Ketika terjadi kebocoran data, seperti kasus big data kesehatan, perbankan, kependudukan, e-commerce dan kepolisian di Indonesia dalam dua tahun terakhir, sebagian dari kita mungkin berpikir bahwa masalah ini merupakan kesalahan teknologi semata dan faktor pembobol.
Padahal, aspek paling penting yang biasanya terlupakan adalah rapuhnya tata kelola data, yang umumnya disebabkan oleh kecerobohan manusia. Apa pun aset yang dikelola oleh perusahaan dan lembaga, aspek perilaku manusia selalu menjadi komponen krusial, termasuk pengelolaan aset digital (data dan informasi).
Riset terbaru dari Verizon dan IBM menunjukkan aspek manusia selalu menjadi titik krusial kebocoran data. Laporan mutakhir dari Verizon mengenai kebocoran data pada 2021 itu menyatakan 85% kebocoran data melibatkan aspek manusia yakni rekayasa sosial, penyalahgunaan otoritas, dan kendali yang lemah.
Faktor manusia
Aliran dan produksi data yang besar apalagi yang berkaitan data pribadi menjadi tantangan yang krusial saat ini. Pengelolaan data digital memiliki tantangan yang lebih besar dibandingkan aset berwujud karena sifat data yang mudah diduplikasi ketika sudah bocor ke tangan yang tidak berkepentingan.
Terlepas dari canggihnya metode dan platform keamanan data, individu menempati posisi amat penting dalam keamanan data. Data-data yang berkaitan dengan diri mereka adalah aset yang berharga yang harus dijaga. Prinsip kehati-hatian harus dijalankan ketika, misalnya, mengisi formulir online baik untuk institusi publik maupun swasta. Apalagi yang berkaitan dengan berbagi data melalui platform media sosial seperti yang sedang marak saat ini.
Penggunaan rekayasa sosial dengan memanipulasi psikologi korban tidak memerlukan teknologi canggih. Manipulasi psikologi ini bisa dilakukan melalui email atau pesan teks agar target tertarik untuk mengunduh file, mengklik atau mengikuti tautan yang diberikan. Saat langkah itu diikuti, malware yang disiapkan oleh pelaku bisa disisipkan ke komputer atau server target. Malware ini selanjutnya bisa dikendalikan oleh pelaku untuk membuka akses ke data-data ada di komputer atau jaringan komputer penyimpan data.
Penyalahgunaan otoritas dan kendali yang lemah terhadap otoritas akses data juga banyak berkontribusi terhadap kebocoran data. Dari yang pernah saya alami, misalnya, data individu dan karyawan di salah satu institusi pemerintah disalahgunakan untuk kepentingan politik. Ini bisa terjadi karena adanya penyalahgunaan otoritas dan kendali yang lemah.
Operator data tidak bisa berbuat banyak ketika atasan langsung mereka meminta data dimaksud. Hal ini semakin diperparah karena kurang memadainya kendali internal untuk mengidentifikasi akses data dan untuk apa data itu selanjutnya akan digunakan.
Penyalahgunaan ini rentan terjadi, karena saat data dikumpulkan, tidak ada surat persetujuan (consent form) yang diberikan kepada individu mengenai tujuan penggunaan data, dan bagaimana data akan diproses, dikelola, dibagi, dan disimpan oleh institusi yang bersangkutan. Dan berapa lama disimpan.
Berita tentang kebocoran data sudah sering kita dengar dan saksikan di media. Baik institusi swasta dan pemerintah, besar maupun kecil, semuanya rentan terhadap kebocoran data.
Selama dua tahun terakhir, misalnya, setidaknya terjadi tiga kasus kebocoran data institusi publik yang terungkap di Indonesia, yaitu kebocoran data Komisi Pemilihan Umum (KPU), Badan Penyelenggara Jaminan Sosial Kesehatan (BPJS), dan Kepolisian Republik Indonesia (Polri).
Celakanya, institusi publik merupakan pihak yang paling rentan. Hal ini karena satu institusi publik seringkali harus berbagi data dengan institusi lainnya. Selain itu, data yang mereka kelola berkaitan dengan layanan-layanan yang mengharuskan publik bisa mengaksesnya.
Data individu yang sudah berpindah dan terekam ke database institusi publik harus dijaga dan dikelola secara aman dan profesional. Oleh karena itu tata kelola data yang baik merupakan aspek kritikal untuk mencegah terjadinya kebocoran data terutama data pribadi baik secara individu maupun agregat.
Institusi dan individu kini harus sadar bahwa kebocoran data bukan hal sepele. Bagi individu, jangan pernah beranggapan bahwa berbagi data pribadi bisa dilakukan dengan bebas tanpa konsekuensi. Baik secara individu maupun agregat, data memiliki nilai ekonomi, sosial, budaya, dan politik.
