Perkembangan era digital saat ini telah membentuk sebuah fenomena dan kebiasaan baru yang erat kaitannya dengan teknologi digital yang serba canggih. Fenomena ini memberikan kemudahan kepada Masyarakat khususnya penggunanya dalam memanfaatkan teknologi dan menjalankan berbagai aktivitas.
Pesatnya perkembangan teknologi informasi dan komunikasi digital diiringi dengan meningkatnya produktivitas dan efisiensi dalam menjalankan berbagai kegiatan. Namun, kemudahan-kemudahan tersebut tidak luput dari ancaman keamanan informasi bagi para pengguna teknologi digital. Salah satunya yaitu ancaman terhadap keamanan data pribadi masing-masing pengguna.
Pemanfaatan teknologi informasi memberikan kemudahan akses terhadap data pribadi melalui berbagai media digitalisasi. Hal ini menjadi celah bagi beberapa pihak untuk memanfaatkan akses tersebut secara negatif. Ketidaktelitian pengguna dalam mengunggah data dapat memicu penyalahgunaan data oleh oknum yang tidak bertanggung jawab. Sehingga para pengguna teknologi digital dituntut untuk lebih menjaga informasi yang dimiliki khususnya yang berkaitan dengan data pribadi.
Baca juga: Implementasi dan Sertifikasi ISO 27001
Kasus Kebocoran Data di Indonesia
Serangan siber ke Indonesia mengalami kenaikan dari tahun ke tahun. Berdasarkan catatan BSSN, kasus percobaan pencurian data (data breach) pada Januari hingga Agustus 2020, terdapat 190 juta serangan siber, dan 36.771 akun data yang dicuri dari sejumlah sektor, termasuk sektor keuangan. Serangan tersebut mengalami peningkatan 5x lipat sejak 2019. Selain itu, pada 2021 perusahaan keamanan siber Kapersky mengungkapkan bahwa 40% konsumen dari Asia Pasifik mengahadapi insiden kebocoran data pribadi yang diakses orang lain tanpa persetujuan pemiliknya.
Peraturan UU No. 27 Tahun 2022 tentang Pelindungan Data Pribadi telah disahkan pada 17 Oktober 2022. UU ini memberi kekuasaan kepada pemerintah untuk mengawasi tata kelola data pribadi yang dilakukan penyelenggara sistem elektronik (PSE), baik oleh badan publik, swasta, hingga organisasi internasional di wilayah RI. Meskipun demikian, kasus kebocoran data pribadi masih kerap terjadi di Indonesia.
Menurut data dari Kementerian Komunikasi dan Informasi (Kemenkominfo), sejak 2019 tedapat 79 kasus pencurian data di Indonesia. Sejak Januari hingga Juni 2023 tercatat 35 kasus. Jumlah tersebut melampaui banyaknya kasus kebocoran data yang terjadi setiap tahun, sejak 2019-2021. Berikut ringkasan kasus kebocoran data yang pernah terjadi di Indonesia.
1,3 miliar pendaftar SIM card.
Tahun 2022, data SIM card masyarakat Indonesia dijual oleh hacker Bjorka. Data yang bocor termasuk NIK, nomor telepon provider, sampai tanggal pendaftaran yang mencapai 87 GB. Data-data ini dibanderol senilai Rp743,5 juta.
18,5 juta data pengguna Data BPJS Ketenagakerjaan
Pada 12 maret 2023, 18,5 juta data pengguna BPJS Ketenagakerjaan yang dijual di forum gelap seharga Rp153 juta. Dalam situs BreachForums, penjahat siber Bjorka membocorkan 19,5 juta data dengan nama ‘BPJS Ketenagakerjaan Indonesia 19 million. Terdapat 100 ribu sampel yang berisi NIK, nama lengkap, tanggal lahir, alamat, nomor ponsel, alamat email, jenis pekerjaan dan nama perusahaan.
Data nasabah Bank Syariah Indonesia (BSI).
Sebelum data bocor, terdapat keluhan gangguan layanan transaksi pada 8 Mei 2023. Dimana dilakukan oleh Lockbit yang mengklaim berhasil mencuri 1,5 TB data pribadi. Lockbit adalah salah satu kelompok ransomware asal Rusia. Mereka sempat bernegosiasi dengan pihak BSI dan meminta tebusan sebesar Rp296 miliar. Namun, karena tak kunjung ditebus, Lockbit menyebarkan data tersebut di blackmarket pada 16 Mei 2023.
34 juta data paspor bocor.
Pada 5 Juli 2023 hacker Bjorka mengunggah data 34.900.867 paspor WNI dengan sampel terkompresi 1 GB yang berhasil dibocorkan & diperjualbelikan seharga Rp150 juta. Data yang bocor yaitu nama, nomor paspor, masa berlaku paspor, tanggal lahir, dan gender.
