Budi Hertanto

Q: Dengan disahkannya UU PDP, setiap pengelola data (khususnya data pribadi) bisa terkena tindakan hukum jika sampai terjadi kebocoran data. Jika korporasi sudah menerapkan tindakan pencegahan termasuk 3P (Policy, People, and Process) tadi, apakah tetap terkena sanksi hukum? Jika demikian apakah korporasi dapat menggunakan jasa/layanan pihak ketiga dan tanggungjawab terkait dengan kebocoran data apakah akan beralih ke pihak ketiga tersebut?

A: Kita tetap (akan) dapat terkena walau sudah melakukan pencegahan (karena pencegahan tersebut tidak dapat menjamin 100% data kita akan aman). Karena di dalam UU PDP disampaikan hal-hal yang cukup jelas, bilamana terdapat kebocoran akan menjadi tanggung jawab pengelola data. Pengelola data tidak harus selalu end user. Kalau di lihat UU PDP yang menuliskan adalah pemroses data, saya kira bisa (mengacu pada Vendor yang membantu operasional End-User sebagai entitas pemroses data, dalam konteks UU tersebut).
Vendor yang melakukan services, dalam memberikan services berupa maintenance service tentunya tidak memiliki resiko terhadap tanggung jawab terhadap kebocoran data. Karena tidak berada pada sisi operasional, namun hanya menerima eskalasi tim operations yang bilamana terjadi masalah kemudian akan kita bantu tanpa menyentuh sistem secara langsung.
Bilamana menggunakan managed support, maka memiliki tanggung jawab. Kami memahami resiko yang harus dimitigasikan. Namun kami sudah mempersiapkannya dengan baik, jauh sebelum disahkannya UU PDP ini. Jika suatu ketika ada kondisi tertentu, vendor yang memiliki tanggung jawab pada operasional data, itu harus melaksanakan dengan baik tugasnya. Dengan menjalankan prosedur dengan baik, ada pembatasan yang jelas (mana yang menjadi domain vendor, user, dst). Kalau tidak ada mitigasi yang baik, maka vendor tersebut dapat terlibat dalam UU PDP sebagai pihak yang bertanggungjawab kemudian

Mohammad Slamet Yahya

Q: Banyaknya data pribadi yang bocor di Indonesia apakah mengindikasikan lembaga berwenang kita kurang aware/kurang jago dalam dunia cyber security atau hackernya yang terlalu jago? dan dengan disahkannya UU PDP apakah berlaku jika WNI datanya bocor di luar negeri?

A: Kebocoran data itu bukan tanggung jawab pemerintah. Saya kira pemerintah memiliki porsinya tersendiri, seperti memberikan corridor, policy, dsb. Memang pemerintah bertanggung jawab bilamana tidak memiliki corridor/arahan seperti UU PDP ini, yang mana setiap institusi bisnis harus hati-hati terhadap keamanan data, maka pemerintah bertanggung jawab disana. Tapi yang lebih lengkapnya mengenai pengamanan data, tentu tanggung jawab di pengelola data nya. Kebocoran data tidak selalu dari lembaga yang berwenang.
Sekali lagi saya sampaikan bahwa yang melakukan kebocoran data bukanlah hacker, tapi kriminal. Orang-orang yang dapat membocorkan data tidak selalu yang jagoan dan Hal tersebut dapat terjadi mungkin karena penerapan 3P (Policy, People, and Process) nya kurang baik, terutama pada kalangan pengelola data. Sehingga potensi kebocoran data sangat marak di Indonesia.
Pak Lucky menambahkan bahwa UU PDP itu berlakunya di Indonesia. Sehingga kemarin sempat ramai bahwa penyedia layanan digital harus mendaftar semua di Indonesia agar dapat tercover. Bilamana ada kebocoran data pada suatu server yang entah kemana, kita dapat melakukan penuntutan.

Ade Kristo

Q: Bill G, Mark Z dan lainnya kan dahulunya juga Hacker Pak, lalu seperti virus dilawan dengan virus, apakah Hacker harus dilawan dengan Hacker juga? Atau kita cukup bisa menanggulanginya dengan Tools Hacking yang ada?

