“It takes 20 years to build a reputation and few minutes of cyber-incident to ruin it.”

Sebuah kutipan dari Stephane Nappo, seorang Chief Information Security Officer (CISO) sebuah perusahaan yang memiliki lebih 70 ribu pegawai dan 30 juta klien di 67 negara, menggambarkan betapa mudahnya seorang individu atau sebuah perusahaan merugi karena pelanggaran informasi. Sejarah mencatat, pelanggaran informasi terbesar terjadi ketika sebanyak 3 miliar informasi pengguna Yahoo telah dibobol, kejadian yang terjadi pada Agustus 2013 namun baru diketahui tahun 2017 ketika Yahoo diakuisisi oleh Verizon. Hal ini menjadi salah satu alasan mengapa Yahoo yang pernah ditawar $45 milyar oleh Microsoft pada tahun 2008, terjual hanya $5 milyar kepada Verizon pada tahun 2017. Di Indonesia, salah satu kasus kebocoran informasi dilaporkan seorang pengguna paylater Traveloka bernama Trias, dia melaporkan bahwa pada April 2019 akun gmail-nya kena hack akibatnya dia mendapat tagihan pembelian tiket melalui paylater sebesar Rp 2.848.310,-

Digitalisasi tidak dapat dipungkiri memberikan dampak positif dalam bentuk kemudahan dalam melakukan transaksi, efisiensi biaya serta meminimalisir terjadinya kesalahan. Namun dibalik itu, tersembunyi potensi yang menakutkan, informasi pribadi, seperti tanggal lahir dan nomor identitas, yang seharusnya terprivasi kini dapat menjadi konsumsi publik. Mulai dari penipuan atau pinjaman online, pembobolan rekening bank hingga pemerasan untuk kepentingan politik dan kepentingan lainnya merupakan potensi bahaya yang dapat timbul dari pencurian data pribadi. Laporan IBM (2023) menunjukkan bahwa sebesar USD 4.45 million atau lebih dari 60 milyar rupiah estimasi biaya yang diperkirakan timbul dari pembobolan data, angka yang meningkat 15 persen dalam 3 tahun terakhir.

Kejahatan siber dalam bentuk kebocoran atau pembobolan informasi tidak hanya menyasar individu atau perusahaan tetapi juga sampai ke lingkup instansi pemerintahan, tak kurang dari instansi sekelas Kementerian Komunikasi dan Informatika (Kemenkominfo) menjadi sasaran. Dikabarkan, sejumlah 337 juta data dukcapil berisi informasi antara lain nama, NIK, nomor KK, tanggal lahir, alamat, nama ayah/ibu dan data pribadi lainnya milik Warga Negara Indonesia yang disimpan oleh Kemenkominfo diduga telah bocor.

Menurut Ariyaningsih, dkk (2023) meningkatnya kejahatan siber di tengah pesatnya digitalisasi di Indonesia dipengaruhi oleh setidaknya tiga faktor, pertumbuhan pengguna internet dan pemakai teknologi digital, meningkatnya transaksi online dan lemahnya kesadaran masyarakat akan bahaya siber. Faktor terakhir yakni manusia ditengarai menjadi penyebab utama maraknya pembobolan data yang berujung pada kejahatan siber, sebuah study bersama oleh Professor Jeff Hancock, Harvard University dan perusahaan keamanan Tessian menunjukkan bahwa sebanyak 88 persen kebocoran data disebabkan oleh kesalahan pegawai. Penelitian oleh perusahaan komputer raksasa, IBM, melaporkan angka yang lebih tinggi yaitu 95 persen.

