Hacker Bjorka baru saja menjual data MyPertamina. Data ini berasal dari aplikasi yang dibuat pemerintah ketika kenaikan harga pertalite, ditujukan untuk masyarakat yang hendak membeli BBM. Pertamina dan Telkom kini sedang menginvestigasi terkait dugaan kebocoran data tersebut.

Bjorka mengunggah tautan ke situs breached.to, di mana mereka menjual data tersebut seharga 25.000 dollar AS. Jumlah itu sekitar Rp390 juta (kurs Rp15.600). Bjorka hanya menerima pembayaran lewat bitcoin (BTC). Data itu terdiri dari file terkompresi (compressed) 6 GB, tak terkompresi (uncompressed) 30 GB, dengan total 44.237.264 data.

Pembeli nantinya bisa mendapatkan data seperti nama, email, Nomor Induk Kependudukan (NIK), Nomor Pokok Wajib Pajak (NPWP), nomor telepon, alamat, gender, pendapatan mulai dari harian-bulanan-hingga tahunan, dan lainnya. MyPertamina adalah aplikasi layanan keuangan digital yang dikembangkan oleh perusahaan Pertamina. Dengan bentuk tersebut, fungsi aplikasi MyPertamina sebenarnya hampir sama dengan platform seperti, Ovo, Dana, dan sebagainya.

Agar data publik aman, pemerintah perlu meningkatkan praktik keamanan mereka, kami telah menyusun daftar praktik terbaik keamanan siber untuk diikuti oleh profesional keamanan, dan daftar kiat keamanan siber untuk diingat oleh semua karyawan. Ada banyak cara untuk meningkatkan keamanan dan tidak harus melalui peningkatan anggaran.

Perlu dipahami perlindungan data adalah kewajiban dari pemerintah. Sebagai masyarakat kita membayar pajak dan mengikuti aturan hukum yang berlaku. Dengan diretasnya data, berarti pemerintah gagal melindungi. Lalu apa yang perlu dilakukan? Pertama kita perlu mencari tahu apa best practice perlindungan data dari ancaman siber. Kedua melakukan pembaharuan metode perlindungan. Dan yang terakhir pendidikan perlindungan data sederhana kepada publik.

Negara perlu mengetahui dan melakukan pembaharuan kebijakan keamanan data. Pemerintah harus menghindari dan mencari kebijakan keamanan usang. Semua teknologi perlindungan yang tidak mempertimbangkan teknologi terbaru, ancaman dunia maya, dan praktik terbaik keamanan dunia maya -- seperti arsitektur sistem yang terpercaya, harus ditinggalkan.

Kebijakan keamanan adalah sekumpulan peraturan dan sistem yang dibangun untuk keamanan data pengguna. Pastikan untuk memperbarui kebijakan yang ada terlebih dahulu, lalu perbarui praktik keamanan dan latih para aparatur sipil negara agar mereka memahami (dan semoga mematuhi) kebijakan baru tersebut. Semakin banyak peraturan baru yang dipahami dan diaplikasikan sesuai teknologi terkini, semakin baik.

Pastikan semua aktivitas yang berkaitan dengan akses data membutuhkan autentikasi yang kuat untuk semua pengguna. Serangan dunia di internet sering menggunakan akun pengguna yang disusupi untuk mendapatkan akses ke pusat data. Mengaktifkan autentikasi multifaktor, seperti kartu pintar dengan PIN atau biometrik, untuk setiap pengguna dapat secara efektif meningkatkan pencegahan serangan dunia maya.

Pemerintah secara berkala perlu untuk mengingatkan publik untuk memiliki kata sandi yang kuat di tiap aplikasi pemerintah yang mereka pakai. Berikan saran untuk menggunakan password yang tidak dapat ditebak oleh peretas, dan jika perlu ada menerapkan fitur autentikasi multi-faktor untuk keamanan, administrator sistem, dan lainnya dengan akses istimewa ke sistem dan jaringan.

Saran berikutnya adalah sering memperbarui kontrol keamanan jaringan data publik. Jika sudah lama sejak negara menyimpan data publik, aparatur perlu meninjau kontrol keamanan jaringannya, pertimbangkan apakah perlu penyegaran. Misalnya, apakah firewall dan gateway jaringan pribadi virtual (VPN) BUMN penyimpan data sudah aman atau belum. Lakukan pemeriksaan rutin untuk melihat kemungkinan kebocoran data.

Lihatlah apakah sistem perlindungan yang ada sudah waktunya untuk meningkatkan atau menggantinya. Selain itu, pemerintah dapat memantau lalu lintas jaringan untuk semua pengguna data publik, atau apakah migrasi cloud mengurangi visibilitas? Mungkin sebagai penanggung jawab keamanan data, pemerintah perlu menerapkan perangkat lunak keamanan jaringan tambahan, atau mempertimbangkan untuk mengadopsi solusi keamanan berbasis cloud seperti Secure Access Service Edge (SASE).

Hal lain yang juga perlu disiapkan adalah kompromi, jika peretasan dilakukan oleh orang dalam. Sangat penting untuk bersiap setiap saat untuk menangani kompromi untuk mengurangi jumlah peretasan yang terjadi. Bersamaan dengan itu, sebagai penyedia jasa, pemerintah perlu melengkapi diri dengan sistem keamanan internal pekerja, hal untuk mendeteksi insiden keamanan sedini mungkin.

Artinya tidak, kita tidak hanya memiliki teknologi keamanan untuk mendeteksi dan menganalisis aktivitas yang mencurigakan, tetapi juga mendidik aparatur sipil negara tentang tanda-tanda potensi insiden dan cara melaporkannya. Idealnya, pemerintah harus menumbuhkan budaya kejujuran, dan tidak menghukum ASN karena membuat kesalahan yang tidak disengaja -- jika tidak, orang dapat menyembunyikan kesalahan mereka, yang dapat membuat kompromi bertahan lebih lama dan lebih merugikan.

Semoga dengan memahami pentingnya best practice, pemerintah bisa bijak dalam mengelola data publik, menghemat anggaran, dan menjamin tata kelola kerahasiaan data dengan lebih baik.