Kebocoran 337 juta data Dukcapil
Pada 14 Juli 2023, 337 juta data Dukcapil bocor dan di unggah di situs BreachForums yang mengklaim adalah RRR. Data yang bocor yaitu nama, Nomor Induk Kependudukan (NIK), nomor Kartu Keluarga (KK), tanggal lahir, alamat, nama ayah, nama ibu, NIK ibu, nomor akta lahir, nomor akta nikah dan lainnya.
Baca juga: Tujuan ISO 27001 dan kaitannya dengan Pengamanan Aset Informasi Perusahaan
Peran ISO 27001 Dalam Perlindungan Data
ISO 27001 adalah acuan dalam mengimplementasikan keamanan sistem informasi perusahaan. Sedangkan sertifikat ISO 27001 merupakan bentuk pengakuan internasional terhadap dedikasi perusahaan dalam mengelola keamanan informasinya. Sampai saat ini sudah cukup banyak perusahaan yang mengimplementasikan standard ini, bahkan berhasil mendapatkan sertifikasinya.
Standard ISO 27001 memiliki kerangka kerja yang komprehensif dalam mengimplementasikan manajemen keamanan informasi, pada organisasi atau perusahaan termasuk kemanan data. Sistem ini menetapkan persyaratan dan memberikan panduan dalam membangun, menerapkan, memelihara, dan meningkatkan sistem manajemen keamanan informasi organisasi. Dimana telah mencakup persyaratan, tujuan kontrol, dan kontrol yang terstruktur.
Persyaratan ISO 27001 dapat membantu organisasi menerapkan sistem yang dinilai efektif dalam menjaga keamanan informasi termasuk data privasi. Standard ini mengandung Structure High Level yang memudahkannya untuk diterapkan secara terintegrasi dengan standar manajemen ISO lainnya.
ISO 27701 Sistem Manajemen Informasi Privasi (SMIP)
ISO 27701 adalah sebuah standar internasional yang dirancang khusus sebagai Sistem Manajemen Informasi Privasi (SMIP). Sistem ini terintegrasi dengan standar keamanan informasi yaitu ISO/IEC 27001. Dimana telah mencakup panduan perencanaan dan implementasi pada organisasi atau perusahaan. Selain itu, sistem ini juga menetapkan persyaratan dan memberikan panduan dalam membangun, menerapkan, memelihara, dan meningkatkan Sistem Manajemen Informasi Privasi (PIMS) organisasi. Mengacu pada persyaratan, tujuan kontrol, dan kontrol ISO 27001, ISO 27701 juga telah mencakup serangkaian persyaratan khusus privasi, tujuan kontrol dan kontrol itu sendiri.
Baca juga: Kapan Masa Berlaku Sertifikat ISO 27001:2013 Habis?
Sertifikasi ISO 27001
Baik implementasi maupun sertifikasi ISO 27001 bukan persyaratan wajib, namun bersifat sukarela. Di Indonesia, ISO 27001 diwajibkan kepada lembaga pengguna data kependudukan. Hal ini disampaikan oleh Ketua Tim Wilayah 1 Direktorat Integrasi Data Kependudukan (IDKD) AA Azhari melalui Rapat Evaluasi Pemanfaatan Data Kependudukan oleh Pemerintah Provinsi Kepulauan Bangka Belitung di Pangkalpinang pada 7 September 2023. Baik implementasi maupun sertifikasi ISO 27001 adalah langkah krusial untuk memperkuat keamanan dan tata kelola manajemen data atau informasi.
Selain itu, terdapat peraturan terkait Penyelenggaraan Sistem dan Transaksi Elektronik melalui PP No. 71 Tahun 2019. Yang kemudian menjadi dasar terbitnya Peraturan Badan Siber dan Sandi Negara (BSSN) No. 8 Tahun 2020 tentang Sistem Pengamanan Dalam Penyelenggaraan Sistem Elektronik. Dimana mengatur penerapan SMPI oleh Penyelenggara Sistem Elektronik Lingkup Publik dan Penyelenggara Sistem Elektronik Lingkup Privat. Baik implementasi dan Sertifikasi ISO 27001 berperan besar sebagai persyaratan kontrak dan perjanjian layanan dengan para pemasok.
Sertifikat ISO 27001
Sertifikat ISO 27001 memiliki nilai brand dan potensi pemasaran yang lebih luas bagi Perusahaan. Dimana menunjukkan tingkat keseriusan dan komitmen organisasi terhadap manajemen keamanan informasi. Nilai jaminan sertifikat sangat bergantung pada cakupan SMKI, Risk Treatment Plan (RTP), dan Statement of Applicability (SoA). Apabila organisasi ingin memperoleh sertifikasi ISO 27701, maka perusahaan harus memiliki sertifikat ISO 27001 atau menerapkan ISO 27001 dan ISO 27701 bersama secara bersamaan.
Baca juga: Biaya Sertifikasi ISO 27001
