Cyberthreat.id – Operator seluler terbesar di Indonesia, Telkomsel, mengklaim telah menerapkan sejumlah tahapan untuk mengakses data pribadi pelanggannya. Ini sebagai bagian dari perlindungan data konsumen.

Dalam operasional sehari-sehari, Telkomsel mengakses data pribadi ketika pelanggan datang untuk meminta bantuan ke customer care. Data-data lain yang sekiranya juga diakses, seperti nomor IMEI dan nomor telepon pengguna.

"Jadi kurang lebih hanya itu, sementara data-data lain tidak ada," tutur Vice President ICT Security Management Telkomsel Deni Kurniawan dalam acara #CyberCorner bertajuk "Pentingnya Menjaga Data Pribadi" yang diadakan Cyberthreat.id melalui platform telekonferensi Jumpa.id, Senin (5 Maret 2021).

Deni menjelaskan, dalam melindungi data pribadi pelanggannya, Telkomsel foksu pada tiga hal, yaitu technology (untuk memastikan perlindungan), process (untuk memastikan perlindungan kerja terlaksana), dan people (orang yang melaksanakan proses itu).

Dari sisi teknologi Telkomsel memilih peralatan yang memiliki tiga karakterisitik, antara lain:

• data in use. Terkait siapa yang bisa akses data. Telkomsel membuat kontrol atau tata kelola siapa yang bisa akses data, mengubah data, memonitor data.
• data in motion. Ini terkait terjadinya pertukaran data dari sistem ke sistem, bagaimana keamanannya, terutama terkait data sensitif. Telkomsel menerapkan koneksi aman dan terenkripsi.
• data at rest. Ketika data itu akhirnya ditaruh Telkomsel dalam bentuk file atau basis data, maka kondisinya bagaimana. Telkomsel memproteksi sistem itu dengan memastikan file atau basis datanya terenkripsi.

Selanjutnya, aspek proses. Telkomsel, kata Deni, memiliki banyak kebijakan yang didesain untuk seluruh internal karyawan, termasuk kepada pihak ketiga dan area pelanggan. Menurut Deni, perusahaan telah mengikuti standar ISO 27001 dan mendapatkan sertifikasi yang dikaji secara rutin setiap tahun.

Terkait pihak ketiga, Telkomsel mempererat komunikasi dan memastikan level kesadaran dalam konteks keamanan juga mencukupi.

Dari sisi pihak ketiga tersebut, kata dia, kemungkinan serangan rantai pasokan (supply chain attack) bisa terjadi. Di sinilah, ada penegasan dalam kontrak kerja sama. “Agar pihak ketiga juga ikut bertanggung jawab dengan area dari bisnisnya sendiri,” ujar Deni.

"Karena everyone bisa attack them (pihak ketiga) dan dari sana mereka bisa attack ke kami [...] memang itu tergolong baru dan lumayan mengerikan, efeknya," katanya.

Terakhir, dari sisi orang. Deni menuturkan sesktor ini paling menarik karena sisi manusia adalah aspek paling lemah dalam keamanan.

"Meskipun orang sudah punya literasi keamanan informasi bagus, tetap saja kemungkinan dia, misal, karena lelah atau apa gitu, bisa juga jadi lalai, itu manusiawi," katanya.

Deni berharap dengan sosialisasi melalui media sosial populer,  informasi tentang perlindungan data pribadi dapat dicerna publik lebih mudah. “Waktu mendidik orang paling berat memang," jelasnya.

Setidaknya ada lima tips terkait keamanan pribadi untuk pengguna antara lain, menurut Deni:

1. Hati-hati menggunakan wi-fi publik karena tidak diketahui siapa saja yang terkoneksi dengan wi-fi itu. Gunakan koneksi data sendiri karena itu jauh lebih aman.
2. Menjaga kerahasiaan one-time-password (OTP). Jangan membagikan OTP yang biasanya berbentuk password atau token ini kepada siapa pun. OTP adalah pesan untuk pribadi mesti hati-hati.
3. Tidak sembarangan memberikan identitas. Ini yang dipakai untuk social engineering. Di sinilah, titik lemah manusia.
4. Kata sandi dibuat dengan kalimat pendek atau frasa, tidak dibikin ruwet sehingga lupa lalu ditulis di kertas—ini jelas tidak baik. Selain itu, tidak juga dibikin mudah karena akan mudah di-crack oleh penjahat.

Dalam diskusi yang dipandu oleh Pemimpin Redaksi Nurlis Effendi, hadir pula sebagai pembicara Ketua Umum Asosiasi Penyelenggara Jasa Internet Indonesia (APJII) Jamalul Izza dan Direktur Pengendalian Informasi, Investigasi, dan Forensi Digital BSSN Bondan Widiawan.[]

Redaktur: Andi Nugroho