Kasus kebocoran data terjadi pada sebuah situs belanja online di Indonesia yang mengakibatkan pencurian 90 juta lebih akun dan 7 juta akun merchant. Beberapa data yang dibocorkan merupakan data pribadi pengguna, seperti nama lengkap, tanggal lahir, dan alamat pengguna.
Perlu Anda ketahui bahwa data yang berhasil dicuri oleh hacker biasanya akan digunakan untuk serangan berbasis social engineering lainnya, seperti email phishing. Selain itu, peretas juga dapat menjual kredensial pengguna ke Dark Web.
Sebagai pengelola platform digital, tentunya hal ini harus dihindari. Kebocoran data tidak hanya merugikan pengguna, tetapi juga merusak perusahaan, seperti hilangnya kepercayaan pengguna, reputasi, tuntutan hukum atau denda. Dengan cara ini Anda dapat lebih memahami apa itu kebocoran data. Di sini, kami memberi Anda informasi.
Mengapa kebocoran data terjadi?
Kejadian kebocoran data ini tentunya menimbulkan pertanyaan besar: Mengapa kebocoran data bisa terus terjadi? Pelanggaran data terjadi karena dua fenomena yang saling terkait. Di era digital sekarang ini, semakin banyak data disimpan secara digital.
Di sisi lain, nilai data yang semakin tinggi, menciptakan insentif ekonomi bagi para penjahat digital. Oleh karena itu, ketika transaksi keuangan dilakukan setelah pembobolan data, terjadilah fenomena ekonomi cybercrime. Jika dicermati lebih lanjut, berbagai faktor juga akan menciptakan kondisi yang “ideal” bagi penjahat digital.
Misalnya, kemajuan teknologi kecerdasan buatan (AI) telah memudahkan peretas untuk bekerja karena upaya serangan dapat dilakukan secara otomatis (serangan otomatis). Pada tahun 2020 saja, ada 445 juta serangan. Rata-rata, serangan dilakukan secara otomatis.
Pada saat yang sama, di sisi lain, penyedia layanan menyediakan lebih banyak kerentanan atau celah keamanan. Di era digital, hal ini sering kali tidak terlepas dari kebutuhan akan inovasi, dan faktor keamanan yang kerap dilupakan di era digital. Selain itu, banyak penyedia layanan masih menggunakan metode manual untuk melindungi data pengguna dibandingkan dengan penjahat otomatis sepenuhnya.
Lantas, apa itu kebocoran data?
Kebocoran data mengacu pada situasi di mana data sensitif secara tidak sengaja terekspos atau diakses oleh pihak yang tidak berwenang. Ancaman dapat terjadi melalui situs web, email, hard drive, atau laptop. Perlu Anda ketahui bahwa pembobolan data memiliki arti yang berbeda dengan kebocoran data. Inilah perbedaan antara keduanya:
- Pembobolan data adalah serangan yang disengaja yang dapat menembus sistem sehingga data sensitif dapat diakses.
- Kebocoran data tidak memerlukan serangan jaringan khusus, karena biasanya kebocoran data dapat terjadi karena keamanan data yang buruk atau kelalaian pengguna sendiri.
Saat terjadi kebocoran data, peretas akan mencuri data sensitif tersebut. Beberapa dari mereka adalah:
- Informasi identifikasi: nama, alamat, nomor telepon, alamat email, nama pengguna, kata sandi, dll.
- Aktivitas pengguna: riwayat pemesanan dan pembayaran, kebiasaan browsing, dll.
- Informasi kartu kredit: nomor kartu, tanggal kedaluwarsa, kode pos penagihan, dll.
- Selain mencari informasi pengguna, peretas juga akan mencuri informasi rahasia milik perusahaan, seperti email, komunikasi internal perusahaan, strategi perusahaan, dll.
Bisakah kita menuntut akan kebocoran data?
UU Perlindungan Data Pribadi (UU PDP) masih menjadi masalah utama. Pasalnya di Indonesia, jika data pribadi (seperti platform e-commerce, dll.) Yang dikelola oleh Electronic Transactions and Systems Administration (PSTE) bocor, sulit bagi konsumen untuk mengajukan gugatan.
Syarat terbesar adalah menghentikan kegiatan PSTE sesuai dengan Permenkominfo No. 20 tahun 2016. Indonesia sebenarnya tidak kekurangan payung hukum dalam perlindungan data pribadi. Saat ini, aturan perlindungan data pribadi terdapat dalam beberapa peraturan tersendiri, seperti UU ITE atau UU Kependudukan.
Pemerintah juga telah merumuskan PP 71 2019 tentang penyelenggaraan sistem dan transaksi elektronik. Dalam peraturan ini disebutkan bahwa penyelenggara sistem elektronik harus bertanggung jawab atas sistem tersebut. Pada saat yang sama, pemerintah bertindak sebagai pengawas.
“UU PDP” tidak hanya akan melindungi pengguna Internet, tetapi juga platform PSTE. Namun syaratnya harus diawasi oleh penegak hukum independen. Penegak hukum harus terdiri dari akademisi, LSM, profesional dan aparat keamanan. Menurut UU PDP, PSTE wajib membuat sistem yang kuat dan sistem mitigasi yang baik.
Tanpa UU PDP, PSTE ini akan mengoperasikan sistem tanpa memaksimalkan keamanan. Akibatnya, serangan terus menerus akan berhasil menghancurkan banyak PSTE. Jika UU tersebut disahkan dan terjadi kebocoran data, panitia Dapat ditentukan apakah PSTE memenuhi persyaratan proses pengadilan.
