Tag: data privacy

Platform PRIVASIMU Hadir untuk Bantu Perusahaan Patuhi UU PDP

PRIVASIMU, platform Pelindungan Data Pribadi (PDP), meresmikan kehadirannya pada Minggu (28/1). PRIVASIMU menawarkan solusi bagi perusahaan dalam memenuhi kepatuhan UU Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (PDP).

“Beberapa perusahaan masih kebingungan dalam menentukan apa yang harus dipersiapkan untuk mengimplementasikan UU PDP yang akan berlaku pada Oktober 2024. Peluncuran PRIVASIMU diharapkan dapat membantu perusahaan dalam melakukan implementasi UU PDP,” ujar Founder PRIVASIMU Awaludin Marwan dalam keterangan resminya.

PRIVASIMU adalah anak usaha startup di bidang edukasi hukum HeyLaw, yang didirikan pada 2020 oleh Awaludin, pemerhati hukum teknologi. Klaimnya, PRIVASIMU adalah platform pertama di Indonesia yang diperuntukkan bagi keamanan data pribadi.

Platform tersebut dikembangkan oleh gabungan para konsultan pakar di bidang IT dari aspek hukum, tata kelola IT, hingga keamanan dan siber. Para konsultan tersebut tercatat pernah terlibat dalam penyusunan aturan PDP, seperti UU PDP, Rancangan Peraturan Pemerintah (RPP) Pelindungan Data Pribadi, hingga standar kompetensi Data Protection Officer (DPO).

Platform ini diketahui melayani bisnis di berbagai sektor, mulai dari keuangan, kesehatan, pemerintahan, dan korporasi yang sering kali melibatkan data pribadi dengan tujuan untuk melindungi bisnis dari berbagai potensi kebocoran data dengan berkomitmen penuh terhadap praktik pelindungan data dan keamanan data.

Pihaknya menilai keamanan data operasional perusahaan terus menjadi kebutuhan krusial, terutama di tengah berkembangnya ekosistem internet dan pemanfaatan AI. Pihaknya berupaya untuk mengakomodasi tantangan di era big data, sesuai dengan kebijakan keamanan data.

Dalam perjalanannya, kami akan terus berinovasi memberikan layanan kepada perusahaan untuk memitigasi risiko hukum kebocoran data pribadi. Kami juga intens dan berkala untuk berkomunikasi dengan pihak pemerintah dalam melakukan konsultasi terhadap penerapan aturan PDP ini.” Tutup Awaludin.

Saat ini, sejumlah layanan dan solusi yang ditawarkan mencakup PDP Regulation Advisory, PDP Assessment & Strategy Development, Research & Publications, Training (pelatihan proteksi keamanan data), Technology (implementasi), Relations (relasi pemerintah terkait isu keamanan data), dan DPO-as-a-Service.

Adapun, sejumlah fitur PRIVASIMU yang telah tersedia untuk saat ini adalah Gap Assessment, Record of data processing activities (RoPA), Data Protection Impact Assessment (DPIA), dan Data Discovery.

Perlu diketahui, UU PDP disahkan sejak 2022, tetapi baru berlaku penuh pada Oktober 2024 dikarenakan adanya proses transisi. Dalam dua tahun terakhir, dugaan pelanggaran hukum data pribadi terus bertambah. Menurut data yang diungkap Lembaga Studi dan Advokasi Masyarakat (Elsam), terdapat sekitar 668 juta data pribadi yang diduga pengungkapannya melanggar hukum.

Dari total angka tersebut, sebanyak 44 juta data pribadi diduga berasal dari aplikasi MyPertamina, 15 juta dari kasus Bank Syariah Indonesia/BSI, 35,9 juta dari MyIndiHome, 35,9 juta dari Direktorat Jenderal Imigrasi, 337 juta dari Kemendagri, 252 juta dari kebocoran sistem informasi daftar pemilu KPU.

“Rentetan kasus dugaan insiden kebocoran data pribadi di atas, menunjukkan rendahnya atensi pengendali data yang berasal dari badan publik, untuk memenuhi standar kepatuhan pelindungan data pribadi,” tutur Direktur Eksekutif Elsam Wahyudi Jafar seperti diberitakan Bisnis.com.

Menelaah Peran UU PDP dalam Isu Keamanan Data di Indonesia

Isu keamanan data bukan hal baru di tengah masyarakat Indonesia. Mulai dari perusahaan teknologi hingga internal lembaga pemerintah pernah dikecam gagal melindungi data para penggunanya. Hal ini bermuara pada dirumuskannya draf rancangan Undang-Undang Perlindungan Data Pribadi pada tahun 2015.

Tepat pada tanggal 20 September 2022, melalui Rapat Paripurna DPR RI di Jakarta, Rancangan Undang-Undang Perlindungan Data Pribadi (RUU PDP) akhirnya disahkan menjadi undang-undang. Naskah final UU PDP yang telah dibahas sejak 2016 itu terdiri dari 16 bab serta 76 pasal. Jumlah ini bertambah 4 pasal dari usulan awal pemerintah pada akhir 2019, yakni sebanyak 72 pasal.

Meskipun begitu, banyak pertanyaan yang mencuat di masyarakat terkait efektivitas UU PDP ini dalam menjamin keamanan data mereka. Untuk mengetahui lebih dalam terkait UU baru ini serta pemanfaatannya di dalam masyarakat, DailySocial.id mengundang seorang pakar dan juga pendiri perusahaan teknologi yang fokus pada isu terkait keamanan data, PT Indo CISC, Budi Rahardjo, dalam diskusi #SelasaStartup.

Budi sendiri telah aktif mengawal isu keamanan data ini sejak 12 tahun yang lalu. Menurutnya pribadi, hal ini adalah sesuatu yang baik dalam hal kepastian hukum. Ia mengatakan bahwa UU PDP ini secara umum diperlukan sebagai pegangan hukum bagi masyarakat ke depannya.

Salah satu yang disoroti dalam pengesahan UU PDP ini adalah sanksi yang ditetapkan bagi perusahaan yang mengakses dan membocorkan data pribadi secara ilegal serta lalai dalam menjaga atau mengelola data pribadi pelanggan. Sanksinya pun bervariasi mulai dari denda dalam jumlah besar, hingga perampasan keuntungan.

Selain itu, ada kemampuan terbesar yang bisa dilakukan terhadap perusahaan yang mengumpulkan data seseorang dan kewajiban buat mereka jika pengguna meminta untuk menghapusnya. Di balik itu, hak terbesar –atau mungkin paling diperebutkan– yakni kemampuan untuk menghentikan perusahaan untuk menjual data ke pihak lain, seperti pengiklan.

Mengapa data perlu dilindungi?

Menurut buku Surveillance Capitalism yang dibaca ole Budi Rahardjo, ia mengungkapkan bahwa pengumpulan data pribadi sejatinya bertujuan untuk memberikan pelayanan yang lebih baik. Namun, ketika data pribadi itu digunakan untuk objektif yang lain daripada kepentingan awalnya, maka di situ telah terjadi penyalahgunaan.

Peraturan perlindungan data pribadi  mengacu pada praktik, perlindungan, dan aturan mengikat yang diberlakukan untuk melindungi informasi pribadi dan memastikan bahwa subjek data tetap mengendalikan informasinya. Singkatnya, pemilik data harus dapat memutuskan apakah ingin membagikan beberapa informasi atau tidak, siapa yang memiliki akses, untuk berapa lama, untuk alasan apa, dan dapat memodifikasi beberapa informasi ini.

Kebijakan seperti ini bukan hanya ada di Indonesia, namun juga banyak negara lain. Namun, Budi turut menyinggung terkait perbedaan kultur yang ada di Indonesia dengan negara-negara lain. Masyarakat Indonesia cenderung senang berbagi dan berinteraksi sehingga terkadang lupa bahwa ada orang yang berpotensi memanfaatkan data diri kita.

Lalu, apa yang bisa kita lakukan? Sesungguhnya, pelindungan data pribadi juga bisa dimulai dari diri sendiri. Seperti aplikasi media sosial sudah banyak yang menyediakan fitur verifikasi dua langkah, kode cadangan, dan notifikasi e-mail apabila ada pihak lain yang mengakses media sosial milik kita. Sebelumnya, DailySocial.id juga pernah menulis artikel terkait anjuran bagi individu untuk bisa menjaga keamanan data pribadi mereka.

Terlebih di era digital, lemahnya pelindungan data di Indonesia mengakibatkan maraknya kebocoran data. Terbukti dengan sering terjadinya kasus kejahatan siber, seperti hacking (peretasan) maupun cracking (pembajakan) media sosial yang berujung pada pembobolan data pribadi, pemerasan hingga penipuan daring. Pengesahan UU PDP ini disebut bisa memberi titik terang bagi kelamnya dunia maya di Indonesia.

Dampak bagi pelaku bisnis

Dalam rilis resmi yang diumumkan oleh Kominfo, Menteri Komunikasi dan Informatika, Johnny G. Plate mengungkapkan bahwa berlakunya UU PDP ini merupakan momentum bagi sejarah dalam tata kelola data pribadi di Indonesia dalam ruang lingkup digital. Lebih lanjut, ia menyampaikan bahwa UU PDP ini akan mengedepankan perspektif pelindungan data pribadi dalam setiap pengembangan teknologi baru, sehingga akan mendorong inovasi yang beretika dan menghormati hak asasi manusia.

Hal ini dilakukan sebagai upaya mengantisipasi kemajuan teknologi dan budaya digital, adanya UU PDP juga diharapkan mendorong kebiasaan baru pada masyarakat untuk lebih menerapkan pelindungan data pribadi. Dengan begitu, menurut Menteri Johnny, regulasi tersebut akan mendorong tumbuhnya ekosistem digital dalam memperbanyak talenta baru dalam bidang perlindungan data pribadi, baik di instansi pemerintahan, swasta ataupun publik.

UU PDP sendiri dirancang karena ada keinginan dari masyarakat agar datanya dilindungi. Namun, dari sisi pelaku bisnis, ada banyak aturan juga yang harus ditaati. Budi Rahardjo turut menyampaikan kekhawatirannya terkait aturan dalam UU PDP bagi pelaku bisnis, utamanya yang masih tahap awal.

