Menyoroti Kebocoran Data: Apa yang Harus Dilakukan Penyedia Platform?
Bhinneka.com menjadi salah satu platform digital yang mengalami kebocoran data pada 2020. Hingga kini penyelidikan kasus ini belum jelas. | Foto: marketing.co.id
Cyberthreat.id – Sepanjang 2020 ada sejumlah kasus kebocoran data platform digital yang berdampak pada pengguna di Indonesia. Lebih dari lima diantaranya perusahaan atau instansi yang berbasis di Indonesia. (Baca: 11 Kasus Pelanggaran Data Pengguna Sepanjang 2020)
Banyaknya kebocoran data yang terjadi tetapi hingga saat ini belum diketahui penyebab utama mengapa kebocoran itu terjadi. Lantas apa yang dapat dipetik dari kejadian kebocoran data yang terjadi pada 2020?
Cyberthreat.id menanyakan hal ini kepada pakar keamanan siber dari Vaksincom, Alfons Tanujaya. Ia mengatakan, kasus kebocoran data tak mengenal perusahaan kecil atau besar karena semua organisasi sangat berpotensi mengalami kebocoran data.
Menurut dia, kebocoran data bisa terjadi karena kelemahan sistem dan eksploitasi celah keamanan. "Celah keamanan itu adalah kelemahan/cacat dalam software sehingga bisa dieksploitasi/diretas dengan kode khusus yang telah di siapkan," kata Alfons, Kamis (31 Desember 2020).
Alfons mengatakan celah keamanan itu pasti akan selalu ada dan eksploitasi juga akan selalu terjadi jika celah keamanan tidak disiplin ditutup. Alfons mencontohkan seperti perusahaan TI kelas atas, SolarWinds, misalnya, bisa menjadi korban eksploitasi.
Selain dari faktor kelemahan sistem dan eksploitasi celah keamanan, Alfons juga membenarkan bahwa faktor manusia atau faktor orang dalam juga memiliki peran pada kebocoran data—kasus yang dialami aktivis media sosial Denny Siregar.
Alfons mengatakan, mau dilindungi seperti apa pun akan percuma jika yang melakukan adalah orang dalam. Namun, faktor ini bisa disiasati dengan manajemen keamanan informasi ISO 27001.
Lantas apa yang harus dilakukan perusahaan atau instansi yang menyimpan data pribadi masyarakat? Alfons menilai perlunya penyimpanan database dengan aman dan pastikan dienkripsi satu arah untuk database penting seperti kredensial username dan password.
Enkripsi searah tersebut penting agar ketika terjadi kebocoran data itu tidak akan bisa dibuka berbeda dengan enkripsi dua arah. "Kalau enkripsi dua arah bisa mudah dibuka karena kunci dekripsinya ada di server," ujarnya.
Menurutnya, dalam kasus kebocoran data Tokopedia, perusahaan telah melakukan enkripsi searah dan memakai metode salt. "Jadi sangat sulit dipecahkan," ujarnya.
Metode salt, kata Alfons, adalah sebuah teks password sebelum dienkripsi akan ditambahi karakter khusus. Mekanismenya seperti huruf “E” yang dienkripsi, lalu ditambah “2” maka menjadi huruf “H”. Namun, jika sebelumnya ditambah salt, “E” menjadi huruf “L”.
"Kalau E di-salt X2 baru tambah 2, jadinya 5X2+2= L. E itu huruf ke 5 kan, kalau tambah 2 jadi 7. Kalau di-salt kali 2, itu aritnya 5X2= 10, baru ditambah 2 sama dengan 12, jadinya huruf L," ujarnya mencontohkan mekanisme salt itu.
Namun, itu bukan aturan baku untuk salt. Alfons mengatakan dalam kenyataannya bisa macam-macam. "Bisa pangkat, bisa akar, log dan seterusnya. Ribet banget kalau yang beneran," katanya.
Selain mengamankan data itu dengan mengenkripsi dan ditambahi salt, Alfons menyarankan agar platform juga menyediaka fitur verifikasi dua langkah (2FA) atau kode OTP. "Untuk memberikan perlindungan tambahan andaikan kredensial bocor, tetapi akun tetap aman," ujarnya.
Namun, Alfons tak menyarankan kode OTP berbasis pesan SMS karena ketika nomor diambil alih, OTP itu akan jatuh ke orang lain. Meski, Alfons tak memungkiri pada kenyataannya, OTP SMS ini menjadi pilihan utama karena sangat praktis dan penetrasi perangkatnya paling luas serta murah.
"Kalau memiliki kemewahan tidak pakai OTP SMS. Idealnya pakai OTP yang terbaik. Tapi, faktanya di lapangan OTP melalui SMS tetap menjadi pilihan utama karena pertimbangan cost dan penetrasi yang lebih baik dari metode lain," kata Alfons.
Dalam kasus kebocoran data, Alfons juga menekankan pentingnya penegakan hukum baik bagi pemerintah maupun swasta, “Harus diikat dengan kewajiban menjaga data dan sanksi yang berat karena kecerobohannya atas data pengguna atau masyarakat yang bocor,” ujar dia.
"Selama ini kan pemerintah yang bocor data KTP-nya, bahkan tidak tahu bocornya dimana. Tahu-tahu sudah tersebat di internet. Hal-hal seperti ini yang harus diperhatikan dan dijaga." ujarnya.[]
Redaktur: Andi Nugroho
