Kebocoran data kependudukan Indonesia tidak bisa dianggap enteng. Pengelola data haruslah amanah, karena masyarakat rugi dua kali. Datanya bukan mereka yang pegang, tapi mereka yang kena dampaknya
Dunia direpotkan oleh serangan extortionware. Misalnya, serangan menimpa Colonial Pipeline yang menyebabkan empat negara bagian Amerika Serikat sempat mendeklarasikan keadaan darurat karena terhambatnya distribusi BBM yang disebabkan oleh serangan extortionware pada sistem komputer Colinial Pipeline.
Sementara, masyarakat (pemegang KTP) Indonesia masih dengan harap-harap cemas mencari tahu, apakah data kependudukannya bocor atau tidak. Apakah benar klaim Kotz bahwa ia memiliki data ratusan juta penduduk Indonesia. Sementara lembaga yang bertanggung jawab atas pengelolaan data yang diduga bocor tersebut memberikan pernyataan sudah mengantongi berbagai macam sertifikasi, dari sertifikasi ISO 27001, KAMI sampai COBIT. Namun faktanya data yang menjadi tanggung jawabnya sudah bocor dan yang menanggung kerugian terbesar adalah pemilik data alias penduduk Indonesia. Kalau yang bocor adalah data kredensial seperti username atau password, maka pemilik data akan dengan cepat dapat diganti dan diamankan. Demikian pula dengan data penting lain seperti alamat email atau nomor telepon walaupun lebih merepotkan tetapi dengan sedikit berkeringat masih bisa diganti.
Belajar dari antisipasi yang dilakukan oleh salah satu e-commerce Indonesia yang menjadi korban peretasan, mereka dengan cepat melakukan antisipasi mengamankan akun yang bocor dengan mengaktifkan TFA Two Factor Authentication sehingga dampak kebocoran tersebut dapat diminimalisir. Hal ini makin menyadarkan perusahaan bahwa data yang dikelolanya adalah asetnya yang paling berharga hari ini. Tetapi lain halnya dengan data kependudukan. Bagaimana mungkin kita bisa mengganti Nama, NIK, Tempat/Tanggal lahir, Jenis Kelamin dan Alamat yang ada di KTP ? Atau kalau data KK yang bocor lalu siapa yang berani nekad mengganti data istri dan anak ? Tidak ada hal yang bisa dilakukan pemilik data untuk mencegah kebocoran data ini karena bukan ia yang mengelola data tersebut. Hal yang cukup menggelitik rasa keadilan adalah pemilik data tidak melakukan kesalahan dan tidak menyebabkan kebocoran data tersebut, tetapi ia yang harus menanggung akibat dari kebocoran data.
Ibarat orang lain yang merokok tetapi ia yang harus menanggung sakitnya kanker paru-parunya. Kalau mau bicara soal siapa yang paling salah tentunya adalah pihak yang mencuri data atau peretas dan bukan institusi pengelola data. Karena tentunya tidak ada institusi yang dengan sengaja mau membocorkan datanya karena jelas-jelas akan merusak nama baik dan merugikan dirinya sendiri.
Namun perkembangan dunia digital yang bergerak dengan cepat saat ini, dimana data secara de facto sudah menjadi komoditas yang paling berharga di muka Bumi. Data menjadi harta karun digital yang secara teknis dapat diakses oleh siapapun menggunakan melalui jaringan internet dari belahan dunia manapun.
Maka siapapun yang mengelola data, apalagi Big Data yang kompleks itu harusnya menyadari bahwa datanya akan menjadi incaran utama penjahat digital yang ingin mengambil keuntungan dari data yang dikelolanya. Maka, sudah seharusnya melakukan langkah yang diperlukan untuk mengamankan data yang dikelolanya.
Langkah standardisasi proses sekuriti seperti ISO 27001, COBIT dan KAMI dapat dijadikan acuan. Namun perlu diingat, sekuriti adalah proses dan jangan menjadikan sertifikasi sebagai tujuan akhir karena justru sebaliknya sertifikasi merupakan awal dari suatu proses yang harus dijalankan secara disiplin dan berkesinambungan guna mengamankan dengan baik data yang dikelola.
Jangan pula menjadikan sertifikasi sebagai dasar untuk mengklaim bahwa perusahaan sudah mengamankan data dengan baik. Justru menjadi pertanyaan besar bahwa dengan segala sertifikasi yang sudah dimiliki mengapa datanya bisa bocor?
Jika semua sistem, prosedur dan proses pencatatan (log) dilakukan dengan baik maka dalam waktu yang singkat dapat segera diketahui dari mana saja sumber kebocoran data. Hal inilah seharusnya mendasari kerja administrator pengelola data sehingga bisa menjadi pembelajaran pengelolaan data khususnya yang berhubungan dengan data publik sehingga mampu meningkatkan kemampuan pengelolaan data publik dengan baik.
Mungkin kita bisa bertanya, apakah hak akses/privilege yang diberikan kepada pihak ketiga pengakses data sudah dibatasi dengan baik dan benar ? Apakah data yang ditransmisikan tersebut dienkripsi dan akses data hanya diakses seperlunya dengan terbatas oleh pihak ketiga dst. Jangan memperlakukan data itu sebagai berkah, tetapi perlakukan sebagai amanah supaya Anda tidak mendapat musibah. Lalu, tindakan apa yang harus dilakukan sehubungan dengan data kependudukan yang sudah bocor ini? Silakan ikuti tulisan selanjutnya.
*) Alfons Tanujaya adalah ahli keamanan cyber dari Vaksincom. Dia aktif mendedikasikan waktunya memberikan informasi dan edukasi tentang malware dan cyber security bagi komunitas IT Indonesia.