Semarang (ANTARA) - Pandemik Coronavirus Disease 2019 (COVID-19) janganlah menjadi faktor penghambat produktivitas kerja karyawan agar roda perusahaan tetap berjalan, apalagi pada era digital seperti sekarang ini.

Sejumlah perusahaan pun menerapkan sistem sif dalam mempekerjakan karyawannya. Bagi yang mendapat giliran masuk kantor, mereka tetap bekerja seperti sebelum wabah ini melanda Tanah Air. Namun, mereka ada keharusan menerapkan 3 M (mencuci tangan, memakai masker, dan menjaga jarak) guna mencegah penularan COVID-19 di lingkungan kerja.

Sebaliknya, mereka yang tidak masuk kantor, perusahaan tetap memberi kesempatan kepada mereka untuk bekerja dari rumah. Cara kerja karyawan yang berada di luar kantor ini lebih populer dengan singkatan WFH (work from home). Mereka bisa bekerja dari rumah, kafe, atau tempat lainnya sesuai dengan keinginannya.

Kendati demikian, mereka harus tetap waspada ketika mengakses sistem kantor dengan jaringan yang berisiko, seperti menggunakan wireless fidelity (wifi) publik, wifi kafe, dan sumber jaringan lain yang tidak jelas siapa adminnya. Hal ini untuk mencegah data breach (pelanggaran data) yang berbuntut terjadinya jual beli data di raidforums atau forum hacker (peretas).

Belakangan ini terjadi lagi kasus kebocoran data di Tanah Air. Kali ini dari Cermati.com. Bahkan, ada 2,9 data user yang diambil dari kegiatan 17 perusahaan, sebagian besar kegiatan finansial, mulai dari kartu tanda anggota (KTA), asuransi, sampai kartu kredit.

Pakar keamanan siber dan komunikasi CISSReC Dr. Pratama Persadha mengungkapkan bahwa kejadian itu melengkapi sederet kasus kebocoran data di Tanah Air sejak awal tahun 2020. Kasus ini makin memperlihatkan bahwa ada potensi celah keamanan karena work from home (WFH).

Baca juga: Pakar: Peretasan Cermati.com tunjukan celah keamanan siber saat WFH

Baca juga: Cermati.com perketat keamanan setelah diretas


"Penjualnya menggunakan username Expertdata," kata Pratama Persadha yang juga Ketua Lembaga Riset Keamanan Siber dan Komunikasi CISSReC (Communication and Information System Security Research Center).

Atas dasar itulah, dosen pascasarjana pada Sekolah Tinggi Intelijen Negara (STIN) ini memandang perlu melakukan penyelidikan mendalam lewat digital forensik untuk mengetahui lubang keamanan mana saja yang mengakibatkan data breach terjadi.

Setidaknya, menurut Pratama, ada tiga penyebab terbesar terjadinya data breach, yaitu kesalahan manusia sebagai user, kesalahan sistem, dan serangan malware sekaligus peretas. Bahkan, faktor kesalahan manusia ini meningkat selama pandemik, salah satunya karena WFH.

Seharusnya, WFH diikuti dengan memberikan sejumlah tools keamanan, seperti jaringan pribadi virtual atau virtual private network (VPN), terutama saat pegawai sedang mengakses sistem kantor.

Selain itu, dengan pembatasan jam kerja. Namun, bukan berarti pengawasan terhadap sistem jadi berkurang. Malah di luar negeri, menurut Microsoft, pengawasan dan anggaran belanja untuk keamanan siber mengalami penaikan selama pandemik COVID-19.

Oleh sebab itu, edukasi juga wajib dilakukan, misalnya, ada larangan bagi karyawan yang mengakses sistem kantor dengan wifi publik. Tanpa edukasi standar seperti ini, menurut Pratama, sistem kantor akan terekspos dengan mudah.

Marketplace Selalu Diincar

Situs marketplace (web atau aplikasi daring yang memfasilitasi proses jual beli dari berbagai toko) ini akan selalu menjadi sasaran para peretas karena salah satu yang menjadi pengelola data masyarakat paling banyak.

Sasaran paling atas oleh peretas dewasa ini, ucap Pratama, adalah sektor kesehatan dan farmasi. Akan tetapi, karena tingginya transaksi lewat marketplace, membuat para peretas juga mengincar situs tersebut.

"Apalagi mereka mengincar sistem yang menyimpan data kartu kredit, harganya jauh lebih mahal saat dijual di forum internet," ungkap pria kelahiran Cepu, Kabupaten Blora, Jawa Tengah ini.

Mengetahui fakta ini, sebaiknya keamanan siber harus menjadi salah satu yang diprioritaskan oleh penyelenggara sistem dan transaksi elektronik (PSTE) negara maupun swasta.

Jangan sampai hal seperti ini terus-menerus terjadi. Cermati.com memang lembaga swasta. Namun, sebelumnya juga ada website atau laman DPR RI yang diretas, bahkan lembaga sebesar DPR saja webnya tidak ditambahkan secure socket layer (SLL) yang sekarang ini menjadi fitur standar sebuah laman.

Pratama lantas menyarankan agar PSTE juga harus melakukan penetration test (uji penetrasi) berkala, bahkan kalau perlu, sebulan sekali. Di samping itu, wajib melengkapi perlindungan data dengan enkripsi.

Dari kebocoran data Tokopedia dan Cermati ini punya kesamaan, keduanya hanya mengaplikasikan enkripsi pada password saja. Oleh karena itu, kata Pratama, semua data masyarakat yang dikelola harus diamankan dan sebaiknya dienkripsi.

