CSIRT.ID Press Release

24 Mei 2021

Indonesia Rugi Lebih Dari 600 trilyun Rupiah Akibat Kebocoran 279 Juta Data Penduduk

Setelah tahun lalu kita mengalami kebocoran 91 juta data pengguna di Tokopedia, pada 20 Mei 2021 ini viral kebocoran data yang lebih dahsyat, yaitu data 279 juta penduduk Indonesia. Informasi kebocoran ini berdasarkan pada posting status yang diunggah oleh seseorang yang bernama Kotz di forum dunia maya Raid Forums, dengan menyertakan pula contoh sebanyak 1 juta data yang dapat diunduh gratis. Dengan contoh data sebanyak ini, sangat mudah menentukan bahwa data ini valid atau tidak.

Skak mat kerugian

Saat mencanangkan pelaksanaan sensus penduduk di Istana negara 24 Januari 2020 lalu, Presiden Jokowi mengatakan : "Data ini adalah jenis kekayaan baru. Saat ini data adalah new oil, bahkan lebih berharga dari minyak. Data yang valid menjadi salah satu kunci pembangunan,". Bisa dibayangkan sekarang betapa ruginya bangsa Indonesia dengan kebocoran data yang sangat berharga ini. Indonesia dalam posisi Skak Mat, dengan kebocoran data yang super dahsyat ini. Jika pemerintah tidak segera mengambil tindakan yang cepat dan tepat, maka semua langkah yang diambil tidak ada artinya lagi. Kenapa kita dalam posisi di skak mat? Berdasarkan hitungan besarnya kerugian karena kebocoran data yang biasa digunakan oleh Lembaga riset Ponemon-IBM, besarnya kerugian karena kebocoran 279 juta penduduk Indonesia ini adalah lebih dari 600 trilyun rupiah!!. Kehilangan angka sebesar ini disaat kondisi ekonomi dalam negeri sedang mengalami tantangan berat karena pandemi, disaat kita membutuhkan banyak dana untuk penanganan krisis kesehatan, membuat kita pada posisi menjelang game over.

Game over karena ibarat kanker, kerugian ini bisa menyebar dengan eskalasi kemunculan kasus-kasus lainnya seperti peretasan nomor kontak pribadi dan akun media sosial secara masif, adanya panggilan telepon bertubi-tubi dari nomor yang tidak dikenal, pembuatan akun-akun baru yang para pemiliknya tidak pernah merasa membuat, sampai dengan penggunaan data pribadi itu untuk keuntungan finansial seperti pinjaman online, kemungkinan terganggunya atau bahkan terhentinya program program pemerintah lain yang sedang berjalan karena sudah tersebarnya data pribadi secara massif misalnya program transformasi digital yang dicanangkan oleh Kementrian Kominfo, hingga hilangnya kepercayaan masyarakat dsb.

Pelajaran Penting

Peristiwa kebocoran data kali ini menunjukkan beberapa pelajaran penting yang harus dijadikan cambuk untuk perbaikan kedepan. Pelajaran penting yang bisa diambil antara lain adalah terkait kondisi-kondisi berikut ini :

  1. Lemahnya tatakelola keamanan data: Pemerintah dan para penyelenggara sistem elektronik yang menangani data-data yang kritikal dan penting belum cukup sadar dan belum memberikan perhatian penuh bagaimana data-data penting yang lebih mahal dari minyak ini dapat dikelola dengan standar keamanan yang tinggi.
  2. Lemahnya sistem proteksi dan monitoring data: Kejadian kebocoran data yang sudah berlangsung berkali-kali menunjukkan masih lemahnya sistem monitoring dan mekanisme proteksi terhadap pengamanan data, baik pada tingkat pemilik data (data owner) maupun pengelola data (data processor). Permasalahan ini ditambah juga masih lemahnya pada sisi audit keamanan informasi dan juga vulnerability assessment yang semestinya dapat mencegah potensi kebocoran data agar dapat diantisipasi sedini mungkin.
  3. Lemahnya kemampuan penanganan Insiden: Lambatnya investigasi dan mitigasi terhadap insiden kebocoran data yang sangat masif ini menunjukkan masih lemahnya kemampuan penanganan insiden dan koordinasi antar lembaga yang terkait. Apalagi kalau dilihat dari skala kritikalitas dan dampak insiden yang bersifat nasional dan sangat luar biasa.
  4. Lemahnya sanksi hukum: Beberapa kejadian kebocoran data yang terjadi saat ini terkesan masih lemahnya dari sisi sanksi hukum dan tidak adanya efek jera terhadap Lembaga atau organisasi yang telah diberi kepercayaan untuk mengelola data-data penting. Sense of urgency terhadap kehadiran UU Perlindungan Data Pribadi sudah sangat diperlukan dan harus mendapatkan perhatian serius dari Pemerintah dan DPR.

