baik dan ketika terjadi kebocoran bukannya cepat mengidentifikasi sumber kebocoran dan melakukan tindakan untuk mencegah hal yang sama terjadi lagi, malahan sibuk melakukan penyangkalan.
Kalau pihak peretas bisa diidentifikasi dan ditangkap hal ini tentunya diapresiasi dan diharapkan memberikan efek jera supaya tidak sembarangan meretas dan melakukan tindakan melanggar hukum. Tetapi yang menjadi masalah adalah, sekali data bocor dan disebarkan di internet artinya data sudah bocor dan akan berada disana selamanya seperti pameo “once it is on internet, it is there forever”.
Dan siapa yang menanggung kerugian terbesar dari kebocoran data tersebut?
Apakah pengelola data? Pengelola data memang jelas menanggung malu dan menderita kerugian reputasi karena hal ini mencerminkan ketidakmampuan mereka mengamankan data yang harusnya menjadi aset terbesar dan paling berharga yang harus mereka lindungi.
Namun pihak yang menanggung kerugian terbesar dari kebocoran data adalah pemilik data yang informasinya bocor. Kalau benar dua ratusan juta data kependudukan Indonesia bocor, yang akan menanggung akibat terbesar adalah seluruh rakyat Indonesia yang datanya bocor tersebut. Kalau menggunakan metode Ponemon IBM dimana biaya rata-rata setiap kebocoran data sekitar USD 146, maka kerugian yang terjadi atas kebocoran data ini mencapai ratusan triliun rupiah.
Masyarakat akan menjadi korban pemalsuan identitas, pembuatan KTP Aspal (asli tapi palsu) dimana blankonya palsu tetapi datanya asli: KTP aspal ini akan menjadi senjata ampuh untuk mendukung dan memuluskan banyak tindak kejahatan lainnya. Contohnya:
- Meminjam uang dari Pinjol menggunakan identitas palsu
- Memalsukan identitas seseorang untuk mengganti kartu SIM guna melakukan kejahatan finansial lainnya seperti mengambil alih nomor telepon untuk melakukan transaksi keuangan
- Membuka rekening bank bodong yang akan dijadikan sebagai rekening penampung hasil kejahatan/penipuan lain misalnya ‘Mama Minta Pulsa’
- Membajak akun WA dan meminta teman transfer uang ke rekening penipu
- Penipuan menang undian berhadiah dan sampai toko online palsu
Memang tidak logis kalau pengelola data secara sengaja membocorkan datanya dimana jelas-jelas hal ini akan merugikan dirinya sendiri. Namun tidak menjaga data dengan baik dan berakibat kebocoran data dan pada akhirnya merugikan pemilik data jelas merupakan hal yang harus dipertanggungjawabkan pengelola data.
Ibarat jika terjadi kecelakaan lalulintas, tidak ada pihak yang mau dengan sengaja mencari celaka dan menyebabkan kecelakaan lalulintas. Misalnya, tidak merawat kendaraan yang menyebabkan rem tidak berfungsi sempurna dan kemudian menyebabkan kecelakaan.
Logika simpel ini juga berlaku dimana jika pengelola data jelas-jelas sudah tahu bahwa mereka mengelola Big Data yang Kompleks dan menyediakan data ini melalui jaringan internet.
Hal tersebut berpotensi menjadi incaran peretas dari seluruh dunia dan kurang menjalankan metode pengamanan data dengan baik dan disiplin sehingga mengakibatkan kebocoran data dan para pemilik data yang dikelolanya menderita kerugian karena kebocoran data.
Apa yang harus dilakukan?
Kebocoran data juga prinsipnya sama. Pegiat sekuriti sama sekali tidak tertarik untuk mencari siapa yang salah atas suatu kebocoran data dan menghukum pelakunya karena hal ini tidak produktif dan data yang sudah bocor tidak dapat ditarik lagi sekalipun menghukum pelakunya, tidak ada gunanya menangisi susu yang sudah tumpah.
Yang penting adalah mengidentifikasi mengapa data ini bisa bocor dan tindakan apa yang harus dilakukan untuk mencegah hal ini terjadi di kemudian hari. Faktanya kebocoran data selalu terjadi dan akan terjadi lagi.