“Kalau saya sebagai pengusaha baru, dan masih merintis bisnis, tapi sudah harus mengikuti banyak aturan, akan jadi lebih berat ya,” ujar Budi dalam sesi #SelasaStartup. Maka dari itu, pemerintah juga diharapkan bisa memberi panduan untuk para pelaku bisnis agar nantinya tidak menganggap UU PDP ini sebagai batu sandungan.

Terkait proyek-proyek besar yang melibatkan data masyarakat Indonesia, banyak yang masih meragukan kapabilitas pemerintah kita. Namun, Budi menanggapi hal ini dengan optimis. Inisiatif untuk mengintegrasikan data itu baik dan bisa menjadikan segala sesuatunya lebih efisien.

“Meskipun terkadang ada ketakutan karena sumber data yang hanya satu, ibaratnya kalau hancur satu hancur semua. Sanggup gak sanggup, ya harus sanggup. Kita juga harus bisa bersama-sama mengawasi pemerintah dan memantau eksekusinya,” tutupnya.

Pinjaman Gelap dan Ilegal Melalui Traveloka PayLater Menimbulkan Kekhawatiran atas Penyalahgunaan Data

Mengakses produk keuangan menggunakan smartphone dan platform yang diberdayakan teknologi untuk  sekarang telah menjadi kebiasaan banyak orang Asia Tenggara. Sebuah layanan serupa bank hanya melalui beberapa klik. Namun baru-baru ini keluhan tentang kemungkinan penyalahgunaan data pengguna yang disimpan oleh Traveloka mengungkap masalah serius dari praktik keamanan data yang tertinggal di balik proliferasi fitur yang mudah diakses. Saat ini, para korban harus menghadapi skor kredit pribadi yang rusak, namun masalah perlindungan data yang lebih besar belum ditangani.

Ketika Rachmat Haryanto mengajukan permohonan kartu kredit baru pada tahun 2019, ia terkejut ketika bank menolak permohonannya. Bank mengatakan dia memiliki nilai kredit atau credit scoring yang buruk, tetapi Haryanto yakin dia tidak memiliki tagihan yang tertunggak. Dia memeriksa riwayat kreditnya dan menemukan dua tagihan yang belum dibayar yang ditandai sebagai hutang kepada Caturnusa Sejahtera Finance, sebuah perusahaan yang ditugaskan oleh Traveloka untuk mengoperasikan layanan BNPL (Buy Now Pay Later).

Haryanto adalah seorang fotografer, dan dia sering bepergian untuk tugas. Seringkali, dia memesan tiket pesawat dan kamar hotel melalui Traveloka, tetapi dia tidak pernah mendaftar untuk layanan PayLater perusahaan. “Bank Indonesia memasukkan saya ke dalam daftar hitam untuk dua tagihan terutang, satu seharga Rp 8 juta (USD 561) dan satu lagi seharga Rp 10 juta (USD 710), di Traveloka PayLater,” kata Haryanto kepada KrASIA.

Siap mengajukan pengaduan, Haryanto menghubungi otoritas jasa keuangan Indonesia, OJK. Perwakilan yang berbicara dengannya menyuruhnya untuk menghubungi Traveloka secara langsung dan menyelesaikan masalah tersebut. “Bank juga menyarankan saya untuk meminta disclaimer dari perusahaan-perusahaan tersebut agar tagihan dapat dihapuskan untuk memperbaiki skor kredit saya sehingga saya dapat kembali mengajukan permohonan untuk kartu kredit,” kata Haryanto.

Ia akhirnya melakukan hal itu. Dia mengunjungi kantor Traveloka di Jakarta untuk melaporkan kesalahan tersebut dan meminta perusahaan segera memperbaiki masalah itu. “Data dalam rincian tagihan tidak sepenuhnya akurat. Sementara nama dan nomor KTP saya benar, informasi pekerjaan, alamat, dan nomor ponsel salah. Jadi ternyata, hanya butuh nama dan nomor ID untuk menyalahgunakan data,” katanya kepada KrASIA. Traveloka menyelesaikan masalah tersebut dan mengeluarkan sanggahan tertulis atas permintaan Haryanto.

Nilai kredit yang buruk, apa pun akar masalahnya, mempersulit individu untuk mengajukan kartu kredit, pinjaman, hipotek, dan layanan keuangan lain yang ditawarkan oleh bank.

Kasus Haryanto bukanlah sekedar outlier. Setelah dia menulis tentang pengalamannya dalam sebuah surat yang diterbitkan oleh media lokal Detik, lebih banyak orang mengatakan bahwa mereka mengalami masalah yang sama. “Sampai hari ini, banyak orang menghubungi saya untuk berbagi pengalaman serupa.”

Pelanggan lain yang menggunakan nama “Ridu” di Twitter baru-baru ini membagikan pengalamannya melalui utas tweet. Seperti Haryanto, pengajuan kartu kredit Ridu ditolak karena kreditnya buruk. “Ternyata, saya memiliki tiga transaksi yang belum dibayar dari Mei 2019, semuanya dari Caturnusa,” katanya kepada KrASIA.

Utas Ridu menarik perhatian Traveloka, yang menjangkau pengguna dan meminta tangkapan layar laporan skor kreditnya, serta foto kartu identitasnya dan selfie untuk verifikasi. Beberapa jam setelah Ridu mengirimkan materi tersebut, Traveloka mengiriminya email untuk meminta maaf atas penyalahgunaan data pribadinya. “Utang” Ridu dihapuskan oleh perusahaan.

Tema umum dalam kasus Haryanto, “Ridu,” dan pengguna Traveloka lainnya yang skor kreditnya menukik tanpa alasan yang jelas adalah tidak satupun dari mereka yang mendaftar ke layanan Traveloka PayLater yang difasilitasi oleh Caturnusa. Juga, tidak satu pun dari pengguna ini pernah menerima faktur atau dihubungi oleh penagih utang. Mereka yang menemukan utang terutang mereka hanya mengetahui ketika mereka melihat nilai kredit mereka setelah aplikasi mereka dengan lembaga keuangan ditolak. Hal ini menimbulkan pertanyaan: siapa yang menggunakan data pelanggan Traveloka untuk merumuskan transaksi dalam catatan Caturnusa? Dan mengapa mereka melakukan ini?

Haryanto berasumsi. “Dari banyak percakapan yang saya lakukan dengan korban lain dan orang-orang yang akrab dengan perusahaan fintech dan teknologi, ada dugaan bahwa Caturnusa mengambil data dari pengguna Traveloka untuk melakukan transaksi tersebut sehingga mereka memiliki aktivitas dan siklus transaksi yang sehat di platform. Tapi sekali lagi, ini hanya spekulasi,” katanya.

“Ridu” percaya bahwa ini adalah alasan yang paling mungkin di balik “utang” yang dibawanya. “Korban lain yang menghubungi saya mengatakan bahwa transaksi mereka juga terjadi pada tahun 2019. Dan saya menemukan bahwa Traveloka tidak memerlukan verifikasi KTP dan foto saat itu [untuk layanan PayLater],” katanya.

Selain vertikal PayLater, Traveloka juga menawarkan produk asuransi kepada penggunanya dengan bermitra dengan perusahaan seperti Chubb dan Astra Life.

Traveloka belum menanggapi permintaan konfirmasi KrASIA terkait hal tersebut.

Bagaimana penyelenggara fintech mengelola data pengguna?

Yayasan Konsumen Indonesia mengatakan 33,5% pengaduan yang diterimanya pada tahun 2020 menyasar penyedia jasa keuangan, porsi terbesar berdasarkan sektor dalam volume keseluruhannya. Sebagian besar konsumen menuduh bisnis ini menyalahgunakan atau mengeksploitasi data pengguna mereka, khususnya menunjuk ke pemberi pinjaman peer-to-peer ilegal.

Perusahaan Fintech sering mengatakan bahwa mereka menggunakan data pelanggan untuk analisis risiko, deteksi penipuan, dan untuk menyesuaikan layanan berdasarkan aktivitas dan preferensi pengguna. Pada tahun 2018, OJK menetapkan peraturan tentang bagaimana perusahaan tekfin dapat memanfaatkan data nasabahnya—semua penyedia jasa keuangan harus menjaga kerahasiaan, integritas, dan aksesibilitas data pribadi, transaksi, dan keuangan nasabah sejak perusahaan tersebut memperoleh data tersebut sampai dengan titik waktu ketika itu dihapus dari server mereka. Penyedia layanan juga harus mendapatkan persetujuan dari pengguna untuk pemanfaatan data, serta menjelaskan tujuan dan batasannya dengan jelas. Selain itu, metode pengumpulan data harus menjamin kerahasiaan dan keamanan.

Semua platform fintech dengan lisensi yang valid dari OJK, seperti Traveloka PayLater, harus mematuhi peraturan tersebut. Saat ini belum jelas bagaimana rentetan pinjaman tanpa izin tersebut dikeluarkan melalui layanan Traveloka PayLater.

Indonesia berjuang dengan lemahnya perlindungan informasi pribadi di sektor publik dan swasta. Setidaknya ada tujuh pelanggaran data besar pada tahun 2020, termasuk yang melibatkan perusahaan teknologi besar seperti Tokopedia dan Bukalapak, serta Komisi Pemilihan Umum (KPU). Pada bulan Mei, server BPJS Kesehatan, lembaga kesehatan dan jaminan sosial negara, diduga diretas, mengakibatkan data 279 juta orang Indonesia, termasuk orang yang sudah meninggal, diposting di forum peretas.


Artikel ini pertama kali dirilis oleh KrASIA. Kembali dirilis dalam bahasa Indonesia sebagai bagian dari kerja sama dengan DailySocial

Ketika Negara Gagal Melindungi Data Rakyatnya

Publik kembali dihebohkan dengan temuan masyarakat tentang kebocoran data yang berisi informasi penting seputar kependudukan. Kali ini data tersebut disinyalir bersumber dari BPJS Kesehatan – termasuk didasarkan pada sampel data yang kini sudah diperjual-belikan di pasar gelap, strukturnya identik dengan basis data kelolaan BPJS Kesehatan, terdiri dari Nama, NIK, No. Kartu, No. Telp, Email, NPWP, Gaji, dll.

