BandungBergerak.id - Akhir-akhir ini Indonesia digemparkan dengan kebocoran data BPJS kesehatan. Kebocoran karena kejahatan digital (cyber criminal) ini bukan yang pertama. Sebelumnya kebocoran data konsumen juga disinyalir terjadi pada marketplace Tokopedia.

Sri Suning Kusumawardani, dosen DTETI UGM, mengatakan cyber criminal merupakan isu penting yang seharusnya diketahui oleh masyarakat luas. Isu ini tidak boleh ditutup-tutupi, untuk memudahkan upaya mitigasi risiko.

Sebagai langkah respons, Suning menjelaskan jika kita sudah mengetahui bahwa data kita disebarluaskan langkah yang harus dilakukan bagi seorang individu antara lain mengganti data email pada akun penting, seperti akun bank, gunakan password lebih dari 12 karakter, aktifkan pengaturan keamanan dengan menggunakan autentikasi 2 faktor, dan sebagainya.

Hal itu penting dilakukan untuk mengantisipasi serangan lanjutan. “Hal penting yang harus disadari oleh individu adalah waspada terhadap serangan lanjutan seperti mendapat SMS atau telepon yang meminta kode OTP, meminta nomor kartu kredit, meminta data pribadi, dan sebagainya,” kata Sri Suning Kusumawardani, dalam webinar bersama Cyberkata, Selasa, 25 Mei 2021, seperti dikutip dari laman resmi UGM, Senin (31/5/2021).

Sri menambahkan, untuk mengetahui apakah data milik kita sudah disebarluaskan dapat dicek melalui https://haveibeenpwned.com dan khusus data BPJS dapat dilakukan pengecekan melalui https://periksadata.com/bpjs/. Perlu diketahui bahwa periksadata.com hanya memuat data sampel saja, jadi isinya hanya 1 juta data.

Ia menyatakan, salah satu dampak dari kebocoran data adalah penyalahgunaan data pribadi. Namun saat ini masyarakat awam masih kurang peduli terhadap kejahatan digital ini.

Dalam proses peretasan data, cyber criminal biasanya sudah berada di dalam sistem target yang cukup lama yaitu hitungan minggu atau bulan. Banyak kejadian ekstraksi data terdeteksi pada saat data sudah dijual. Hal tersebut dapat terjadi karena kurangnya sistem pendeteksi serangan.

Sri menjelaskan instansi atau organisasi yang memiliki sistem pengelolaan data pribadi harus memiliki tata kelola keamanan data dan prosedur jika terjadi Cyber Criminal serta perlu ada simulasi mitigasi risikonya. Penting juga sistem pendeteksi serangan dimiliki oleh instansi/organisasi.

Sementara, Ismail, Co-Founder Cyberkata, menjelaskan database yang terlanjur tersebar ini sebenarnya bukan hanya harus dimitigasi secara individu, namun pemerintah atau instansi terkait pengumpul data juga harus turut andil dalam mengamankan data. Transparansi terkait kasus Cyber Criminal ini perlu dilakukan guna meningkatkan awareness di masing-masing individu. “Undang-undang Perlindungan Data Pribadi (PDP) sudah saatnya berlaku di Indonesia,”kata Ismail.

Baca Juga: Kesenjangan Akses Internet di Era Cakap Digital
SAFEnet: Kriminalisasi dan Serangan Digital Marak Selama Pandemi Covid-19

Indonesia Perlu UU Privasi untuk Lindungi Data Pribadi

Pertengahan 2020 lalu, publik digegerkan dengan bocornya 91 juta data penggun aplikasi e-commerce Tokopedia. Belakangan, data ini dijual di forum internet. Peristiwa ini bukan yang pertama, karena sebelumnya, Mei 2020, 15 juta pengguna perusahaan marketplace dalam negeri itu juga dicuri.

Dosen Kelompok Keahlian (KK) Teknik Komputer, Sekolah Teknik Elektro dan Informatika (STEI) Institut Teknologi Bandung (ITB) Budi Rahardjo menjelaskan bahwa keamanan erat pengertiannya dengan privasi. Menurutnya, ada dua macam kerahasiaan privasi, yaitu yang lebih ketat dan lebih kendur.

“Di Benua Eropa, privasi menjadi perhatian yang sangat ketat peraturannya. Terdapat banyak sekali regulasi dan mekanisme yang harus dipatuhi. Indonesia sendiri merupakan salah satu negara yang lebih kendur. Hal ini sedikit banyaknya dipengaruhi oleh sistem sosial kekerabatan yang lazim di masyarakat,” ujar Budi dikutip dari laman ITB, Selasa, 12 Mei 2020.

