Serangan Ransomware pada Pusat Data Nasional (PDN) Kemenkominfo pada bulan Juni 2024 lalu telah membuktikan, untuk kesekian kalinya, lemahnya kontrol sistem penanggulangan risiko terhadap sistem keamanan informasi yang menyangkut data pribadi masyarakat Indonesia.
“Bukan Tata kelola tapi Kebodohan” kata yang muncul oleh salah seorang anggota DPR saat dengar pendapat dengan berbagai stakeholder yang harus mempertangungjawabkannya.
Tentunya hal ini menambah rentetan kejadian yang membuktikan mudahnya data pribadi Indonesia diambil dan dicuri.
Istilah “Open Source Data Pribadi” mungkin terdengar seperti sebuah konsep teknologi canggih, namun dalam konteks yang terjadi di Indonesia saat ini, istilah ini lebih tepat sebagai sindiran atas betapa sangat mudahnya mendapatkan data pribadi masyarakat Indonesia.
KTP: Fenomena “Open Source” Data Pribadi
Kartu Tanda Penduduk (KTP) Indonesia contohnya, dengan mudahnya didapat hingga dapat diakses secara terbuka di internet. Cukup dengan mengetikkan kata “KTP” pada mesin pencari Google, akan muncul ribuan gambar KTP yang pernah difoto dan diunggah oleh masyarakat.
Fenomena ini menunjukkan kelemahan serius
dalam pengelolaan dan perlindungan data pribadi di Indonesia.
Tidak hanya membuka peluang bagi penyalahgunaan data,
tetapi juga menimbulkan ancaman serius terhadap privasi dan
keamanan masyarakat.
Ironi ini semakin relevan dengan diberlakukannya Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP). UU ini merupakan upaya pemerintah Indonesia untuk mengatur dan memastikan bahwa pengelolaan data pribadi dilakukan dengan tanggung jawab yang tinggi dan sesuai dengan standar keamanan yang ketat.
Namun, pada kenyataannya fenomena “Open Source Data Pribadi”, menunjukkan masih banyaknya pekerjaan yang harus dilakukan pemerintah dan kesadaran serta partisipasi masyarakat yang penuh untuk memastikan implementasi UU PDP berjalan efektif.
Peran Auditor TIK
Di tengah situasi yang memprihatinkan ini, peran auditor Teknologi Informasi dan Komunikasi (TIK) menjadi semakin penting. Auditor TIK adalah barisan terdepan dalam memastikan bahwa data pribadi masyarakat dikelola dengan aman dan sesuai dengan standar yang berlaku, termasuk ketentuan yang diatur dalam UU PDP.
Tugas utama seorang auditor TIK adalah melakukan
evaluasi dan pengawasan terhadap sistem keamanan informasi yang digunakan oleh organisasi, termasuk organisasi pemerintah.
Mereka bertanggung jawab untuk mengidentifikasi celah-celah keamanan yang dapat dimanfaatkan oleh pihak yang tidak bertanggung jawab, serta memberikan rekomendasi perbaikan untuk memperkuat sistem keamanan tersebut.
UU PDP mengatur berbagai aspek perlindungan data pribadi, termasuk prinsip-prinsip pemrosesan data, hak-hak subjek data, dan kewajiban pengendali data untuk menjaga keamanan informasi. Dalam konteks ini, auditor TIK berperan untuk memastikan bahwa setiap proses pengelolaan data, mulai dari:
- pengumpulan,
- penyimpanan,
- hingga pemrosesan
sesuai dengan ketentuan yang ditetapkan dalam undang-undang tersebut.
Tanpa pengawasan yang ketat dari auditor, penerapan UU PDP di lapangan mungkin tidak akan berjalan dengan efektif, membuka peluang bagi pelanggaran hukum dan ancaman terhadap privasi masyarakat.
Risiko Tinggi Cybercrime di Indonesia
Salah satu faktor utama yang menyebabkan lemahnya sistem keamanan data di Indonesia adalah minimnya jumlah talenta ASN/PNS yang memiliki spesialisasi dalam bidang keamanan data atau cybersecurity.
Banyak instansi pemerintah yang masih bergantung pada infrastruktur teknologi yang usang dan tidak dilengkapi dengan pengawasan keamanan yang memadai.
UU PDP mewajibkan setiap organisasi, termasuk pemerintah, untuk memastikan bahwa data pribadi yang mereka kelola dilindungi dengan langkah-langkah keamanan yang memadai. Namun, tanpa kehadiran profesional yang berkompeten di bidang ini, implementasi UU PDP dapat terhambat.
Peningkatan digitalisasi di sektor publik semakin memperluas dan meningkatkan intensitas serangan siber yang terjadi. Sekretaris Direktorat Jenderal Aplikasi Informatika Kementerian dan Informatika, I Nyoman Adhiyarna mengatakan dalam sehari terdapat setidaknya 1.200 serangan siber di Indonesia.