Ini bukan kali pertama, sebelumnya pertengahan tahun lalu ramai diperbincangkan jutaan data kependudukan yang berasal dari Daftar Pemilih Tetap Pemilu 2014. Jika merujuk pada klasifikasi data dalam Peraturan Pemerintah, maka data yang bocor tersebut masuk dalam kategori “data elektronik strategis”, level tertinggi yang bahkan peletakan servernya pun tidak boleh di luar Indonesia.

Menanggapi hal ini, BPJS Kesehatan dan pemerintah [dalam hal ini diwakili Kominfo] menyatakan sedang melakukan penelusuran dan pendalaman.

Bahaya penyalahgunaan

Jika kemudahan yang dihadirkan dari layanan digital itu bagai pisau bermata dua, ancaman penyalahgunaan data dapat menjadi salah satu ujung negatifnya. Dampaknya bisa dirasakan secara langsung oleh masyarakat. Misalnya digunakan untuk pemalsuan identitas, melakukan transaksi finansial digital secara ilegal, atau dipelajari guna menemukan pola-pola tertentu untuk tujuan buruk.

Faktanya masih banyak celah di berbagai layanan digital yang saat ini banyak digunakan oleh konsumen Indonesia. Seperti kurang ketatnya sistem verifikasi dari berbagai platform – ada kejadian orang mencetak kartu identitas palsu dengan NIK dan nama yang mungkin benar untuk melewati proses e-KYC dengan swafoto KTP. Untungnya beberapa pengembang kini mulai meningkatkan sekuriti seperti dengan mengimplementasikan tanda tangan digital berbasis biometrik.

Dengan sifatnya yang strategis, jelas data itu harusnya memiliki sistem keamanan dan privasi yang tinggi. Idealnya juga menjadi hak masyarakat untuk mendapatkan perlindungan dari data-data terkait dirinya. Karena sudah terjadi, lantas siapa yang harus bertanggung jawab? Apa langkah represif yang harus dilakukan?

Pertanyaan ini sekarang masih cukup sulit dicari jawabannya. Berangkat dari pengalaman sebelumnya, kami tidak pernah mendengar bagaimana tindak lanjut [sanksi] pemerintah terhadap kebocoran data konsumen yang sempat mencederai beberapa layanan digital dengan pengguna masif di Indonesia, padahal di dalamnya juga terdapat berbagai data penting terkait identitas pengguna. Pasalnya memang tidak ada satu pun kewajiban hukum yang bisa dikenakan karena regulasinya belum ada.

Apa kabar UU PDP?

Kabarnya, masih belum juga selesai. Rancangan beleid yang masuk dalam Program Legislasi Nasional Prioritas 2021 sempat dikatakan rampung sebelum lebaran tahun ini, nyatanya masih belum juga selesai.

Berdasarkan draf per Desember 2019, regulasi tersebut memuat 72 pasal dan 15 bab mengatur tentang definisi data pribadi, jenis, hak kepemilikan, pemrosesan, pengecualian, pengendali dan prosesor, pengiriman, lembaga berwenang yang mengatur data pribadi, dan penyelesaian sengketa. Selain itu, mengatur kerja sama internasional hingga sanksi yang dikenakan atas penyalahgunaan data pribadi.

Dari analisis kami berbincang dengan narasumber, kala itu memang masih banyak potensi celah yang masih mengancam hak privasi data pribadi – dengan harapan draf tersebut kini telah disempurnakan. Padahal jika disahkan banyak hak konsumen yang akan difasilitasi lewat aturan, misalnya pengguna boleh meminta perusahaan pengelola data untuk menghapus datanya dan tidak menggunakan lagi [termasuk untuk kepentingan komersial].

Termasuk denda dengan nominal sangat besar yang konon akan dijadikan kewajiban hukum kepada penyelenggara sistem elektronik apabila terbukti data konsumennya bocor. Diharapkan langkah ini memaksa pengembang untuk menaruh perhatian lebih kepada strategi dan langkah preventif dalam mengamankan data-data penting mereka.

Lalu dengan rentetan kasus yang terus terjadi, masihkah regulator ingin menunda-nunda pengesahan Undang-Undang Perlindungan Data Pribadi? Dua ratus juta lebih data kependudukan di pasar gelap harusnya menjadi sebuah tamparan keras bagi pihak-pihak terkait.

Masyarakat hanya bisa pasrah?

Sayangnya di kondisi tertentu: IYA. Apa yang bisa kita lakukan untuk memberikan perlindungan lebih kepada data BPJS Kesehatan. Bahkan, untuk aplikasi yang dikembangkan perusahaan digital, langkah-langkah yang mungkin bisa diambil baru seputar rutin mengganti kata sandi, mengaktifkan autentikasi dua faktor, atau memperhatikan kredibilitas layanan. Belum ada mekanisme formal yang dijalankan untuk permintaan penghapusan data atau sejenisnya.

Keadaan ini benar-benar menjadikan urgensi penegakan UU PDP makin krusial. Perlindungan hukum akan menjadi payung penting yang memberikan kenyamanan kepada masyarakat atas data-data yang mereka miliki. Karena data satu orang pun memiliki nilai yang sangat mahal dan harus dilindungi hak-hak privasinya.

Gambar Header: Depositphotos.com

Mendiskusikan Dampak RUU PDP Terhadap Bisnis Periklanan Digital di Indonesia

Rancangan Undang-undang Perlindungan Data Pribadi (RUU PDP) cepat atau lambat akan disahkan oleh parlemen menjadi produk hukum tetap. Keberadaan beleid itu kian penting karena masyarakat sudah makin terhubung dengan layanan digital.

Dengan kata lain, RUU PDP menjadi satu-satunya harapan bagi masyarakat agar data yang mereka serahkan ke sejumlah platform layanan digital dapat benar-benar dilindungi. Namun aturan perlindungan data pribadi yang lebih ketat punya dampak yang berbeda ke dunia periklanan digital.

Indonesia Digital Association menangkap potensi dampak tersebut. Ketua IDA Dian Gemiano mengakui dampak yang akan dibawa oleh RUU PDP akan besar terhadap periklanan digital. Namun ia meyakini industri periklanan digital tak perlu khawatir asal dapat beradaptasi dengan cepat.

“Aturan-aturan tersebut juga akan melindungi pemilik usaha dari gangguan para pelaku data fraud yang sering merugikan pelaku usaha yang legitimate,” ujar Gemi.

Chairman Asosiasi Big Data dan AI Indonesia Rudi Rusidah menjelaskan, tujuan utama RUU PDP adalah menjaga kedaulatan data masyarakat. Rudi, yang aktif terlibat dalam pembahasan RUU PDP, menilai regulasi itu cukup penting dalam kegiatan periklanan digital untuk meminimalisasi kebocoran data atau penyalahgunaan data. Salah satu caranya adalah dengan menukar data yang bisa diidentifikasi ke pemilik data dengan kode atau nomor-nomor tertentu. Cara tersebut dinamakan pseudonymization.

“Di dalam peraturan itu nanti kalau mau sharing data atau menjual data ke orang lain datanya harus dibikin anonim,” imbuh Rudi.

Industri periklanan digital, baik lokal maupun global, memang sedang menghadapi tantangan besar sepanjang tahun ini. Di Eropa, berlakunya GDPR mengubah banyak hal dalam khususnya cara kerja industri periklanan digital.

Tekanan untuk mengamankan data pribadi di berbagai platform digital pun terus menguat. Kabar terbesar paling anyar datang dari Google yang berencana mematikan secara bertahap third party cookies di peramban Chrome dalam dua tahun ke depan.

Dalam dunia periklanan digital, third party cookies adalah alat yang dapat membantu mereka dalam menelusuri data pengguna antarsitus web yang berbeda. Dengan alat itu pemilik situs dapat melakukan re-marketing atau re-targeting dalam sebuah kampanye.

Data dari StatCounter pada September 2020 menunjukkan pangsa pasar peramban Google Chrome di Indonesia mencapai 77,5%. Hilangnya third party cookies di peramban itu jelas akan memaksa banyak pihak di industri periklanan digital mencari cara baru dalam mengelola dan memonetisasi first party data.

“Penting bagi pelaku industri digital mengerti bagaimana praktik bisnis bisa mematuhi peraturan data pribadi yang ada di industri, meskipun saat ini masih berbentuk RUU,” pungkas Gemi.

Gambar Header: Depositphotos.com

Pasrah Menghadapi Kebocoran Data di Tanah Air

Apa yang bisa kita lakukan sebagai pengguna layanan digital ketika data yang kita serahkan justru bocor dan diperjualbelikan di pasar gelap? Di Indonesia, jawabannya hampir tidak ada. Rentetan kasus kebocoran data beberapa waktu terakhir menunjukkan konsumen berada di posisi terlemah dalam siklus ini.

Belum jelas nasib kebocoran data di Tokopedia dan Kredit Plus, kasus serupa terulang lagi. Kali ini Cermati dan RedDoorz yang kena bidik peretas. Sekitar 2,9 juta data di Cermati yang digondol peretas berisi bermacam data mulai dari alamat email, kata sandi, alamat, nomor telepon, pendapatan, bank, nomor pajak, nomor identitas, hingga nama ibu kandung. Set data ini tergolong sensitif dan berharga untuk diperjualbelikan.

Jumlah data yang dicuri dari Reddoorz lebih banyak mencapai 5,8 juta data. Data itu berupa nama, alamat email, nomor telepon, dan detail pemesanan. Peretas menjual gelondongan data itu seharga US$2.000 atau sekitar Rp28 juta.

Selain mengambil langkah pencegahan, apa yang bisa kita lakukan sebagai pengguna jika dirugikan akibat kebocoran data yang sudah terjadi?