Diketahui bahwa Indonesia belum memiliki Undang-undang perlindungan data pribadi. Menurut Budi, RUU privasi di Indonesia sebenarnya sudah lama direncanakan, tapi hingga kini belum juga mencapai kesepakatan. Budi menekankan, peraturan mengenai privasi sebaiknya fokus pada perlindungan data yang dimiliki entitas bisnis agar tidak diperjualbelikan.

“Peraturan tertulis mengenai privasi tentu merupakan hal yang penting, tapi kita juga harus mempertimbangkan kenyaman kita dengan seluruh budaya yang ada. Perlu adanya diskusi dan duduk bersama, pastinya akan ada pro dan kontra,” kata Budi Rahardjo.

Data di internet terkait erat dengan akun pribadi di dunia maya. Suatu akin ibarat tumah di dunia nyata. Budi mengibaratkan, suatu rumah yang ditinggal pemiliknya harus selalu dikunci agar tidak dimasuki pencuri. Begitu juga dengan akun di internet. Sehingga orang yang sering “berselancar” di internet perlu memberikan perlindungan yang cukup untuk keamanan akunnya, yaitu dengan pemberian password.

Mengenai karakter password, Budi menyarankan sebaiknya bukan terdiri dari huruf atau angka yang mudah ditebak. “Untuk membuat barrier bagi para hacker, sebaiknya password yang dibuat berbeda-beda untuk tiap aplikasi,” ucapnya. Kata untuk password sebaiknya tidak berhubungan secara langsung dengan diri pengguna, seperti tanggal lahir atau alamat. Dianjurkan pula untuk memiliki sedikitnya delapan karakter, karena enam karakter sudah sangat mudah ditembus.

“Semakin aneh kombinasi dan semakin banyak karakternya, maka semakin banyak pula permutasi yang dibutuhkan untuk memecahkan kode password kita,” kata Budi Rahardjo.

Selain memiliki password yang tidak mudah ditebak, Budi menyarankan untuk memiliki proteksi malware atau perlindungan lainnya yang bisa memberikan notifikasi khusus apabila terjadi tanda-tanda terjadinya hacking. “Biasakan pula untuk tidak mudah terjebak dengan penipuan dengan dalih undian atau hadiah tertentu, karena sekalinya kita mengklik link yang tersedia, bisa-bisa mereka dapat menjebol sistem keamanan yang kita miliki,” tegas Budi.

Bluetooth juga seharusnya tidak sembarangan dinyalakan. Hal seperti lupa mematikan bluetooth berpotensi membuat data-data kita bisa diunduh dengan mudah. “Keamanan memang selalu bertentangan dengan kenyamanan, jika kita mau semuanya aman, maka kita harus berani untuk memilih jalan yang mungkin kurang nyaman,” tambah dosen yang berprofesi sebagai entrepreneur di bidang IT security ini.

Budi kemudian menyarankan agar kita memiliki dua ponsel. Satu yang digunakan sehari-hari dan satu lagi untuk data dan keperluan penting seperti mobile atau internet banking. “Kita juga harus meng-update aplikasi yang kita miliki dan melakukan verifikasi terhadap akun-akun penting tersebut,” terangnya.

Dengan kata lain, ada banyak sekali cara peretas untuk meretas data privasi. Salah satunya termasuk dengan wi-fi publik yang mungkin kita gunakan. Walaupun sulit, kata Budi, wi-fi yang merupakan sebuah kanal yang digunakan secara bersama juga bisa berpotensi untuk membuka enkripsi akun kita.

Ia mengingatkan, setiap aplikasi akan berhadapan dengan upaya-upaya peretasan yang ganas. “Di dunia maya ini, akan selalu ada code maker dan code breaker, dan dalam perjalanannya, code maker beberapa kali menang, diselingi juga dengan kekalahan dari code breaker, dan akan terus bertarung seperti itu,” ucapnya.

Maka, kata Budi, masyarakat perlu memikirkan kembali keamanan privasi dari aspek budaya yang kadangkala terlalu kendur. Seperti mencantumkan tanggal lahir, alumni sekolah, dan foto keluarga di media sosial. Karena semua informasi pribadi itu bikin orang lain mudah melakukan pelacakan. Bahkan informasi berupa KTP bisa digunakan untuk melakukan penipuan dengan cara mengganti nomor ponsel pihak yang bersangkutan dan membobol mobile banking-nya, juga yang sedang ramai seperti penipuan rekening bank abal-abal.

“Belum lagi, isu kebocoran nomor ponsel yang menjadi modus penipuan untuk permintaan transfer sejumlah uang dengan menginformasikan saudara atau keluarga sedang sakit
atau butuh bantuan,” tuturnya.