Peristiwa ini juga memperlihatkan betapa pentingnya Undang-Undang Perlindungan Data Pribadi (UU PDP) untuk memaksa PSTE membangun sistem yang kuat dan bertanggung jawab bila terjadi data breach.

"Sekarang kebocoran data sudah terjadi. Namun, sulit untuk memintai tanggung jawab dari PSTE bersangkutan," kata alumnus Program Doktor Kajian Budaya dan Media Sekolah Pascasarjana Universitas Gadjah Mada (UGM).

Nah, keberadaan Undang-Undang Perlindungan Data Pribadi ini kelak harus bisa mendorong PSTE untuk bertanggung jawab bila ada kebocoran data.

Namun, tidak setiap kebocoran data bisa diganjar hukuman atau bisa dituntut ke pengadilan. Sebelumnya, harus ada uji digital forensik apakah sistemnya sudah memenuhi standar keamanan sesuai dengan UU PDP berikut aturan turunannya atau tidak.

Atas kesadaran bahwa tidak ada sistem yang sempurna dan aman 100 persen, Pratama memandang perlu ada unsur memaksa PSTE untuk memenuhi standar minimal keamanan siber sehingga memperkecil kemungkinan terjadinya data breach maupun peretasan.

Tingkatkan Keamanan

Setelah mengumumkan insiden peretasan, platform teknologi finansial Cermati.com akan meningkatkan sistem keamanan mereka. Hal ini disampaikan oleh pendiri Cermati.com Andhy Koesnandar kepada ANTARA, Senin (2/11).

Berkaca dari pengalaman ini, Cermati.com akan terus meningkatkan komitmen dalam memperkuat sistem sekuriti. Tidak hanya dari review internal, tetapi juga berdasarkan expert opinion dari konsultan data security extern yang profesional.

Selain mempersiapkan tim internal untuk urusan keamanan siber, Cermati.com juga meminta partisipasi pengguna untuk melakukan langkah pencegahan, termasuk mengganti kata sandi secara berkala, tidak menggunakan kata sandi yang sama untuk beberapa situs, dan tidak membagikan one-time password (OTP) kepada orang lain.

Kendati demikian, Pratama mengingatkan semua pihak bahwa kebocoran data Cermati.com ini menjadi peringatan keras untuk dunia keuangan dan perbankan di Tanah Air. Jangan sampai nanti yang bocor adalah data bank besar atau lembaga keuangan besar yang bisa berakibat pada ketidakpercayaan publik.

"Ini bisa menjalar pada kemungkinan rush money, apalagi bila ada pihak yang memprovokasi," kata Pratama yang pernah sebagai pejabat Lembaga Sandi Negara (Lemsaneg) yang kini menjadi Badan Siber dan Sandi Negara (BSSN).

Jangan sampai peristiwa ini membuat financial technology (fintech) layu sebelum berkembang. Meskipun Cermati.com hanya sebatas mengumpulkan data dan melakukan forwarding atau ekspedisi muatan, akan menjadi perhatian masyarakat. Jangan sampai pula terjadi ke fintech lainnya.

Selain Cermati.com, ada juga peristiwa kebocoran data di sistem Redmart Singapura yang ada di bawah Lazada. Sistemnya sudah terintegrasi sejak 2019, Redmart sendiri diakuisisi Lazada sejak 2016.

Pihak Lazada mengklaim bahwa kebocoran data hanya di database milik Redmart, tidak menyebar ke sistem Lazada di Asia Tenggara. Kebocoran data karena adanya akses ilegal yang kemungkinan dari hosting pihak ketiga yang terakhir diperbarui pada tahun 2019.

Baca juga: Cermati.com diretas, data pengguna dipastikan aman

Pakar keamanan siber ini memperkirakan kebocoran data itu terkait dengan proses integrasi sistem yang terjadi juga pada tahun 2019. Agar lebih dalam, tampaknya harus dilakukan penyelidikan lebih jauh.

Data yang bocor sebanyak 1,1 juta hanya data Redmart. Namun, kata Pratama, cukup variatif, bahkan ada data kartu kredit.

Bagi warga Indonesia di Singapura yang menggunakan Redmart, Pratama menyarankan kepada mereka harus mengganti password segera, kemudian mengecek status kartu kredit mereka.

Hal ini penting untuk mengetahui apakah ada transaksi ilegal tanpa sepengetahuan mereka. Misalnya, datanya sudah dijual di dark web (web gelap) dengan harga 1.500 dolar Amerika Serikat. Malahan saat dicek di raidforums Tanah Air, sudah ada yang menjualnya.

Baik pemakai Lazada maupun Cermati di Indonesia, sebaiknya mengganti password platform tersebut untuk berjaga-jaga. Jangan lupa bila password surelnya sama, segera ubah password surel agar tidak diambil oleh orang lain.

Surat elektronik (surel) ini merupakan pertahanan terakhir untuk melakukan recovery maupun reset akun medsos dan marketplace bila terjadi peretasan. Namun, tak kalah pentingnya mengaktifkan verifikasi dua langkah, baik pada email maupun pada platform marketplace dan fintech.

Setelah melakukan langkah pengamanan tersebut, kata Pratama, masyarakat hanya bisa pasrah bila tetap menjadi korban kebocoran data karena sudah mempercayakan data pribadinya untuk diamankan pemilik platform.

Di sinilah letak tanggung jawab negara dengan segera menuntaskan peraturan perundang-undangan mengenai perlindungan data pribadi.

Editor: Chandra Hamdani Noor
Copyright © ANTARA 2020