Pratama Prasadha, peneliti keamanan siber dari Communication and Information System Security Research Center (CISSRec), mengakui kondisi saat ini memang menyulitkan konsumen platform digital menggugat penyelenggara sistem dan transaksi elektronik (PSTE). Pasalnya memang tidak ada satu pun kewajiban hukum yang bisa dikenakan kepada PSTE atas kelalaian mereka.

“Di Indonesia sulit bagi konsumen untuk melakukan tuntutan hukum atas kebocoran data pribadi yang dikelola PSTE. Adapun konsumen atau masyarakat dalam posisi sangat lemah untuk meminta pertanggungjawaban PSTE,” ujar Pratama.

Pratama menjelaskan, sejatinya ada sanksi yang bisa dikejar konsumen sesuai Peraturan Menteri Komunikasi dan Informatika Nomor 20 Tahun 2016. Pasal 36 menyebutkan ada sejumlah sanksi administratif bagi mereka yang melanggar ketentuan berupa peringatan lisan, peringatan tertulis, penghentian sementara kegiatan, dan/atau pengumuman di situs dalam jaringan.

Dilihat dari sudut mana pun, jenis sanksi tersebut terlampau ringan jika dibandingkan risiko yang harus dihadapi oleh pengguna yang datanya sudah tercecer di mana-mana. Pratama menilai tanpa ancaman hukuman yang serius, hampir dipastikan insiden kebocoran data akan terus berulang.

“PSTE tidak ada kewajiban mengamankan dengan sebaik-baiknya karena juga tidak ada ancaman hukuman bila lalai,” imbuh Pratama.

Damar Juniarto dari Southeast Asia Freedom of Expression Network (SAFEnet) menekankan saat ini memang belum ada mekanisme yang bisa ditempuh konsumen baik secara perdata maupun pidana atas kerugian yang mereka derita. Tanpa peraturan yang betul-betul melindungi masyarakat sebagai konsumen dan warga negara, perlindungan data pribadi masih sebatas wacana.

“Selama belum ada Undang-Undang Perlindungan Data Pribadi, sulit membayangkan akan ada perbaikan,” tegas Damar.

Denda jumbo

Sudah banyak orang mendambakan RUU PDP segera disahkan menjadi peraturan resmi. Bertahun-tahun DPR selalu meminggirkan beleid ini untuk segera disahkan. Padahal keadaan di lapangan menunjukkan RUU PDP makin dibutuhkan untuk melindungi masyarakat yang kian terekspos terhadap layanan digital.

Salah satu yang disebut bisa mencegah maraknya kebocoran data adalah sistem denda yang akan dikenakan kepada PSTE. Proses penyusunan RUU PDP kerap disebut berkiblat pada GDPR (General Data Protection Regulation) milik Uni Eropa. Pemberian sanksi denda yang berat adalah salah satu karakter GDPR. Tak jarang aturan itu bisa menjerat suatu entitas yang bersalah dengan denda puluhan hingga ratusan juta euro.

Yang jadi persoalan dalam pembahasan RUU PDP selama ini belum ada kepastian apakah sistem denda dan sanksi administratif jadi fokus utama atau sistem pidana yang akan dipilih. Namun anggota Komisi I DPR RI Charles Honoris mengatakan beleid tersebut akan meninggalkan sanksi pidana untuk menghindari tumpang tindih dengan peraturan lain.

“Dalam berbagai perdebatan, ya, dan masukan yang kami terima dari beberapa stakeholder alangkah baiknya apabila aturan sanksi pidana yang sudah diatur dalam UU lain tidak lagi diatur di UU PDP,” ujar Charles seperti dikutip dari Kompas.

Contoh denda jumbo itu seperti Inggris yang menuntut Marriot membayar denda 99 juta poundsterling atau sekitar Rp1,8 triliun karena gagal melindungi data konsumen mereka yang bocor. Belum lama Inggris juga menuntut British Airways membayar denda 183 juta poundsterling atas kelalaian mereka. Pada akhirnya kedua perusahaan tadi diampuni dengan denda lebih rendah karena menghadapi kesulitan finansial akibat pandemi.

Selama pemberlakuan sanksi denda tersebut belum ada di Indonesia, banyak pihak ragu ada perubahan berarti dalam lanskap keamanan digital. Tanpa ancaman serius terhadap PSTE, insiden kebocoran data adalah sebuah keniscayaan. Lebih parah lagi hal tersebut bisa berakibat buruk terhadap kepercayaan konsumen.

Namun masyarakat sepertinya patut bersabar lebih untuk RUU PDP. Pasalnya kecil kemungkinan DPR dapat meloloskan RUU PDP di tahun ini dengan masa sidang yang tak lama lagi.

“Harapan saya di 2020 ini kita sudah bisa memiliki UU PDP. Tapi mengingat sisa masa sidang tinggal 1 bulan lagi sepertinya agak sulit direalisasikan,” ucap Charles dalam webinar dengan Lembaga Studi dan Advokasi Masyarakat (ELSAM).

Hingga saat ini tidak ada satu pun kasus kebocoran data yang diusut tuntas. Insiden Bukalapak, Tokopedia, Kredit Plus, Cermati, dan Reddoorz masih tak ada kejelasan siapa yang harus bertanggung jawab. Pertanyaan juga perlu dialamatkan ke Kemenkominfo, Otoritas Jasa Keuangan (OJK), dan Badan Siber dan Sandi Negara (BSSN) yang bertugas mengawasi dan mencari pertanggungjawaban PTSE terhadap konsumen.

Data Security Optimization in the Fintech App

Data security for a digital startup is a must. Apart from protecting company assets, data security also serves as a guarantee of trust for their customers.

This factor is becoming increasingly relevant for fintech startups. It is common knowledge that companies engaged in the financial sector. Therefore, data security in fintech is absolutely not something that can be negotiated.

Andre Pratama as Acting CTO of UangTeman explained that preventive measures against data leakage are a very important requirement. Andre shares his knowledge and experience in data security in the latest #SelasaStartup edition.

In general, issues in data security come from internal and external factors. Andre said that vulnerability from within could be the biggest problem in his field. Without a strict surveillance system, vulnerability holes can appear here and there. Apart from needing capable tools, the internal integrity of the company needs to be nurtured from the start.

“I think there are a lot of tools out there, but if the integrity is not maintained, it will be conceded too,” said Andre.

Secure from the inside

There are several steps a company can take to prevent security vulnerabilities from emerging. One of the first steps is to make sure the entire employee team is safe from the worst.

According to Andre, these steps can be started from making a non-disclosure agreement (NDA) or a confidentiality agreement with employees. The next step is to create a system that prevents problems that can arise accidentally.

An example of this step is not allowing laptops that employees use to connect to WiFi. Even if you need access to WiFi, it can only be used by certain people with clear purposes. Another example is erasing the contents of the blackboard after a meeting and requiring that minutes of meeting (MoM) only circulate within the company.

From the infrastructure aspect, there are steps needed. As a fintech, Andre said that his party has created a layered security system for every transaction that occurs. Likewise, in the data itself, everything is encrypted and hashed.

Collaboration with the third party

Vulnerability is also very possible when a startup wants to collaborate with third parties. The confluence of methods and technology between the two parties allows for loopholes that intruders can enter. Therefore, preventive measures are also needed.

Andre emphasized that before starting the cooperation, NDA must attend first. Then he assessed that the company must see whether the API that each uses is open or encrypted, whether the API can be installed directly or must register first, whether the API already uses https or not. Although it seems complicated but steps need to be taken.

“Usually intruders will take APIs that are still hollow or only http. It’s better to be strict than easy but vulnerable,” he added.

Data safety from and for all

The platform certainly has the responsibility of storing and using personal data that has been provided by its users. They are also bound by a number of regulations made by the government and associations.

However, in terms of preventing user awareness, it is also expected. Due to the fact that a number of data leak modus operandi can occur taking advantage of the user’s lack of knowledge of personal data security.

At UangTeman, according to Andre, education on data security applies to borrowers and lenders. They also provide education to both parties. The most basic example is a one-time use username and password (OTP) that no one can know. In addition to education like that, UangTeman also uses a forced system to protect the security of user data.

“We also do soft force for customers. So we detect from our mobile app if it takes too long to log in and just stay silent, we will force quit,” Andre concluded.


Original article is in Indonesian, translated by Kristin Siagian

Optimasi Keamanan Data di Aplikasi Fintech

Keamanan data untuk sebuah startup digital adalah keharusan. Selain melindungi aset perusahaan, keamanan data juga berfungsi sebagai jaminan kepercayaan untuk pelanggan mereka.

Faktor tersebut jadi kian relevan bagi startup fintech. Sudah menjadi pengetahuan umum bahwa perusahaan yang bergerak di sektor keuangan. Maka dari itu keamanan data di fintech sama sekali bukan hal yang bisa ditawar.

Andre Pratama selaku Acting CTO UangTeman menjelaskan, langkah-langkah preventif terhadap kebocoran data sebagai syarat yang begitu penting. Andre membagi pengetahuan dan pengalamannya di keamanan data dalam edisi #SelasaStartup terbaru.

Pada umumnya isu di keamanan data berasal dari faktor internal dan eksternal. Andre mengatakan kerentanan dari dalam justru bisa menjadi masalah paling besar dalam bidangnya. Tanpa sistem pengawasan yang ketat, lubang kerentanan bisa muncul di sana-sini. Selain butuh alat yang mumpuni, integritas internal perusahaan perlu dipupuk sejak awal.

“Saya pikir banyak sekali tools di luar sana, tapi kalau integritasnya tidak dijaga pasti akan kebobolan juga,” tegas Andre.

Menjaga dari dalam

Ada beberapa langkah yang bisa dilakukan suatu perusahaan untuk mencegah kerentanan keamanan muncul. Salah satu langkah pertamanya adalah memastikan seluruh tim karyawan aman dari kemungkinan terburuk.

Menurut Andre langkah-langkah itu bisa dimulai dari membuat non-disclosure agreement (NDA) atau perjanjian kerahasiaan dengan pegawai. Langkah berikutnya adalah menciptakan sistem yang mencegah masalah yang bisa timbul secara tidak disengaja.

