Kebocoran data yang masih saja terjadi, menandakan bahwa tren peretasan masih berlanjut dan menghantui. Dua kasus terbaru terkait grup Lazada dan Cermati.com yang terjadi hanya kuran dari sepekan.

Lazada mengatakan insiden terkait keamanan data di Singapura itu, melibatkan database khusus Redmart yang di-hosting oleh penyedia layanan pihak ketiga. Data pelanggan yang di-hosting di database tersebut sudah habis masa pelayanannya selama lebih dari 18 bulan dan terakhir diperbarui pada Maret 2019.

Diketahui, data yang bocor sebanyak 1,1 juta juga hanya data Redmart, akan tetapi cukup variatif informasinya bahkan ada data kartu kredit. Lazada mengatakan kepada penggunanya diminta tenang, meskipun dianjurkan untuk menggantikan password. Lazada mengatakan telah melakukan blokir akses terhadap data Redmart dan menjamin data pengguna Lazada di Indonesia tetap aman.

Sementara itu, Lembaga Riset Siber Indonesia CISSReC (Communication and Information System Security Research Center) mengatakan di raidforums ramai diperjualbelikan data Cermati.com sebanyak 2,9 juta user. Penjualnya, ungkap CISSReC, dengan username "expertdata".

Kebocoran data yang dialami Cermati.com ini ada 2,9 juta data user yang diambil dari kegiatan 17 perusahaan, sebagian besar kegiatan finansial. Mulai dari KTA, asuransi sampai kartu kredit.

Pakar keamanan siber Pratama Persadha menjelaskan bahwa peristiwa ini melengkapi sederet peristiwa kebocoran data di tanah air sejak awal tahun. Ini semakin memperlihatkan bahwa ada potensi celah keamanan karena Work From Home.

Pratama mengungkapkan setidaknya ada tiga penyebab terbesar kebocoran data, yaitu kesalahan manusia sebagai user, kesalahan sistem dan serangan malware sekaligus peretas. Faktor kesalahan manusia ini meningkat selama pandemi, salah satunya karena WFH.

Halaman selanjutnya: langkah antisipasi...

Tindakan antisipasi

"Seharusnya WFH diikuti dengan memberikan sejumlah tools keamanan seperti VPN, berguna terutama saat pegawai sedang mengakses sistem kantor. Selain itu dengan pembatasan jam kerja, bukan berarti pengawasan terhadap sistem jadi berkurang," jelas Chairman CISSReC ini.

"Bahkan di luar negeri menurut Microsoft, pengawasan dan anggaran belanja untuk keamanan siber malah naik selama pandemi COVID-19 ini," ucapnya menambahkan.

Pratama menambahkan bahwa edukasi juga wajib dilakukan, seperti pegawai dilarang mengakses sistem kantor dengan jaringan yang beresiko, misalnya WiFi publik, WiFi kafe dan sumber jaringan lain yang tidak jelas siapa adminnya. Tanpa edukasi standar seperti ini, kata Pratama, sistem kantor akan terekspos dengan mudah.

"Marketplace memang diincar, karena salah satu yang menjadi pengelola data masyarakat paling banyak. Sasaran paling atas oleh peretas dewasa ini adalah sektor kesehatan dan juga farmasi. Namun karena tingginya transaksi lewat marketplace, membuat para peretas juga mengincar marketplace, apalagi mereka mengincar sistem yang menyimpan data kartu kredit, harganya jauh lebih mahal saat dijual di forum internet," terang Pratama.

Mengetahui fakta ini, sebaiknya keamanan siber harus menjadi salah satu yang diprioritaskan oleh Penyelenggara Sistem dan Transaksi Elektronik (PSTE) negara maupun swasta. CISSReC berharap, kejadian ini sampai hal seperti ini terus menerus terjadi.

Lazada dan Cermati memang lembaga swasta, tetapi sebelumnya juga ada website DPR yang diretas bahkan lembaga sebesar DPR saja, sebut Pratama, websitenya tidak ditambahkan SLL yang sekarang ini menjadi fitur standar sebuah website.

"PSTE juga harus melakukan penetration test berkala, kalau perlu sebulan sekali. Selain itu wajib melengkapi perlindungan data dengan enkripsi. Dari kebocoran data Tokopedia dan Cermati ini punya kesamaan, keduanya hanya mengaplikasikan enkripsi pada password saja. Padahal semua data masyarakat yang dikelola harus diamankan dan sebaiknya dienkripsi," pungkas Pratama.