Yang penting adalah jika terjadi kebocoran data, pihak pengelola data jangan menyembunyikan informasi ini khususnya terhadap pemilik data yang bocor karena dampaknya akan sistemik jika pemilik data tidak mengetahui datanya bocor dan tidak melakukan tindakan antisipasi.
Justru pihak pengelola data berkewajiban menginformasikan kepada pemilik data bahwa datanya bocor sehingga mereka bisa melakukan antisipasi menghindari dampak sistemik dari eksploitasi data.
Sebagai contoh, cabang MC Donalds di Korea Selatan dan Taiwan mengalami pencurian data pribadi pelanggan dan perusahaan langsung mengambil langkah-langkah untuk memberitahu regulator dan pelanggan yang terdaftar dalam data yang bocor tersebut.
Call Paman Onetime
Jika anda menjadi korban dimana data anda bocor, Vaksincom memberikan sedikit tips untuk mengamankan aset digital anda dengan metode “Call Paman Onetime”.
Apa itu Call Paman One Time ? Ini adalah tiga langkah yang harus dilakukan pada era digital ini untuk mengamankan aset digital dan menghadapi eksploitasi data yang bocor.
1. Call, True Caller
Gunakan aplikasi crowdsourcing untuk menyaring spam SMS dan tele marketing yang mengeksploitasi nomor ponsel kita dimana seluruh pengguna Truecaller ini bertindak sebagai sumber data dimana jika salah satu pengguna menerima SMS / telepon spam dan melakukan tagging / menandai nomor tersebut sebagai spammer, maka secara otomatis informasi tersebut akan diupdate ke server Truecaller dan otomatis semua pengguna Truecaller akan mendapatkan update informasi ini dan otomatis akan memblokir nomor spammer ini.
2. Paman, Password Manager
Gunakan Password Manager untuk menyimpan dan mengelola kredensial anda. Pada saat ini dimana anda harus mengelola puluhan mungkin ratusan akun kredensial yang penting seperti email, media sosial, dompet digital, rekening bank, internet dan lainnya.
Akan mustahil untuk bisa membuat password yang baik dan unik untuk semua layanan tanpa bantuan aplikasi pengingat. Jika menggunakan penyimpanan konvensional seperti Excel atau MS Word hal ini cukup baik namun kurang ideal karena kurang praktis, ada resiko bocor dan kurang terenkripsi.
Gunakan program Password Manager yang terpercaya dimana program ini akan mengelola dan menyimpan semua kredensial anda seberapapun rumitnya dan anda hanya perlu mengingat satu password untuk membuka Password Manager ini.
Password Manager yang baik bahkan dapat disimpan di cloud secara terenkripsi sehingga cukup aman secara teknis dan dapat diakses dan melakukan sinkronisasi antar perangkat yang berbeda seperti Ponsel dan komputer.
3. One Time, One Time Password OTP/TFA
Sebenarnya perlindungan kredensial terhadap akun sudah tidak aman tidak menjadi gold standard pengamanan akun. Hal ini disebabkan oleh adanya malware trojan (key logger) yang bisa mencuri kredensial yang anda ketikkan di perangkat anda sekalipun sudah anda ganti secara berkala atau dibuat serumit apapun tetap akan dicuri.
Selain itu jika anda sudah mengamankan data kredensial dengan baik, namun jika kebocoran terjadi di sisi penyedia layanan seperti yang dialami oleh Linked In maka kembali anda menjadi korban kebocoran data.
Untuk mengantisipasi hal ini, Vaksincom menyarankan anda untuk mengaktifkan One Time Password (OTP)/ Two Factor Authentication (TFA) di semua layanan digital anda, khususnya layanan digital penting / finansial karena pengamanan ini sangat efektif dan dapat membantu mengamankan akun digital anda dari eksploitasi jika terjadi kebocoran kredensial.
*) Alfons Tanujaya adalah ahli keamanan cyber dari Vaksincom. Dia aktif mendedikasikan waktunya memberikan informasi dan edukasi tentang malware dan cyber security bagi komunitas IT Indonesia. (Red)
Sumber : detik.com