Contoh dari langkah itu adalah tidak memperbolehkan laptop yang dipakai pegawai tersambung ke WiFi. Kalaupun perlu akses ke WiFi, hanya bisa digunakan oleh orang-orang tertentu dengan tujuan yang jelas. Contoh lainnya adalah menghapus isi papan tulis selepas rapat dan mewajibkan minutes of meeting (MoM) hanya beredar di internal perusahaan.

Dari aspek infrastruktur pun ada langkah-langkah yang diperlukan. Sebagai fintech, Andre bercerita pihaknya telah membuat sistem keamanan berlapis untuk setiap transaksi yang terjadi. Begitu pula di datanya sendiri, semua sudah dienkripsi dan sudah diacak (hashed).

Saat berkolaborasi dengan pihak ketiga

Kerentanan juga sangat mungkin terjadi ketika sebuah startup ingin berkolaborasi dengan pihak ketiga. Pertemuan metode dan teknologi dua pihak memungkinkan adanya celah yang bisa dimasuki penyusup. Oleh karena itu perlu langkah-langkah pencegahan juga.

Andre menekankan sebelum memulai kerja sama NDA wajib hadir terlebih dulu. Kemudian ia menilai perusahaan harus melihat apakah API yang masing-masing pakai terbuka atau terenkripsi, apakah API-nya langsung bisa dipasang atau harus registrasi dulu, apakah API-nya sudah menggunakan https atau belum. Meski terkesan rumit tapi langkah-langkah itu perlu diambil.

“Biasanya intruder akan ngambil API yang masih bolong atau masih http saja. Lebih baik strict dibanding gampang tapi rawan,” ia menambahkan.

Keamanan data untuk dan oleh semua

Platform tentu punya tanggung jawab dalam menyimpan dan menggunakan data pribadi yang sudah diberikan oleh para penggunanya. Mereka pun terikat dengan sejumlah peraturan yang dibuat oleh pemerintah maupun asosiasi.

Kendati begitu dalam hal pencegahan kesadaran pengguna pun turut diharapkan. Karena pada faktanya sejumlah modus operandi kebocoran data dapat terjadi memanfaatkan minimnya pengetahuan pengguna akan keamanan data pribadi.

Di UangTeman, menurut Andre edukasi akan keamanan data berlaku untuk borrower dan lender. Edukasi pun mereka berikan kepada kedua pihak tadi. Contoh paling dasar adalah nama pengguna dan kata sandi sekali pakai (OTP) tak boleh diketahui oleh siapa pun. Selain edukasi seperti tadi, pihak UangTeman pun memakai sistem paksa guna melindungi keamanan data pengguna.

“Kami juga lakukan soft force buat nasabah. Jadi kita mendeteksi dari mobile app kami apabila terlalu lama login dan diam saja, kami akan force quit,” pungkas Andre.

Application Information Will Show Up Here

Bagaimana Perusahaan Digital Antisipasi Isu Keamanan dan Privasi Data

Kemanan dan privasi data menjadi sorotan penting beberapa waktu terakhir. Beberapa platform di Indonesia memiliki isu di area ini yang berdampak bagi puluhan juta data pengguna. Tentu ini menjadi kabar kurang baik bagi ekosistem digital yang tengah berkembang, terlebih layanan yang akhir-akhir ini bocor cenderung dari perusahaan teknologi yang cukup besar – dari sisi skala bisnis maupun cakupan penggunanya.

Aspek keamanan dan privasi data (idealnya) menjadi komponen yang harus ada dalam sebuah proses pengembangan produk digital. Diskusi mengenai langkah antisipasi dari isu tersebut menjadi menarik – terlebih bagi ekosistem startup di Indonesia yang sebagian besar produknya digital dan melibatkan data-data pribadi pengguna.

Untuk mengulas seputar hal tersebut, DailySocial berkesempatan berbincang bersama AVP Information Security Blibli Ricky Setiadi.

AVP Information Security Blibli Ricky Setiadi / Dok. Pribadi Ricky Setiadi
AVP Information Security Blibli Ricky Setiadi / Dok. Pribadi Ricky Setiadi

Berikut hasil wawancara kami:

DailySocial (DS): Isu data breach sebenarnya bukan hal baru di Indonesia, namun menjadi buah bibir ketika melibatkan platform B2C/C2C dengan basis pengguna besar. Dari pengalaman Pak Ricky sebagai praktisi di bidang keamanan siber, bisa dijelaskan sebagai besar kejadian tersebut diakibatkan karena faktor apa?

Ricky Setiadi (RS): Risiko terhadap ancaman kebocoran data pada digital platform senantiasa dalam rentang yang sangat tinggi. Jika menggunakan matriks risiko, kebocoran terhadap data bisa dikategorikan ke dalam high to critical. Nilai ini akan didapatkan dari kombinasi dampak dari frekuensi (seberapa sering terjadi) dan skala (seberapa besar dampak) kejadian kebocoran data.

Ruang lingkup kebocoran data dalam skala besar biasanya dilakukan karena terdapatnya celah atau vulnerability dari sistem yang dibuat oleh sebuah organisasi. Celah disebabkan oleh berbagai macam faktor, namun secara umum menjadi tiga kelompok besar, yakni People, Process, dan Technology.

(1) People — Kebocoran data terjadi karena human error atau kelalaian manusia, bisa dari sisi pengembang atau pengguna. Pengguna kadang terlampau percaya kepada pengembang. Padahal keamanan data merupakan tanggung jawab bersama, sehingga keterlibatan dari sisi pengguna pun masih diperlukan. Beberapa penerapan keamanan dasar yang bisa dilakukan dari sisi pengguna antara lain adalah penggunaan password yang baik (kombinasi karakter password, menggunakan password yang berbeda untuk setiap platform, serta menggantinya secara berkala). Pengguna juga perlu memiliki kesadaran atau pengetahuan terhadap ancaman social engineering (seperti phishing).

Tidak dimungkiri banyak kejadian yang juga terjadi karena kesalahan pada proses pengembangan atau maintenance sebuah produk digital. Sebagai contoh, pengembang tidak menerapkan enkripsi untuk penggunaan variable username dan password, dan penyimpanan private key yang tidak aman, atau terdapatnya penggunaan account default untuk setiap sistem yang digunakan. Contoh lainnya adalah kelalaian dalam melakukan maintenance seperti pengembang menggunakan sertifikat digital yang sudah kedaluwarsa, penggunaan database yang tidak terproteksi, hingga kelalaian dalam melakukan design system (tidak mengindahkan kaidah standard practice berdasarkan risiko dalam pembagian sistem yang bisa diakses secara publik dan sistem yang hanya bisa diakses oleh internal).

(2) Process — Eksploitasi terhadap business proses. Terkadang pelaku tindak kejahatan memanfaatkan kesalahan atau kelalaian proses yang dimiliki sebuah organisasi (logic flaw exploitation). Paradigma bahwa security adalah tameng atau sebagai pelindung terakhir sebuah produk, bisa menjadi salah satu faktor utama kebocoran data. Di Blibli, kami selalu berusaha menguji produk kami dari fase awal pengembangannya untuk menghindari serangan pada setiap tahapan. Ketidakhadiran pengujian terhadap sistem dalam proses pengembangan juga merupakan salah satu kesalahan yang memberikan dampak terhadap terjadinya kebocoran data.

Pengembang juga harus ingat untuk menerapkan proteksi pada perangkat keras. Beberapa kasus kebocoran data juga terjadi karena eksploitasi perangkat keras yang berisikan data pelanggan, contohnya seperti keamanan server atau hard disk yang menyimpan data secara offline.

Technology – Pelaku kejahatan menemukan celah dari teknologi yang diterapkan pengembang. Teknologi merupakan hasil dari sebuah pengembangan produk logika manusia. Melalui pendekatan logika yang berbeda (terbalik), banyak para pelaku tindakan kejahatan memanfaatkan celah ini untuk kemudian dijadikan sebagai pintu dalam pengambilan data-data dari sebuah organisasi. Sebagai salah satu contoh adalah adopsi protokol keamanan data TLS 1.0, pada tahun 1999 teknologi ini banyak dimanfaatkan untuk mendukung layanan transaksi online. Namun seiringnya waktu, ditemukan satu celah keamanan pada TLS 1.0 ini yang memungkinkan terjadinya “Man in The Middle” attack. Dengan adanya celah ini, pelaku dapat melakukan intercept terhadap transaksi yang dilakukan oleh korban atau targetnya.

Jika melihat kepada ketiga komponen di atas dan berdasarkan data perkembangan incident report yang dikeluarkan oleh berbagai macam penelitian (salah satunya adalah cyware.com), kecenderungan serangan dan kebocoran data saat ini banyak terjadi karena faktor People melalui social engineering. Social engineering seperti phishing, memudahkan pelaku untuk mengelabui targetnya. Pada saat yang bersamaan, phishing juga dijadikan sebagai media utama dalam menyebarkan malware. Kombinasi ini kemudian di-maintain oleh pelaku untuk sebagai serangan baru yang biasa disebut dengan Advanced Persistent Threat (APT) attack. Dengan APT attack, pelaku kemudian melakukan pengembangan dan eksploitasi data yang kemudian bisa dikomersialisasi/dijual.

Untuk itu, edukasi mengenai social engineering kepada semua pihak yang terlibat dalam sebuah proses bisnis menjadi salah satu prioritas untuk menjaga keamanan data, terutama data pelanggan. Blibli, sebagai pengembang dan penyedia jasa digital, secara aktif mengedukasi seluruh stakeholder hingga para pelanggan. Edukasi dan penyebaran informasi dilakukan secara berkala agar Blibli dapat melakukan kontrol pengamanan yang komprehensif.

DS: Ditinjau dari sisi pengembang, hal apa saja yang perlu menjadi perhatian sejak dini agar sistem senantiasa mengakomodasi keamanan data dan privasi pelanggan? Faktor-faktor apa saja yang berkaitan erat dengan keamanan dan privasi data pengguna?

