PADA 12 Mei 2021, aktor Kotz menempatkan di dark web kumpulan data yang diduga menyimpan 270 juta informasi pribadi warga negara Indonesia. Mereka atau seseorang yang mereka kenal telah menyalin data dari server pemerintah Indonesia dan kemudian diiklankan untuk dijual. Informasi yang dimasukkan oleh Kotz ialah alamat, email, nama, nomor telepon, KTP, gaji dan Nomor Induk Kependudukan (NIK). Ditambah 20 juta data yang diklaim menyertakan foto pribadi juga ditawarkan dalam iklan tersebut.

Sekarang kita tahu data ini sesuai dengan data BPJS Kesehatan, Berdasarkan keterangan Juru Bicara Kementerian Kominfo Dedy Permadi bahwa data tersebut “Identik dengan data BPJS Kesehatan” (Reuters, 21 Mei 2021).

Sampel data antara 100.000 hingga 1 juta rekaman ditawarkan sebagai pratinjau sebelum dijual. Jika 270 juta rekaman lengkap benar-benar tersedia ini adalah hari yang kelam bagi kami di Indonesia.

Berapa lama mereka (Kotz) dalam sistem? Bagaimana mereka mengambil informasi? Apakah mereka penyerang dari dalam atau dari luar? Kita mungkin tidak pernah tahu. Hal yang perlu diperhatikan adalah Kotz menyatakan dalam iklan bahwa datanya berasal dari berbagai sumber di lingkungan pemerintah Indonesia.

Kita hanya memiliki 100.000 sampel pertama yang telah terlihat dan kemungkinan data dari lembaga pemerintah lainnya mungkin termasuk dalam kumpulan data yang dijual tersbeut.

Sejujurnya dari kaca mata saya sebagai seorang profesional keamanan selama 34 tahun dan empat tahun terakhir tinggal di Indonesia, ini seharusnya tidak perlu terjadi. Komunitas keamanan siber di dunia telah menangani masalah ini selama lebih dari satu setengah dekade. Alat, kebijakan, dan prosedur keamanan telah disesuaikan dan diuji. Terapan ini digunakan di lingkup ritel, perbankan, rumah sakit, dan pemerintah di seluruh dunia. Mengapa terapan tersebut belum ada di sini (Indonesia) sekarang pada tingkat yang sama seperti negara lain? Ini sangat membingungkan saya. Padahal terapan dengan sistem pendidikan lengkap ini telah tersedia di Indonesia jauh sebelum saya datang ke sini pada 2017 dan telah tersedia di Naga Cyber ​​Security sejak 2018 dan sebagai bagian dari keamanan sebagai Layanan Naga Cyber ​​Defense sejak 2019.

Pada 2019, pemerintah Indonesia mulai mendorong Undang-Undang Perlindungan Data Pribadi (PDP) dan sekarang sedang melalui peninjauan DPR untuk mendapatkan persetujuan akhir. Pembentukan definisi yang lengkap dan komprehensif untuk informasi identitas pribadi (PII), model kepemilikan data, dan hak individu dari perlindungan data adalah hal yang membuat PDP begitu penting bagi masyarakat Indonesia.

---

Baca:

• Ini Indikasi Data 279 Juta Warga RI yang Bocor Berasal dari BPJS, Ada Nama Pejabatnya
• Terkait Dugaan Kebocoran Data Pribadi, Mungkinkah BPJS Kesehatan Didenda? Ini Kata Pakar Hukum Siber

---

Kita memiliki hukum dan peraturan untuk melindungi PII saat ini, tetapi mereka tidak sepenuhnya mencakup definisi tersebut. Jika Anda melihat Lexology.com, Anda akan menemukan beberapa artikel tentang persyaratan hukum untuk berbagai jenis data dari medis hingga keuangan yang dicakup oleh undang-undang saat ini. PDP akan menjadi peningkatan besar atas apa yang telah kita miliki, tetapi dari rancangan terakhir yang saya lihat pada Februari 2021 masih memberi bisnis dan organisasi waktu dua tahun untuk memiliki perlindungan dan kontrol penggunaan data untuk melindungi kita setelah PDP ditandatangani menjadi undang-undang .

Sayangnya alat dan peraturan yang berfungsi untuk menghindari jenis pelanggaran semacam ini yang telah tersedia dan telah diperbarui selama lebih dari satu dekade, masih belum diterapkan secara aktif di Indonesia.

Jadi bagaimana kita mengubah hari yang gelap menjadi terang bersinar? Saya bisa katakan, kita perlu suatu “Seruan untuk Bergerak” untuk negara, individu dan komunitas bisnis.