Keamanan informasi dengan manusia sebagai titik terlemah tidak luput dari perhatian Kementerian Keuangan Republik Indonesia (Kemenkeu), terlebih setelah adanya dugaan kebocoran data kredensial di salah satu unit eselon I di bawah Kemenkeu. Keputusan Menteri Keuangan Nomor 942/KMK.01/2019 tentang Pengelolaan Keamanan Informasi Di Lingkungan Kementerian Keuangan (KMK 942/2019) melengkapi aturan yang menjadi pedoman bagi seluruh unit dan Pengguna di lingkungan Kementerian Keuangan dalam mengelola keamanan informasi di lingkungan Kementerian Keuangan. Merujuk pada KMK 942/2019, Direktur Transformasi dan Sistem Informasi menerbitkan Nota Dinas Nomor ND-958/KN.8/2023 (ND 958/2023) hal Peningkatan Keamanan Informasi di Lingkungan Direktorat Jenderal Kekayaan Negara yang menegaskan bahwa keamanan informasi merupakan tanggung jawab setiap pegawai dan pihak ketiga di lingkungan DJKN. Sebagai weakest link dalam keamanan informasi, human factor (setiap pejabat, pegawai dan pihak ketiga) di lingkungan DJKN diharapkan menerapkan langkah-langkah yang diperlukan dalam menjaga aset keamanan informasi di lingkungan DJKN. Langkah-langkah pengendalian yang disarankan oleh ND 958/2023 adalah:

1. menjaga kerahasiaan untuk akun dan kata sandi yang digunakan untuk mengakses sistem TIK Kemenkeu;
2. melakukan penggantian kata sandi secara berkala;
3. menghindari penggunaan fitur save password pada browser perangkat pengguna;
4. menggunakan jaringan internet yang aman dan menghindari penggunaan free internet;
5. melindungi area kerja dan perangkat yang digunakan dari akses pihak tidak berwenang;
6. menggunakan perangkat lunak berlisensi dari sumber tepercaya dan rutin melakukan pembaruan (update);
7. melakukan backup data secara berkala dan restore data; dan
8. menggunakan perangkat lunak keamanan informasi pada perangkat pengguna, seperti antivirus McAfee Kemenkeu, anti malicious code dan firewall.
   

Baik KMK 942/2019 maupun ND 958/2023 memberikan pedoman keamanan informasi dengan menitikberatkan pada peningkatan kesadaran pengguna terkait pentingnya keamanan informasi dan menerapkan langkah-langkah yang diperlukan untuk menutup celah yang dapat dimanfaatkan oleh penjahat siber. Namun pedoman keamanan informasi tidak akan terlaksana apabila kesadaran tentang keamanan informasi tidak ditanamkan kepada seluruh pengguna, McCrohan et al. (2010) mendisain sebuah study untuk membuktikan asumsi bahwa kesadaran informasi suatu organisasi dapat ditingkatkan dengan edukasi tentang betapa berbahayanya ancaman terhadap sistem informasi. Hasilnya, pegawai yang memperoleh informasi atau pendidikan yang lebih baik tentang keamanan informasi memiliki kesadaran keamanan informasi yang juga jauh lebih baik, hal ini ditunjukkan dengan penggunaan password yang lebih robust oleh para pegawai dengan pemahaman yang lebih memadai tersebut.

Pada akhirnya, tulisan ini berniat mengingatkan pentingnya keamanan informasi dan potensi bahaya yang dapat timbul dari bocornya informasi baik oleh organisasi maupun individu. Kebocoran informasi, sebagian besar dapat dicegah apabila titik terlemah yaitu manusia memiliki kesadaran informasi yang memadai terkait bahaya informasi serta mengetahui langkah-langkah yang diperlukan untuk mengamankan informasi yang dimilikinya. Kesadaran informasi dapat ditanamkan dengan pemberian edukasi dan pelatihan yang rutin kepada pengguna, khususnya mengenai risiko yang ditimbulkan oleh bocornya informasi kepada pihak yang tidak bertanggung jawab.

Darmawan Mangkan (KPKNL Palopo)

Referensi:

1. Ariyaningsih, S., Andrianto, A. A., Kusuma, A. S., & Prastyanti, R. A. (2023). Korelasi Kejahatan Siber dengan Percepatan Digitalisasi di Indonesia. Justisia: Jurnal Ilmu Hukum, 1(1), 1-11.

2. McCrohan, K. F., Engel, K., & Harvey, J. W. (2010). Influence of awareness and training on cyber security. Journal of internet Commerce, 9(1), 23-41.