RS: Keamanan data dan informasi menjadi tanggung jawab bersama. Pelanggan harus jeli guna membatasi informasi yang diberikan ke penyedia jasa digital dan memahami risiko jika informasi yang diminta terlalu sensitif dan tidak berhubungan dengan jasa.

Keterbatasan pemahaman akan keamanan data ini lah yang membuat keterlibatan tim Security di setiap fase pengembangan sangatlah penting. Tim Security dapat meminimalkan terjadinya gangguan terhadap data pelanggan terutama data yang bersifat privacy atau rahasia (personally identifiable information atau PII). Pengamanan tidak hanya sebatas dari faktor keamanan teknis saat produk digital siap dibuat, namun penerapan pengamanan bahkan harus dilakukan saat produk didesain sesuai dengan standar best practice.

Berikut adalah beberapa faktor keamanan yang perlu diperhatikan, terutama ketika melakukan pemrosesan data pribadi, yaitu:

  • Regulasi pemerintah. Pastikan bahwa semua aspek regulasi yang dikeluarkan oleh pemerintah setempat sudah dijadikan sebagai salah satu referensi utama dalam proses pengambilan, pemrosesan, pengiriman, serta penyimpanan data pelanggan. Hal ini menjadi penting karena setiap wilayah akan memiliki hukum dan regulasi yang berbeda-beda.
  • Kebijakan keamanan. Setiap pengembang saat ini harus memiliki sebuah payung yang digunakan dalam pengamanan data terutama data pelanggan. Payung ini biasanya dibentuk dalam sebuah Kebijakan Privasi. Dalam pembuatan kebijakan ini, pastikan dibuatkan dalam format sesederhana mungkin dan dalam Bahasa yang mudah dimengerti dengan tanpa melupakan aspek transparansi dan keamanan.
  • Pengukuran risiko. Pertimbangan lain dalam penjagaan dan pengamanan pada saat pengembangan aplikasi adalah melalui pendekatan terhadap pengukuran untuk setiap risiko. Ada beberapa manfaat yang bisa diambil pada saat penilaian risiko yang dilakukan. Selain melakukan identifikasi terhadap setiap potensi ancaman yang akan terjadi, penggunaan kontrol yang efektif juga dapat mengurangi beban biaya dalam proses mitigasi, mengingat setiap risiko akan memiliki bobot dan nilai serta kontrol yang berbeda. Tentunya dalam pengukuran risiko ini, setiap organisasi harus menerapkan atau memiliki kriteria penerimaan (acceptance level) dan rencana penanggulangannya (risk treatment plan parameter).
  • PII data collection. Dalam pengembangan sebuah platform pasti akan menggunakan minimal salah satu dari data pribadi. Sebagai contoh adalah data nama lengkap, alamat email, atau nomor telpon. Pengembang harus memperhitungkan dan mempertimbangkan secara matang sejauh mana desain produk akan mengolah data tersebut. Misalnya dalam proses registrasi, apakah platform yang kita kembangkan akan membutuhkan data-data lengkap seperti nama ibu kandung padahal platform yang dikembangkan bukan untuk layanan perbankan. Contoh lainnya apakah kita membutuhkan data dalam bentuk kartu identitas atau Credit Card pada saat pengembangan sebuah fitur promo. Atau yang paling sering ditemukan dalam pengembangan produk untuk smartphone, terkadang pengembang tidak benar-benar memperhatikan kebutuhan aplikasinya, sehingga ada beberapa aplikasi yang secara default dapat mengakses contact, galeri, kamera, dan lain sebagainya. Usahakan penggunaan data pribadi dilakukan sesuai dengan kebutuhan dan pada saat menggunakan data tersebut dipastikan bahwa kita sudah memiliki kontrol yang tepat untuk setiap data yang dikumpulkan.
  • Fitur dan proses keamanan. Saat ini fitur keamanan adalah salah satu faktor yang akan dipertimbangkan oleh pelanggan dan calon pelanggan. Penggunaan enkripsi (https dalam mode web atau enkripsi lain dalam pengiriman data) merupakan salah satu fitur keamanan yang dapat membantu dalam keamanan data pelanggan. Selain itu fitur two factor authentication atau recovery methods lainnya adalah pendekatan pengembangan lainnya yang dapat digunakan sebagai daya tarik pelanggan dalam pengamanan data.

Selain itu dalam proses internal, pastikan terdapat aturan yang tegas dalam memberikan hak akses kepada setiap stakeholder yang terlibat. Segregation of duties atau pemisahan tugas menjadi pendekatan untuk mencegah ancaman dari dalam. Klasifikasi data merupakan pendekatan lain yang bisa dilakukan di dalam internal business process untuk menghindari terjadinya data PII terekspos keluar.

DS: Di masa pandemi ini tiba-tiba platform online groceries melonjak transaksinya. Maka startup perlu melakukan scale-up teknologi dari berbagai aspek. Menurut Pak Ricky, di masa scale-up tersebut investasi apa yang perlu digelontorkan oleh bisnis untuk menunjang keamanan sistem?

RS: Bagi kami, salah satu investasi terpenting adalah pada People dan Process. Dalam perspektif keamanan informasi, pada dasarnya setiap sistem dan teknologi adalah alat penunjang bisnis yang di dalamnya senantiasa mengandung kerentanan. Investasi pada People dan Process akan mengubah pola pikir dan kultur pada bisnis. Kedua investasi inilah yang kami coba terapkan di Blibli.

Perubahan pola pikir atau mindset memiliki sifat edukasi ke dalam dan ke luar. Seperti yang telah dijelaskan sebelumnya, organisasi juga harus terus menginformasikan bahwa keamanan data dan informasi pelanggan adalah merupakan tanggung jawab bersama dengan cakupan yang sesuai dengan porsinya masing-masing.

Prioritas lainnya adalah perubahan kultur terhadap risiko. Kultur pada sebuah bisnis dimulai dari proses implementasi, adopsi, hingga akuisisi teknologi. Jika proses ini dilakukan dengan efektif dan efisien, perusahaan dapat menurunkan profil risiko serta menerapkan kontrol pada organisasi. Organisasi pun dapat mempercepat perkembangan bisnis karena sudah dapat menentukan kontrol keamanan yang tepat dari surface attack pada saat melakukan scale-up.

DS: Ketika melakukan pengembangan, kadang engineer menemui kebimbangan. Di satu sisi, aplikasi harus didesain semulus dan secepat mungkin, dengan UX yang sangat sederhana. Di lain sisi, faktor keamanan harus menjadi perhatian. Menyebabkan beberapa pengembang mengacuhkan opsi penambahan keamanan tambahan dalam sistem. Bagaimana Pak Ricky menanggapi situasi tersebut?

RS: Permasalahan ini adalah permasalahan klasik antara tim pengembang dengan security. Beberapa startup masih menggunakan konsep konvensional dalam melakukan balancing atau penyeimbangan pada saat melakukan pengembangan aplikasi. Sehingga masalah klasik ini senantiasa terjadi dan berulang. Dalam menghadapi ini, sebenarnya kita bisa melakukan adopsi pendekatan Shifting Left. Berikut adalah penjelasan mengenai pendekatan konvensional dan Shifting Left.

gambar 1

Konvensional:

Jika melihat kepada beberapa tahun ke belakang, proses pengembangan sebuah aplikasi senantiasa akan menuliskan semua permintaan pada bagian awal pengembangan. Proses testing, termasuk security testing, akan dilakukan pada akhir pengembangan. Satu sisi, tahapan-tahapan ini akan menghasilkan sebuah aplikasi yang matang, namun di sisi lain akan memberikan dampak yang cukup serius pada saat terjadinya penemuan defect hasil testing yang banyak dan cukup kritis. Proses perbaikan terhadap hasil dari testing akan membutuhkan biaya tambahan baik untuk desain maupun implementasinya.

Metode ini sangat tidak efektif untuk diaplikasikan oleh organisasi startup yang senantiasa mengandalkan kepada jumlah release yang cepat. Adopsi pendekatan yang lebih agile dan shifting left bisa dilakukan untuk setiap organisasi startup dalam menghasilkan produk yang cepat tanpa meninggalkan aspek keamanan.

Shifting Left:

gambar 2

Metode konvensional menerapkan testing hanya di tahapan akhir (Testing and Verification). Pendekatan Shifting Left menerapkan proses pengujian mulai dari fase awal yaitu “Requirement”. Pada fase ini, Requirement tidak hanya akan melibatkan kebutuhan pelanggan dari sisi produk, bisnis, dan user experience, namun juga memasukan unsur keamanan sebagai salah satu parameter. Blibli pun telah menerapkan metode ini dalam proses pengembangan produk digitalnya.

Shifting left akan membentuk paradigma untuk melakukan pengujian semua aspek (test everything), pengujian yang dilakukan kapan pun (test everytime), pengujian yang lebih awal (test earlier), pengujian secara berkelanjutan (test continuously), dan melibatkan pihak penguji dalam setiap tahap. Tim pengembang dan security dapat berkerja sama untuk melakukan tindakan preventif daripada detective.

Metode dan pendekatan ini telah kami terapkan di Blibli sebelum kami meluncurkan produk IT. Dengan adopsi ini, proses deteksi terhadap bugs atau defect menjadi lebih cepat, meningkatkan efektifitas dari sisi waktu pengembangan dan biaya, serta meningkatkan kemudahan dan kualitas produk/aplikasi.

DS: Menurut Pak Ricky, apa urgensinya melakukan sertifikasi sistem, terkait dengan keamanan dan privasi data? Sertifikasi apa saja yang disarankan untuk diikuti?

RS: Sertifikasi akan menjadi sebuah competitive advantage. Karena melalui sertifikasi, sebuah organisasi telah menunjukkan kemampuan kinerja yang lebih tinggi dan sesuai dengan standar. Selain itu, sertifikasi juga menjadi sebuah comparative advantage dari sebuah organisasi. Proses bisnis akan menyesuaikan dengan standar sehingga mampu menghasilkan lebih banyak produk berkualitas yang efektif dan efisien serta mampu melakukan manajemen risiko.