Hal ini menjadikan Indonesia sebagai negara dengan kasus cybercrime tertinggi di Dunia saat ini. Berbagai kasus ini telah membuktikan bahwa hal tersebut tidak diimbangi dengan peningkatan kapasitas dan keahlian dalam literasi keamanan siber.
Hal ini menciptakan celah besar dalam sistem keamanan yang dapat dengan mudah dieksploitasi oleh penjahat siber (black hacker). Auditor TIK yang memahami ketentuan UU PDP dan juga Sistem Manajemen Keamana Informasi (SMKI) ISO:27001 sangat dibutuhkan untuk membantu organisasi publik dalam mematuhi peraturan dan melindungi data pribadi masyarakat dengan lebih efektif.
Langkah-langkah Audit TIK
Seorang auditor TIK yang kompeten dapat membantu organisasi, terutama di sektor publik, untuk memperkuat sistem keamanan mereka.
- Langkah pertama dalam proses audit adalah melakukan penilaian risiko untuk mengidentifikasi potensi ancaman terhadap data pribadi yang dikelola oleh organisasi.
- Setelah itu, auditor akan meninjau kebijakan keamanan yang ada dan memastikan bahwa kebijakan tersebut telah diimplementasikan dengan benar sesuai dengan ketentuan UU PDP.
- Auditor juga akan memeriksa infrastruktur teknologi yang digunakan, termasuk perangkat lunak dan hardware, untuk memastikan bahwa semuanya diperbarui dan tidak memiliki kerentanan yang dapat dimanfaatkan oleh penjahat siber.
- Selain itu, auditor TIK juga bertugas untuk mengedukasi staf dan pejabat pemerintah tentang pentingnya keamanan data dan cara-cara melindunginya. Ini termasuk memberikan pelatihan tentang cara mengidentifikasi ancaman siber, seperti phishing dan malware, serta langkah-langkah yang harus diambil jika terjadi pelanggaran keamanan.
Dengan menerapkan langkah-langkah ini serta kebijakan pimpinan yang mendukung, maka auditor TIK dapat membantu organisasi publik mengurangi risiko serangan siber dan melindungi data pribadi masyarakat.
Revitalisasi Implementasi UU PDP
Implementasi yang konsisten terhadap UU PDP juga dapat memperkuat upaya pencegahan cybercrime di sektor publik, baik di tingkat pemerintah pusat maupun daerah.
Indonesia telah menghadapi sejumlah insiden kebocoran data di instansi pemerintah yang melibatkan data pribadi jutaan warga. Salah satu contoh paling terkenal adalah kebocoran data KTP yang terungkap pada platform e-commerce dan media sosial.
Dalam kasus ini, data pribadi warga, termasuk nomor KTP, alamat, dan foto, tersebar luas di internet, membuat mereka rentan terhadap penipuan identitas dan kejahatan lainnya. UU PDP mengharuskan organisasi untuk mengambil langkah-langkah pencegahan yang efektif dalam mengelola dan melindungi data pribadi.
Namun, insiden kebocoran data yang terjadi menunjukkan bahwa banyak instansi belum mematuhi aturan ini dengan sepenuhnya. Jika auditor TIK telah melakukan audit yang menyeluruh dan menerapkan rekomendasi keamanan yang tepat, kebocoran data semacam ini mungkin dapat dihindari.
Ini menunjukkan pentingnya peningkatan kapasitas dan keberadaan auditor TIK yang kompeten di sektor publik. Fenomena “Open Source Data Pribadi” di Indonesia adalah cerminan dari lemahnya sistem keamanan data di berbagai organisasi, terutama di sektor publik.
Dengan adanya UU PDP, Indonesia telah memiliki kerangka hukum yang kuat untuk melindungi data pribadi warganya. Namun, tanpa implementasi yang efektif dan pengawasan yang ketat dari auditor TIK, aturan hukum ini mungkin tidak akan memberikan perlindungan yang diharapkan.
Audit TIK: Kekuatan Komitmen
Langkah-langkah audit yang dilakukan oleh auditor TIK, mulai dari penilaian risiko hingga pelatihan keamanan, sangat penting dalam mencegah insiden kebocoran data dan cybercrime.
Hanya dengan komitmen yang kuat terhadap keamanan data dan implementasi yang konsisten terhadap UU PDP, Indonesia dapat melindungi privasi warganya dan membangun kepercayaan dalam sistem digital yang semakin terintegrasi dalam kehidupan sehari-hari.
Dengan demikian, peran auditor TIK tidak hanya penting untuk keamanan data, tetapi juga untuk keberhasilan penerapan UU PDP di Indonesia.
Hanya seorang auditor biasa di salah satu kementerian di Indonesia. Sesekali menjadi narasumber bagi kementerian/lembaga/pemerintah daerah.
Mendedikasikan diri di bidang "Cyber Security" khususnya di bidang Digital Forensic.
pentest dunk