Dugaan kebocoran data yang melibatkan lebih dari 6 juta data wajib pajak pada 18 September 2024 menyoroti kembali urgensi untuk memperkuat langkah keamanan siber di berbagai institusi dan organisasi. Dugaan kebocoran yang diklaim dapat mengekspos informasi sensitif seperti nama, nomor induk kependudukan (NIK), NPWP, alamat, nomor telepon, dan data lainnya, dilakukan oleh peretas dengan identitas Bjorka.
Apabila benar telah terjadi kebocoran data wajib pajak tersebut, ITSEC Asia menanggapi perlunya evaluasi dan langkah-langkah proaktif untuk meningkatkan perlindungan infrastruktur digital dalam pengelolaan data penting demi menjaga kepercayaan publik.
Bjorka sendiri merupakan akun anonim yang bertanggung jawab atas serangkaian serangan siber yang menargetkan berbagai organisasi di dunia, salah satunya di Indonesia, mulai dari pencurian data pelanggan salah satu provider Internet di Indonesia, data registrasi SIM Card, hingga data pemilihan umum.
Serangan-serangan ini disinyalir telah mengakibatkan pelanggaran signifikan terhadap data pribadi, termasuk nomor identifikasi, catatan keuangan, dan informasi rahasia lainnya, yang memerlukan perhatian khusus dari para pemangku kepentingan di bidang keamanan siber.
ITSEC Asia, sebagai perusahaan keamanan siber terkemuka di kawasan Asia-Pasifik, mengapresiasi upaya yang terus dilakukan oleh pihak berwenang terkait dalam menangani dugaan kebocoran data ini secara cepat dan transparan.
Joseph Lumban Gaol (Presiden Direktur PT ITSEC Asia Tbk) menekankan dugaan kebocoran data NPWP ini menggambarkan sasaran ancaman siber yang terus berkembang. Ini juga menjadi pengingat bahwa semua institusi yang mengelola data sensitif harus terus memperbarui kerangka keamanan mereka dan mengadopsi mekanisme pertahanan yang proaktif.
"Institusi publik memiliki peran penting dalam keamanan nasional, dan kita harus mendukung upaya mereka untuk beradaptasi dengan lanskap yang terus berkembang ini," katanya.
Joseph menegaskan pentingnya mengimplementasikan solusi Data Protection secara menyeluruh dan lengkap untuk meminimalisir risiko kebocoran data, meliputi implementasi teknologi enkripsi yang kuat, melakukan vulnerability assessments secara berkala, serta memastikan kontrol akses yang ketat.
"Keamanan siber adalah tanggung jawab bersama, dan bahwa upaya kolaboratif komprehensif antara lembaga penyimpan data, instansi pemerintah terkait keamanan siber, ahli dan juga firma swasta keamanan siber dapat secara signifikan meningkatkan perlindungan infrastruktur kritis," ujarnya.
ITSEC Asia juga menekankan pentingnya kesadaran publik terhadap perlindungan data dan mendorong individu serta organisasi untuk lebih waspada terhadap praktik keamanan siber mereka. "Kita semua harus bekerja sama untuk memastikan bahwa masa depan digital tetap aman bagi semua orang," tambah Joseph.
Dalam menanggapi kasus dugaan kebocoran data ini, ITSEC Asia merekomendasikan beberapa langkah taktis yang dapat diterapkan dalam memperkuat keamanan sistem, melindungi data sensitif, dan mencegah ancaman siber di masa depan, terutama bagi instansi yang mengemban tanggung jawab terhadap data-data sensitif masyarakat:
1. Audit Penyimpanan Data dan Keamanannya
Melakukan audit titik penyimpanan data penting dan sistem keamanannya untuk mengevaluasi kontrol keamanan pada data. Penyimpanan data sebaiknya dilakukan secara sistematis dan efisien sehingga data tidak berserakan dan sampai pada kurang kontrol terhadap salah satu titik sistem penyimpanan. Pengujian keamanan seperti Penetration Testing juga diperlukan untuk analisis risiko dan celah keamanan.
2. Pembatasan Akses Pengguna yang Lebih Ketat
Langkah penting yang perlu dilakukan oleh instansi terkait dalam menjaga keamanan data yang mereka kelola adalah dengan membatasi akses ke data sensitif para wajib pajak hanya kepada personel yang benar-benar membutuhkan. Dengan mengadopsi kebijakan kontrol akses yang lebih ketat, jumlah individu yang berinteraksi dengan informasi penting akan lebih sedikit, sehingga mengurangi risiko eksposur data dari pihak internal atau pihak-pihak yang tidak sah.
3. Anonimisasi Data untuk Kontrol Keamanan yang Lebih Kuat
Instansi juga perlu mengimplementasikan mekanisme perlindungan data yang lebih kuat, seperti anonimisasi yang dilakukan dengan cara menghapus atau mengenkripsi faktor pengenal yang menghubungkan individu dengan data yang tersimpan. Instansi dapat mempertimbangkan teknik anonimisasi data sehingga meskipun terjadi pelanggaran, data yang terekspos tidak dapat dengan mudah digunakan oleh pelaku kejahatan. Lapisan perlindungan tambahan ini akan membatasi potensi kerusakan yang disebabkan oleh insiden seperti ini.
4. Alat Keamanan yang Kuat dengan Pemantauan 24/7
Untuk meningkatkan kemampuan dalam menjaga keamanan data, perlu adanya pertimbangan dalam penerapan sistem analitik canggih dan Dashboard pemantauan Real-Time. Alat-alat ini akan memfasilitasi pelacakan aktivitas pengguna secara menyeluruh dan memberikan informasi tentang bagaimana data wajib pajak diakses dan dikelola. Pemantauan terus-menerus terhadap aktivitas data sensitif sangat penting untuk identifikasi real-time terhadap pola akses yang mencurigakan atau akses yang tidak sah. Sistem analitik canggih untuk pemantauan 24/7 memungkinkan instansi merespon langsung terhadap aktivitas mencurigakan dan meminimalisir peluang ancaman peretas.
5. Pengumpulan dan Penyimpanan Access Log yang Rinci
Meningkatkan pengumpulan dan retensi Access Log yang rinci akan menjadi langkah penting untuk meningkatkan transparansi dan keamanan operasi internal. Dengan mencatat secara teliti siapa yang mengakses data sensitif, kapan data tersebut diakses, dan untuk tujuan apa, Instansi dapat membangun sistem yang lebih terperinci. Praktik ini tidak hanya akan mencegah akses mencurigakan, tetapi juga memastikan bahwa aktivitas tersebut dapat dilacak dengan jelas. Selain itu, membatasi ekspor data ke lokasi yang disetujui akan mencegah informasi sensitif dipindahkan ke tujuan yang tidak aman, memberikan lapisan pertahanan tambahan terhadap kebocoran atau penyalahgunaan data.
Joseph juga menjelaskan bahwa langkah-langkah mitigasi ini selaras dengan praktik terbaik global dalam keamanan siber dan akan secara signifikan meningkatkan ketahanan penyimpanan dan pengelolaan data di Indonesia.
“Seiring dengan evolusi ancaman siber, sangat penting bagi lembaga pemerintah, organisasi dan perusahaan untuk mengambil sikap proaktif dalam melindungi informasi sensitif, dengan langkah-langkah proaktif sesuai dengan perkembangan tantangan keamanan siber global saat ini. Peningkatan kesadaran menyeluruh dan kolaborasi ekstensif diperlukan untuk menjaga keamanan data publik,” tutup Joseph.