Ada banyak sertifikasi yang bisa diterapkan untuk level organisasi dalam dunia keamanan informasi atau cybersecurity. Hal ini kembali lagi dengan kepentingan dan ranah bisnis yang dilakukan organisasi. Blibli, sebagai contoh, telah mendapatkan sertifikasi ISO/IEC 27001 tahun 2013 yang diakui secara global untuk pengelolaan sistem keamanan informasi. E-commerce merupakan bisnis yang mengolah data pelanggan, sehingga menjadi penting apabila bisnis serupa melakukan sertifikasi ini.

Proses sertifikasi juga perlu dilakukan oleh individu yang melakukan proses penerapan keamanan. Profesional yang menjalankan proses pengamanan akan senantiasa menjadi nilai tambah bagi perusahaan dalam menjalankan bisnisnya. Sertifikasi keamanan informasi ini banyak sekali untuk level individual seperti:

  • Managerial: CISSP, CCISO, CISM, CIPP, CIPM, CRISC, CGEIT, EISM
  • Technical: OSCP, OSCE, OSEE, OSWE, CEH, CSSLP, Security+ CHFI, ECIH, LPT Master, ECSA Master, CREST
  • Audit: CISA, ISO 2700 Lead Auditor, ISO2700 Internal Auditor

DS: Dalam tim teknis sebuah startup digital, idealnya tim keamanan ini terdiri dari bagian apa -saja?

RS: Startup digital akan senantiasa melakukan pengolahan terhadap data-data dalam bentuk digital. Fokus pengamanan sebuah organisasi harus lebih jauh, bukan hanya pada pengamanan data semata, namun jauh lebih besar ke dalam hasil pengolahan data tersebut – biasanya dikenal dengan informasi.

Kebutuhan tim teknis secara umum hanya membutuhkan tiga tim yaitu Yellow (architect), Red (attacker) dan Blue (defender).

  • Yellow: Pada saat melakukan pengembangan sebuah aplikasi, architecture review akan senantiasa dilakukan baik dari sisi aplikasi, infrastruktur, maupun security. Tim Security Architect akan melakukan review terhadap architecture dari aplikasi berdasarkan fungsi, obyektif, rencana pengujian, serta pemantauan terhadap risiko teknis melalui proses threat modelling.
  • Red: Selain tim Yellow, sebuah aplikasi perlu diuji secara internal sebelum merilisnya ke publik. Pengujian ini akan dilakukan oleh tim Red. Fungsi utama dari tim ini adalah melakukan simulasi penyerangan terhadap aplikasi, platform, dan infrastruktur. Skenarionya pun tidak hanya sebatas tes keamanan semata, namun melakukan berbagai simulasi hacking dan social engineering sebagai bagian dari pengujian yang dilakukan.
  • Blue: Selain simulasi penyerangan dijadikan sebagai metode dalam pengamanan aplikasi atau platform, metode lain yang dibutuhkan adalah metode defensif. Tim Blue akan bertanggung jawab terhadap implementasi skenario dan kontrol pertahanan dari serangan pelaku tindak kejahatan siber atau simulasi serangan dari Tim Red seperti implementasi web application firewall, firewall, logging, SIEM, incident handling, dan sejumlah tindakan defensif lainnya.

Dalam perkembangannya, dari ketiga tim ini akan membentuk tim tambahan hasil dari campuran ketiga warna tersebut. Blibli pun menerapkan campuran ini untuk memastikan tim IT dapat beroperasi dengan maksimal. Ketiga tim tambahan tersebut adalah:

  • Green Team (kombinasi dari Blue dengan Yellow): Tim ini akan banyak melakukan perbaikan dari security automation dan code yang dituliskan oleh developer (programmer).
  • Orange Team (kombinasi dari Yellow dengan Red): Tim ini akan membantu Tim Yellow untuk meningkatkan kapasitas tentang keamanan dalam bentuk awareness atau edukasi teknis keamanan.
  • Purple Team (kombinasi dari Red dan Blue): Tim ini adalah sebagai tim penyeimbang untuk meningkatkan kapasitas Tim Red dalam melakukan metode ofensif atau pertahanan serta melakukan evaluasi dan perbaikan dari Tim Blue dalam melakukan pertahanan.

DS: Sebagai studi kasus, bagaimana Blibli menerapkan standar keamanan dan privasi data? Fitur apa yang disajikan untuk mengantisipasi kegagalan sistem dari sisi konsumen dan dari sisi platform?

RS: Blibli berkomitman untuk mengutamakan kepuasan pelanggan. Salah satu caranya adalah memastikan bahwa keamanan data pelanggan terlindungi dan terkelola dengan baik.

Keamanan data pelanggan merupakan subset atau bagian dari proses pengendalian keamanan informasi, sehingga dalam pelaksanaannya kami melakukan tiga metode pengendalian yang meliputi:

  • Preventive: Pengendalian dengan pendekatan pencegahan ini kami lakukan dengan melakukan perubahan budaya paradigma keamanan informasi. Beberapa kegiatan yang kami lakukan termasuk kampanye yang meningkatkan awaraness pelanggan akan keamanan data, menerapkan kendali terhadap akses dan teknologi sesuai kebutuhan stakeholder, serta bekerja sama dengan pihak eksternal resmi seperti Badan Sandi dan Siber Negara, komunitas Keamanan Informasi untuk meningkatkan keamanan yang lebih luas.
  • Detective: Dalam proses ini, pengendalian lebih ditekankan kepada aspek deteksi dengan harapan terdapatnya perbaikan terhadap peningkatan keamanan informasi dan melihat tingkat efektivitas terhadap kontrol yang kita miliki. Analisis log, pengujian keamanan, dan laporan secara berkala merupakan langkah-langkah deteksi yang kami lakukan.
  • Corrective: Pengendalian ini bertujuan untuk memperbaiki kondisi tingkat keamanan pada saat sebuah insiden terjadi. Pembentukan tim Computer Incident Response Team (CIRT) dan Cyber Security Incident Response Team (CSIRT), serta proses pengelolaan manajemen insiden merupakan salah satu metode yang diterapkan oleh Blibli.

Kami akui bahwa saat ini tindakan kejahatan dalam dunia siber semakin hari semakin meningkat baik secara kualitas maupun kuantitas. Dalam pengamanannya kami menerapkan banyak kontrol keamanan baik dari sisi pelanggan maupun platform kami. Berikut ini adalah beberapa poin yang telah kami kembangkan demi menjaga keamanan data dan kenyamanan bertransaksi.

(1) Pengamanan terhadap sistem e-commerce.

Penggunaan 100% secure communication untuk layanan yang dapat diakses oleh publik. Selain memudahkan pelanggan dalam berbelanja, juga memastikan semua layanan transaksi tersebut berjalan dengan aman.

Implementasi Bot Detection System (BDS) untuk melakukan deteksi transaksi yang dilakukan oleh bot. Tindakan ini kami lakukan untuk memastikan pelanggan riil dapat menikmati promosi yang sifatnya terbatas (flash sale, kode voucher, dan lainnya), bukan bot yang disiapkan untuk melakukan eksploitasi.

Menjalankan Secure Software Development Lifecycle (SDLC). Dengan adopsi shifting left, Blibli sudah menjalankan proses SDLC yang aman sehingga kami dapat melakukan antisipasi tehadap kerentanan yang mungkin terjadi pada aplikasi.

Implementasi Security Operations Center (SOC) sehingga kami dapat melakukan deteksi terhadap traffic yang berpotensi menjadi ancaman. Selain itu dengan SOC ini Blibli dapat menjaga keamanan lingkungan digital perusahaan dari pihak yang tidak berwenang agar tidak dapat mengakses Data Pelanggan.

Pengembangan aplikasi dan produk senantiasa mengedepankan aspek pengelolaan risiko, di mana setiap risiko akan dikendalikan melalui kontrol yang sesuai.

(2) Perlindungan pelanggan.

Blibli telah menambahkan fitur Phone Number Verification dan Email Recovery sebagai salah satu kontrol untuk melindungi dan meningkatkan keamanan akun pelanggan.

Dalam menghadapi ancaman tindakan fraud, kami menerapkan fitur 3D Secure for credit card payment dan mengirimkan OTP kepada pelanggan saat bertransaksi dengan Blipay dan BCA OneKlik.

Menjalankan phishing site detection, fitur yang memberikan kemudahan kepada pelanggan Blibli dalam proteksi terhadap percobaan phishing.

End-to-end encryption untuk semua fitur yang mengandung informasi kritis dari pelanggan seperti password, credit card, dan informasi sensitif lainnya.

DS: Sebagai sebuah worst case scenario, ketika sistem mendapati isu data breach, apa yang seharusnya dilakukan oleh perusahaan — baik dari sisi tim pengembang, tim komunikasi ke pelanggan dll?

RS: Sebuah organisasi harus sedini mungkin menyiapkan mekanisme skenario terburuk dari sebuah serangan termasuk skenario kebocoran data. Tindakan pencegahan dan respons terhadap kebocoran data harus melibatkan semua pihak baik dari sisi tim IT, Security, komunikasi, legal, serta jajaran manajemen.

Setiap organisasi setidaknya harus memiliki prosedur baku dalam persiapan penanganan insiden. Setiap insiden yang terjadi tidak harus diinformasikan kepada pelanggan. Perusahaan juga harus melakukan kategorisasi insiden yang terjadi (apakah insiden termasuk ke dalam kategori aktivitas malicious code, penggunaan akses yang tidak normal, percobaan phishing spear atau insiden lain yang menyebabkan data terekspos).

Selain kategori tersebut di atas, tim incident handling harus menganalisis dampak dari kejadian tersebut. Penggunaan matriks yang diturunkan dari matriks risiko akan membantu tim melakukan perhitungan dengan lebih tepat dan cepat. Analisis ini perlu juga ditunjang dengan proses validasi dan klasifikasi dari insiden tersebut. Apakah insiden ini benar-benar valid atau hanya sebatas false positive, apakah kejadian ini memiliki dampak yang sesuai dengan laporan pertama, serta data atau sistem apa saja yang terkena dampak dari insiden ini.