Kita Jangan mengabaikan peristiwa ini dan kemungkinan dampak yang terjadi bisa menjadi besar untuk tahun-tahun mendatang bagi semua orang. Data PII adalah bahan bakar yang mendorong penipuan dan kejahatan di seluruh dunia. Semakin banyak PII yang Anda berikan ke kejahatan, semakin besar kejahatan akan tumbuh. Ibarat kebakaran dikelola dengan membuang bahan bakar dan oksigen yang membuatnya terbakar. Dalam kasus PII dan kejahatan terkait, kesadaran keamanan negara yang terbatas layaknya oksigen yang menambah api kebakaran ini.

Rekomendasi tingkat nasional

Gunakan kejadian ini sebagai landasan untuk program pelatihan Kesadaran Keamanan Siber Nasional di televisi, radio, koran, media sosial, dan semua situs web pemerintah. Berikan penjelasan bagaimana pemerintah akan menghubungi warga atau bisnis secara resmi. Bagaimana caranya membedakan antara KTP asli dan KTP palsu. Siapkan sumber daya untuk melaporkan kasus penipuan melalui hotline nasional.

Cara terbaik untuk mencegah kejahatan dunia maya adalah dengan menghilangkan keuntungan darinya. Semakin sulit penjahat mendapatkan informasi dari serangan atau lebih mudah ditangkap, semakin sedikit kejahatan yang akan terjadi. Semakin kita menumbuhkan kesadaran keamanan, semakin sulit kejahatan ini terjadi.

Sistem kartu Identitas “Smart Card” dapat kita tinjau kembali untuk digunakan infrastruktur dengan skala nasional, bisa mendukung sampai ke tingkat ritel terbawah seperti warung supaya dapat diverifikasi data identitas secara langsung. Hal ini dapat mengurangi pencurian data identitas dan penipuan menggunakan data identitas palsu. Ini memberi petugas keamanan dan cara bisnis yang lebih baik untuk identifikasi tindakan penipuan.

Dalam jangka pendek, sistem verifikasi dua langkah (2FA) dengan aplikasi digital terkontrol melalui validasi blockchain akan menjadi cara termurah dan termudah untuk memberi vendor sarana dalam memverifikasi identitas pelanggan yang dikeluarkan oleh pemerintah.

Bagaimana pun, sistem hosting yang aman dan tepercaya menggunakan peralatan lengkap dan prosedur keamanan yang tersedia, perlu dibangun dan dikelola dengan aman oleh pemerintah.

---

Baca: 

• Vaksin.com Yakini Data yang Dijual di RaidForums ialah Data Peserta BPJS Kesehatan
• Belum Akui Data Warga RI Diretas, BPJS Laporkan Kasusnya ke Bareskrim

---

Rekomendasi tingkat Individu

Bertanggung jawablah atas keamanan Anda sendiri, tetapi yang lebih penting baik kita bersama-sama atau masing-masing perlu membantu negara untuk tetap terlindungi baik di rumah, sosial dan kehidupan kerja.

Anda perlu lebih waspada bahwa seseorang dapat tertipu dengan mengklik tautan phishing. Gunakan alat seperti mobile threat defense atau web control yang secara aktif memantau reputasi keamanan untuk Anda. Mengapa reputasi?

Reputasi penting bagi negara, bisnis, dan individu. Anda perlu tahu bahwa dalam “reputasi keamanan siber” sama pentingnya. Kami menggunakan reputasi sistem, situs web, dan aplikasi untuk membantu kami menentukan apakah itu baik atau jahat (malicious). Reputasi dapat berubah-ubah dari baik menjadi buruk dan menjadi baik lagi hanya dalam beberapa menit di Internet. Di Naga Cyber, ​​kami mengelola reputasi secara real-time. Kami melindungi berdasarkan perilaku, perilaku normal Anda, perilaku aplikasi dan layanan yang Anda gunakan di internet.

Dengan memantau reputasi Internet, kami menentukan apakah situs atau aplikasi telah terkompromi oleh kegiatan kriminal, sehingga malware terblokir sebelum menyentuh ponsel/komputer Anda. Kami menggunakan model zero trust. Kami tidak berasumsi bahwa setiap orang baik atau jahat sampai mereka membuktikan diri. Sebagai individu, Anda perlu melakukan hal yang sama dalam transaksi keuangan dan sosial Anda.

Jangan paranoid, luangkan waktu untuk verifikasi KTP sebelum melakukan transaksi atau konfirmasi bahwa pihak pengirim email itu asli sebelum mengklik tautan tersebut. Jika Anda tidak sedang berbicara dengan pihak yang sudah Anda percaya, luangkan waktu untuk memeriksa kembali kebenarannya sebelum Anda mengambil tindakan.