Bagi pembobol data, data merupakan bisnis besar karena harganya di pasar gelap berkisar dari beberapa dolar hingga puluhan dolar per identitas. Data curian ini bisa dipakai untuk tindakan kriminal dari pemerasan, penipuan hingga pencurian uang secara elektronik.
Secara global, IBM melaporkan terjadi peningkatan kerugian akibat kebocoran data dari US$ 3,86 juta (sekitar Rp 55,3 miliar) pada 2020 menjadi US$ $4,24 juta (sekitar Rp 60 miliar) tahun ini. Di laporan riset ini juga dipaparkan bahwa kebocoran data pribadi menyumbang kerugian yang paling besar dengan nilai US$ 180 (sekitar Rp 2,5 juta) untuk setiap identitas.
Isu privasi
Privasi dan perlindungan data pribadi adalah dua aspek yang saling terkait satu dengan lainnya. Perlindungan data ditujukan untuk memastikan bahwa data pribadi setiap individu ditangani sesuai dengan peraturan dan undang-undang yang berlaku. Privasi merupakan bagian dari hak asasi manusia. Oleh karena itu, setiap individu memiliki hak untuk mengontrol data pribadi mereka.
Di Indonesia, definisi mengenai data pribadi tertera di Undang-Undang (UU) No. 23 Tahun 2006 tentang Administrasi Kependudukan. Di UU tersebut data pribadi didefinisikan sebagai data perseorangan tertentu yang disimpan, dirawat, dan dijaga kebenaran serta dilindungi kerahasiaannya.
Data pribadi ini meliputi nama lengkap, nomor KTP/NIK, Passpor, SIM dan identitas lainnya, data-data tentang kesehatan (fisik, fisiologi, dan mental), data demografi individu, data ekonomi dan penghasilan, data lokasi geografis dan geolokasi, nomor ponsel, alamat surel pribadi, alamat rumah, foto dan video individu.
Pengelolaan data pribadi harus mematuhi peraturan perundang-undangan proteksi dan privasi data yang berlaku di negara setempat. Karena itu, pemerintah dan DPR perlu segera membahas lagi rancangan UU Perlindungan Data Pribadi yang kini mandeg.
Untuk perlindungan data pribadi ini, Uni Eropa masih merupakan jurisdiksi yang terdepan dalam penegakan ketentuan proteksi dan privasi data melalui Peraturan Umum Perlindungan Data (General Data Protection Regulation atau GDPR)). Seperti saran GDPR, individu pemilik data berhak mengetahui siapa atau pihak-pihak mana yang menjadi pemroses data (data processor), siapa yang mengendalikan data mereka (data controller), dan siapa yang memproteksi data mereka (data protection officer).
Secara umum, regulasi mengenai proteksi data memberikan hak pada pemilik data untuk mengetahui siapa saja yang akan menggunakan data (access), dimintai pernyataan kebersediaan (consent), mengoreksi data yang tidak akurat (correction), meminta data dimusnahkan setelah dianalisis (erasure), mengetahui penggunaan data (informed), dan mentransfer data (portability).
Teknologi, prosedur, dan manusia
Tata kelola data yang baik melibatkan sinergi antara teknologi, proses (prosedur) dan manusia. Institusi publik harus profesional menangani data pribadi dan sensitif dari sejak data dikumpulkan, diproses, hingga dimusnahkan. Regulasi perlindungan data pribadi yang saat ini masih dalam tahap rancangan semakin terasa urgensinya.
Pemahaman mengenai tata kelola data yang baik dan kepatuhan terhadap regulasi perlindungan data pribadi akan menentukan bagaimana institusi menangani data pribadi individu yang mereka kumpulkan. Misalnya, institusi harus menjamin keamanan jaringan dan mesin yang digunakan untuk menyimpan data.
Di samping itu, data itu sendiri juga harus diproteksi dengan menggunakan mekanisme kriptografi modern. Yang tak kalah pentingnya adalah kendali atas akses data. Kolusi yang terjadi di antara pihak-pihak yang memiliki akses data akan berdampak serius dan membuat teknologi keamanan yang sudah diterapkan menjadi sia-sia.
Jika kebocoran data sudah terjadi, institusi yang bertanggung jawab harus segera melaporkan kejadian tersebut ke otoritas yang berwenang (Kementerian Komunikasi dan Informasi), untuk bersama-sama mengambil langkah-langkah yang relevan untuk memitigasi resiko, baik bagi institusi, maupun individu yang terdampak kebocoran data tersebut.