Setelah melakukan analisis dan klasifikasi, langkah berikutnya adalah menentukan prioritas baik dari jenis insiden maupun langkah kontrol untuk perbaikan yang sifatnya sementara supaya insiden ini tidak memberikan dampak yang lebih besar. Proses investigasi awal dengan melakukan analisis, validasi, klasifikasi, serta penentuan prioritas ini biasanya dikenal dengan Incident Triage. Incident Triage ini harus dilakukan dengan teliti dan matang, mengingat ini akan menjadi input utama untuk menentukan langkah selanjutnya.

Jika pada fase incident triage menghasilkan kesimpulan bahwa insiden terjadi, proses notifikasi harus secepatnya diberikan kepada setiap komponen organisasi yang terlibat. Notifikasi cepat ini harus melibatkan:

  • Tim Legal untuk melihat dari aspek regulasi dan hukum yang berlaku.
  • Tim IT untuk secepatnya berkoordinasi dalam melakukan penanganan awal dari insiden yang terjadi, termasuk tim infrastructure dan developer untuk melakukan perbaikan secepatnya.
  • Management representative untuk memberikan laporan terbaru dari status insiden serta meminta saran, rekomendasi, serta arahan untuk keputusan.
  • Tim Komunikasi untuk memberikan pernyataan resmi (baik secara reaktif atau proaktif) kepada publik mengenai kondisi insiden saat ini dan apakah insiden ini valid atau tidak valid.

Seiring dengan proses notifikasi tersebut, tim penanganan insiden harus secepatnya menjalankan proses containment. Fungsi dari proses ini adalah menghentikan laju dari dampak insiden tidak semakin meluas ke aset dan sistem lain. Tujuan lain containment adalah mengurangi kerugian atas dampak yang lebih besar dari insiden tersebut.

Tim penanganan insiden juga harus mampu melakukan pengumpulan bukti-bukti dari setiap insiden ini. Pengumpulan bukti ini menjadi bagian penting dalam pembuatan laporan dan menentukan proses forensic dari insiden tersebut. Hasil forensic ini akan menjelaskan detail informasi dari insiden tersebut seperti:

  • Metode penyerangan.
  • Jenis kerentanan yang digunakan untuk melakukan eksploitasi.
  • Kontrol keamanan yang mampu menahan serangan.
  • Jenis aplikasi atau sistem yang digunakan sebagai dormant host atau jalan masuk penyerang serta informasi detailnya.

Setelah ditemukan inti permasalahan, tim penanganan insiden secepatnya melakukan pembetulan pada kesalahan pemrograman atau patching terhadap sejumlah kerentanan yang ditemukan dan dijadikan sebagai jalan masuk dari insiden tersebut. Dalam penanganan insiden, melakukan patching ini biasa disebut dengan proses pemberantasan atau eradication process. Beberapa contoh lain dari proses ini adalah dengan penggantian perangkat yang malfungsi, mengubah konfigurasi baik dari perangkat infrastruktur, security maupun code dari developer, serta melakukan improvement (instalasi) baru untuk meningkatkan keamanan.

Langkah selanjutnya yang harus dilakukan oleh tim penanganan adalah melakukan pemulihan sistem, layanan, serta data yang terkena dampak dari insiden tersebut. Tim penanganan harus dapat memastikan bahwa semua layanan kembali normal.

Tim penanganan harus membuat laporan lengkap mengenai insiden dan melaporkannya ke pihak terkait. Selain manajemen perusahaan, tim dapat melaporkannya kepada pemerintah apabila insiden termasuk dalam kategori kritis dan berhubungan dengan pelanggan. Pada saat memberikan informasi kepada stakeholder, setidaknya ada beberapa poin yang harus dilakukan atau disampaikan:

  • Komunikasikan insiden ini dengan bahasa yang sederhana kepada stakeholder yang tepat.
  • Berikan informasi yang transparan, termasuk informasi tentang keterlibatan semua pihak dalam melakukan perencanaan persiapan insiden merupakan salah satu pendekatan terbaik. Informasikan juga bahwa kejadian ini di luar kontrol organisasi, mengingat organisasi sudah melakukan serangkaian kegiatan preventif.
  • Berikan informasi secara wajar dan akurat terkait dengan dampak dari insiden tersebut. Termasuk di dalamnya informasi tentang
  • Apa yang terjadi dengan data, semisal meski datanya terekspos tapi masih terlindungi oleh enkripsi.
  • Langkah atau tindakan yang harus dilakukan pelanggan jika proses penanganan masih dalam tahap investigasi atau perbaikan, seperti mengganti password semua akun digital dan pengecekan saldo (untuk platform finansial) secara reguler

Melakukan tindakan (incident response) terhadap kebocoran data merupakan sebuah tindakan kritis yang harus segera dilakukan. Namun demikian tindakan pencegahan merupakan kunci utama dalam melakukan reaksi dan respons terhadap kebocoran data tersebut.

DS: Terakhir, mungkin ada buku, online course atau sumber belajar lain yang dirasakan oleh Pak Ricky untuk dapat dipelajari penggiat startup terkait metodologi, konsep, hingga praktik keamanan dan privasi data?

RS: Saat ini banyak platform yang bisa digunakan untuk meningkatkan kapasitas dalam keamanan informasi baik untuk pelaku bisnis startup atau individual. Baik dari yang sifatnya free, freemium maupun premium baik dari sisi managerial maupun dari sisi teknis. Platform yang biasa kami gunakan adalah O’reilly, udemy, cybrary.it, hackerone, hackthebox, hacking-lab, pwnable, coursera, opensecurity training, heimdal security, san cyberaces, owasp, openSAMM project dan masih banyak lagi beberapa platform community yang bisa digunakan.

Di Blibli, kami senantiasa melakukan peningkatan kapasitas dari tim IT, salah satunya adalah melakukan edukasi terhadap pengembangan produk melalui secure coding training, seminar, dan internal sharing session secara periodik. Kami juga mengajak rekan-rekan IT di Blibli untuk bergabung dalam komunitas IT. Fungsi dari keikutsertaaan karyawan di komunitas adalah memperluas network serta mendapatkan update mengenai isu-isu terkini, baik yang terjadi di dalam maupun luar negeri.

On Privacy and Data Security: Users Must be Aware Not to Rely only on The Platform

Recently, the news of data breach has made the highlight for dozens of digital service users in Indonesia. It is due to the platform where the data breach happens, is e-commerce with massive users, Tokopedia. Also, the latest news comes from Bhinneka.

In early May 2020, 91 million user data – several parties had proven the validity of the data and accordingly – were monitored for sale via the Dark Web for 73.5 million Rupiah. Only passwords are encrypted, while other information such as names, addresses, and contacts can be read with the naked eye. Then a few days ago, a hacker reportedly managed to infiltrate several sites, one of which was Bhinneka with 1.2 million data stolen.

This is not the first time, in previous years the cybersecurity issue has been reported several times to the public.

Incomprehensive Regulation

Regulations regarding the protection of privacy and personal data are mentioned in various laws, precisely in 32 regulations from the ITE Law, the Telecommunications Law, the Public Information Openness Act, the State Intelligence Act, to the Criminal Procedure Code. The fragmented regulation encourages the government to draft a Personal Data Protection Act – until now the status has reached the President and the Parliament, waiting to be reviewed and ratified.

“However, these laws and regulations [32 regulations] are yet to comprehensively regulate the protection of personal data. A comprehensive law is needed as a legal basis in providing protection, regulation and imposition of sanctions for personal data misuse as regulated,” said the Minister of Communication and Information Johnny G. Plate.

Regarding the recent issue of a data breach, the Minister of Communication and Information also gave his formal response after discussion with several parties, including Tokopedia and the national cyber and security agency (BSSN). “Every data hacking effort will be followed up, therefore, not to disrupt the e-commerce operational,” he further explained the details regarding the follow-up plan by the government.

Self-taught preventive steps

In fact, digital platforms such as e-commerce have certification related to information security, for example by getting ISO / IEC 27001: 2013. However, on the user’s side, they can also take several preventive steps to reduce the potential loss if the current system has been hacked.

Here are some simple preventive steps that can be done:

Perform regular application updates

Various digital applications with massive users are almost certain to experience a continuous development process. Not only a matter of adding features but also updates often rolled out to improve system performance and security to close the gaps. For this reason, it is important for users to keep the application up-to-date.

Nevertheless, for the operating system, it is strongly recommended to use the latest version supported by the device. The intensity is indeed not as often as the applications, but an update usually provides significant improvisation.

For smartphone users, application updates or operating system updates are usually done automatically when connected to a WiFi network. The user will get an update notification and approve the update process. However, for those who use mobile connectivity, updates are usually not automatic, users need to look periodically at Google Play / App Store or the update page in the system update section.

Use different passwords on each application

This tip is quite tedious for some people, but actually good anticipation if a data breach occurs in one of the applications. At least, distinguish personal account passwords such as an e-mail with passwords used for other applications. Email is crucial for recovery if an account is successfully taken over by a hacker.

The password manager application can actually help if users want to use a different password for each service. The application saves and records the password it has – some applications also make it easier when you want to login to certain services – without having to retype the password. Some examples of password management applications are LastPass or 1Password.

Then, as suggested in every digital security tips, it is highly targeted to use passwords with varying characters. For example, by including uppercase letters, lowercase letters, numbers, and symbols. Some applications have a password level indicator during the registration process.

Apply multiple authentications

For the sake of increasing security, some applications provide Multi-Factor or Two-Step Authentication features. In addition, users can choose the type of extended security, for example using a PIN, SMS token, or biometrics. The latter is very recommended, especially smartphones today are mostly equipped with fingerprint and facial recognition systems. On average, this feature is not automatically activated, the user must set it up for each application.

Be more aware of application in use

Always use an application from a credible developer, especially if the application requires personal data. Because credible developers will have discipline related to privacy and information protection policies. In addition, it’s good as the user also knows what applications are accessed from our device – for example the applications in the Play Store always informing the “Permission” section about the components of the device accessed by the application.


Original article is in Indonesian, translated by Kristin Siagian