Jika PSTE gagal memenuhi banyak kewajiban yang harus dipenuhi dalam sistem informasi operasi dan transaksi elektronik, PSTE dapat menuntut. Namun, jika telah memenuhi kewajibannya sesuai dengan hukum dan kebocoran data akibat peretasan, PTSE tidak dapat dituntut karena memenuhi kewajibannya.
Ini mencerminkan Peraturan Perlindungan Data Umum Eropa (GDPR). Butir-butir kewajiban PTSE diatur dalam aturan turunan GDPR. Jika diterapkan di dalam negeri, harus diatur dalam UU PDP sebelum bisa diatur lebih lanjut dalam regulasi turunan.
Mencegah Kebocoran data
Perusahaan harus mengembangkan kebijakan keselamatan
Perusahaan harus mulai mengembangkan seperangkat pedoman yang harus diikuti karyawan. Misalnya, terapkan aturan bahwa karyawan tidak boleh meninggalkan komputer mereka dalam keadaan masuk atau tidak terkunci, dan tidak boleh berbagi akun dengan kolega lain, dll.
Banyak perusahaan saat ini memberi karyawan lebih banyak akses daripada yang mereka butuhkan. Ini harus dipertimbangkan untuk mencegah karyawan mengakses data sensitif dan kebocoran data. Anda harus meninjau hak akses ini dan mengembangkan strategi berdasarkan kebutuhan karyawan.
Mengontrol isi email
Karena pengguna sering mengirimkan informasi dan dokumen rahasia melalui email, kebocoran data email sering kali terjadi. Untuk meminimalkan kejadian ini, perusahaan Anda dapat menggunakan pemfilteran konten email. Filter email akan melakukan proses pemfilteran lalu lintas email, baik itu pesan masuk maupun pesan keluar.
Filter akan memindai email dan mengklasifikasikan email ke dalam kategori yang berbeda seperti spam, virus, penipuan, dan lainnya. Teknologi ini juga dapat memperingatkan administrator akan ancaman orang dalam. Sistem akan memberi tahu pengguna jika mereka mencoba mengirim informasi sensitif ke luar perusahaan.
Perlindungan titik akhir
Peretas selalu memiliki cara baru untuk mengakses sistem, mencuri informasi, dan memanipulasi karyawan untuk memberikan informasi sensitif. Oleh karena itu, Anda membutuhkan perlindungan titik akhir. Perlindungan titik akhir adalah tindakan pengamanan untuk melindungi pengguna titik akhir atau perangkat pengguna akhir (seperti desktop, laptop, perangkat seluler, dll.) untuk melindungi mereka dari penggunaan yang tidak sah oleh penjahat dunia maya.
Saat ini, Anda dapat menggunakan banyak perangkat lunak perlindungan endpoint, seperti McAfee Endpoint Security, Sophos Endpoint Protection, dll. Sistem perlindungan titik akhir ini dirancang untuk mendeteksi, menganalisis, mencegah, dan menahan serangan dunia maya. Selain menggunakan perangkat lunak perlindungan titik akhir, Anda juga harus menggunakan sandi yang kuat dan menggunakan kunci layar untuk melindungi perangkat.
Meningkatkan keamanan data
Kebocoran data sering kali disebabkan oleh kelalaian pengguna atau celah keamanan pada sistem yang digunakan. Kerentanan keamanan yang tidak dapat segera diperbaiki dapat memungkinkan peretas mengakses data sensitif di dalamnya. Oleh karena itu, salah satu cara untuk menghindari kebocoran data adalah selalu memastikan bahwa sistem yang Anda gunakan memiliki keamanan yang baik. Salah satu cara untuk melakukannya adalah dengan melakukan tes penetrasi secara teratur. Melalui pengujian penetrasi, kerentanan keamanan dapat ditemukan dan diperbaiki dengan segera, dengan demikian melindungi data.
Kesimpulan
Tantangan kebocoran data ini memunculkan challenge buat mereka yang menawarkan service keamanan yang tinggi untuk mengamankan data-data pribadi pelanggan, seperti software JojoTimes yang menawarkan keamanan data karyawan perusahaan anda.
Simpan database karyawan Anda dengan aman. Dapatkan data komprehensif dari semua karyawan yang disimpan dengan aman di perangkat lunak berbasis cloud. Anda dapat dengan mudah mengimpor dan mengekspor sesuai dengan kebutuhan perusahaan Anda kapan saja.
JojoTimes memungkinkan karyawan Anda masuk dan keluar di mana saja. Dilengkapi dengan pengenalan wajah biometrik, penentuan posisi GPS yang akurat, dan deteksi identitas palsu, Anda tidak perlu khawatir tentang penipuan dan kebohongan.
Saat bekerja dari jarak jauh, karyawan Anda mungkin diminta untuk melaporkan aktivitas mereka. Dengan cara ini, Anda selalu dapat memastikan bahwa karyawan Anda benar-benar menggunakan jam kerja mereka sebagaimana mestinya.
Anda juga dapat mengatur dan menyusun rencana kerja dan shift karyawan sesuai dengan kebutuhan masing-masing departemen untuk mengoptimalkan sinkronisasi antara pemberi kerja dan karyawan. Tertarik? Daftarkan perusahaan anda segera dan nikmati uji cobanya sekarang!