Rekomendasi Tindakan

Langkah-langkah berikut ini merupakan rekomendasi untuk mengatasi dampak segera dari kejadian ini dan juga untuk menghindarkan terjadinya kejadian serupa dimasa datang:

(1). Melakukan langkah penanganan yang sifatnya segera dan untuk jangka pendek :

  1. Melakukan tindakan perlindungan lebih lanjut terkait bukti bukti yang mungkin bisa digunakan untuk investigasi, seperti perlindungan terhadap catatan2 log, kontrol akses, personal yang mengoperasikan dsb.
  2. Melakukan kordinasi internal dengan lembaga terkait dan memberikan peran serta kepemimpinan kepada lembaga yang kompeten untuk penanganan insiden siber, dalam hal ini kepada BSSN (Badan Siber dan Sandi Negara) untuk penanganan insiden (investigasi, analisa dampak serta pemulihan) dan kepada Kementrian Kominfo terkait peran kerangka hukum dan legal.
  3. Segera memikirkan solusi alternatif penggunaan data pribadi penting dalam bentuk lain yang bisa segera diimplementasikan. Contoh untuk solusi ini adalah penggunaan digital ID seperti yang sudah dijalankan secara parsial di u.id atau Privy.id. Hal ini dilakukan dengan pertimbangan bahwa kemungkinan kebocoran data ini terjadi jauh jauh hari bahkan dalam hitungan bisa lebih dari 5-6 bulan sebelum diumumkan di raid forums.
  4. Meminta pertanggung jawaban para pengelola data yang bocor ini dan menggantinya dengan yang lebih kompeten.
  5. Segera memberikan pengumuman atau laporan kepada para pemilik data terkait kondisi terkini, langkah langkah investigasi yang diambil dan konsekwensi yang akan diberikan sebagai bentuk pertanggung jawaban dan untuk menjaga tingkat kepercayaan masyarakat.
  6. Segera mengambil langkah langkah pencegahan terkait ancaman karena eksploitasi lanjutan penggunaan data pribadi yang sudah tersebar.

(2). Memperkuat faktor-faktor dalam lima aspek berikut untuk penguatan ke depan :

a. Aspek Teknis:

Perbaikan sistem dan kemampuan teknis dalam proteksi, monitoring dan penanganan insiden, seperti kemampuan mencari sumber kebocoran, kemampuan mengaudit sistem secara berkala, kemampuan melakukan pemulihan insiden dan sebagainya.

b. Aspek Hukum:

Perbaikan dalam kerangka legal dan penegakan hukum, peraturan dan investigasi untuk menjaga data pribadi.

c. Aspek Manajemen:

Perbaikan dalam proses bisnis, policy, prosedur, kordinasi, komunikasi dan pengelolaan resiko.

d. Aspek Bisnis:

Penguatan sistem yang menjamin hak masyarakat pengguna sistem elektronik, dan berjalannya layanan proses bisnis secara kontinyu dan normal.

e. Aspek Sosial:

Perbaikan Edukasi dan Sosialisasi publik sehingga dapat membantuk memperkuat sistem keamanan data sampai tingkat end-user.

Informasi lebih lanjut, kontak kami melalui [email protected]