Kami melihat lebih banyak kasus Business Email Compromise (BEC) dari imbas pembobolan data. Setelah ransomware, BEC atau Business Email Crime adalah cara kejahatan terbesar kedua untuk mencuri uang Anda. Demi kepentingan diri Anda sendiri, keluarga, dan bisnis tempat Anda bekerja, pikirkan dan verifikasi dulu sebelum Anda mengklik sembarangan.

---

Baca:

• Dirjen Dukcapil Ingatkan Tiga Hal Mendasar tentang Data Pribadi Penduduk
• Tim BSSN Lacak Kemungkinan Backdoor di Sistem BPJS Kesehatan

---

Rekomendasi tingkat bisnis

Bisnis perlu secara aktif mendorong security awareness dan memiliki program pembersihan dunia maya yang baik. Jika Anda menyadarkan staf akan risiko-risiko bagi bisnis Anda adalah separuh dari pertempuran di keamanan siber. Anda memerlukan perlindungan keamanan berbasis reputasi yang berfungsi khusus di Indonesia, bukan di Uni Eropa atau Amerika.

Anda perlu memahami PDP dan pengaruhnya terhadap bisnis Anda sekarang juga. Setiap bisnis di Indonesia mulai perusahaan perorangan hingga perusahaan multinasional dari setiap bidang bisnis memiliki beban perlindungan data dengan segala persyaratan proses kontrol di bawah PDP.

Tolong jangan menunggu RUU ini ditandatangani. Jangan menunggu dua tahun untuk mendapatkan perlindungan dan proses ini. Hilangnya reputasi dan bisnis Anda karena pelanggaran data mungkin tidak setinggi denda yang akan dikenakan UU PDP pada Anda dan bisnis Anda. Namun, dalam jangka panjang, denda tersebut dapat menjadi lebih besar. Implementasi data loss prevention (DLP) yang merupakan alat untuk mencegah pembobolan ini adalah suatu keharusan saat ini.

DLP adalah teknologi dan kebijakan dengan prosedur yang harus diikuti staf untuk melindungi bisnis Anda terhadap kemungkinan pelanggaran data dari vektor ancaman orang dalam dan pihak luar. Perlindungan endpoint untuk menghentikan transfer data seperti melalui email, menyalin file ke USB, atau sekadar copy dan paste hanya merupakan beberapa cara mengunci data di lingkungan Anda.

Alat database activity monitoring (DAM) yang digunakan untuk memantau siapa, apa, kapan, dan bagaimana database diakses dengan opsi virtual patch untuk menghapus vektor ancaman tanpa harus memodifikasi atau membangun ulang aplikasi database.

Terpenting, Anda harus memiliki tim operasi keamanan 24x7 yang memantau semua alat ini dan memastikan aturan pengaksesan data yaitu siapa yang perlu mengetahui (need to know), memodifikasi (modify), membuat (create), dan menghapus (remove) telah sesuai. Tim keamanan harus memiliki kemampuan untuk menegakkan kepatuhan pengguna, sistem, dan aplikasi secara real-time untuk mencegah pelanggaran data.

Dalam artikel tentang keamanan siber dan waktu, saya katakan bahwa waktu untuk penjaga sangatlah singkat. Penjaga memiliki waktu lima menit untuk mempertahankan endpoint dan kurang dari itu untuk mengontrol kemungkinan pembobolan. Di Naga Cyber kami menyediakan metode dan alat yang disesuaikan dengan kondisi di Indonesia dan dapat disesuaikan dengan format data BPJS serta KTP yang telah kami optimalkan dan lalui selama dua tahun ini. Alat untuk keamanan siber siap pakai yang dijual pada umumnya, yang tinggal Anda pasang dan lupakan, tidak dapat berfungsi dengan konfigurasi dasar, karena tidak dirancang untuk menangani perbedaan bahasa seperti di Indonesia atau bahasa daerah di infrastruktur nasional kita. Alat kami dikelola dan dipahami oleh orang Indonesia untuk kesuksesan keamanan terbesar.

Kesempatan kita untuk mengamankan dan mencegah hal-hal buruk terjadi di Indonesia ada di tangan kita sekarang. Dari tingkat pemerintah hingga rakyat di Indonesia, kita harus menyadari bahwa kita perlu meningkatkan keamanan siber sekarang. Sebelum kita mengatakan, "Aduh, Kita Kebobolan Lagi".[]

---

Penulis adalah COO dan Chief Geek untuk PT. DNA yang berbisnis di Naga Cyber, Naga Cybersecurity dan Naga Cyber Defense. Dengan pengalaman 41 tahun dalam TI dan 34 tahun pengalaman cybersecurity di seluruh spektrum siber, ia pernah menjadi guru dan Enterprise Security Solution Architect yang bekerja di Amerika, Eropa, Timur Tengah dan Asia untuk Bisnis Global 2000 dan Pemerintah.