A: Bill gates dan Mark Z betul adalah hacker. Namun jika disebut hacker dilawan dengan hacker itu saya kurang setuju, karena hacker adalah penyebutan yang positif. Mungkin yang seharusnya dilawan adalah kriminalnya yang melakukan aksi cracking yang menyebabkan kebocoran data.
Apakah perlu kita lawan balik? Tidak. Ibarat virus dilawan dengan virus tidak ada benarnya. Yang harus kita lakukan adalah meningkatkan sistem yang memiliki potensi terkena problem, potensi kebocoran kita harus melakukan eksaminasi. Atau kita bisa memanggil lembaga tertentu yang memiliki expertise untuk melakukan pengecekan, penetration test, dan lainnya. Kita bisa lakukan proses mitigasi dan peningkatan security dari 3P (People, Policy, Process).

Tedy Handoko

Q: Bagaimana memilih sistem database management yang handal, reliable, dan mudah di upgrade dalam menangkal berbagai serangan cyber baik dari internal maupun eksternal?

A: PostgreSQL jawabannya.
Beberapa faktor yang perlu dilihat yaitu proteksi confidential, identity, integrity. Dalam PostgreSQL terdapat host replication, access list management untuk objek-objek yang ada di dalam database. Terintegrasi dengan fitur-fitur lain kerberos,GSS-API, dsb. Selama kita bisa manage dengan baik, tentu dengan ada encryption di database bisa memanfaatkan sisi CIA tadi. Kita bicara security di dalam reliability. Seberapa reliable database ini, jika ternyata dapat dengan mudah diambil datanya lalu di decrypt bisa dibaca. Itu yang kurang tepat untuk dipakai.
Pak Julyanto menambahkan bahwa security tidak selalu teknologi. Security yang baik juga yang meliputi brainware (yaitu 3P) bukan hanya hardware software. Jika manusia belum memahami cukup integritas yang baik, maka tidak ada sistem yang bener-benar aman menurut saya.

Zenfrison Butarbutar

Q: Bagaimana langkah strategis meningkatkan security pada perangkat IoT yang ada di environment perusahaan?

A: IoT adalah sebuah sistem untuk melakukan data acquisition, control, dsb umumnya memiliki protokol tertentu, jadi kita ingin meningkatkan keamanannya cukup dengan menambahkan SSL atau security encryption yang mana karena IoT adalah sebuah modul hardware yang ada di dalam kontrol kita sehingga kita bisa inject key nya, sehingga tidak perlu menggunakan public key infrastructure. Cukup kita pasang SSL yang sudah diinject keynya dengan enkripsi yang cukup baik, maka datanya sudah tidak mudah bocor.
Pak Lucky menambahkan, kalau kita bicara sebagai pembuat sistem, bisa jadi kita menerapkan 2FA (2 Factor Authentication), dengan menggunakan dongle atau smart card atau biometric. Kita dapat memasukan dahulu authorization nya, pin,username dsb atau kita bisa menggunakan fingerprint, itu akan meningkatkan level of authentication. Setelah itu kita bisa diintegrasikan dengan modul-modul security lainnya seperti Kerberos, GSS-API, dsb memang kita benar-benar authorize. Contoh sekarang ada google authenticator, ketika mau akses itu ada token/pin yang bisa kita masukan di waktu tertentu, kemudian kita bisa manfaatkan hal itu.

Yungki Valdi

Q: Adakah rekomendasi software atau aplikasi dari Equnix yang dapat memonitor “traffic anomalies” untuk mengantisipasi adanya serangan awal?

A: Biasanya yang dilaksanakan: melakukan TCPDump supaya bisa mengetahui behavior, dari direct dimana, code nya apa aja. Mungkin adanya anomali seperti DDOS, adanya paket TCP syn yang ditembak berkali-kali tanpa ada SYN ACK nya setelah server menerima SYN dan akhirnya terjadi SYN flooding, jadi kita bisa monitor dan memanfaatkan situs tersebut. Bisa saja dari capture yang ada kalau semisal sulit baca di command line, kita bisa menggunakan wireshark supaya menjadi lebih visual. Jadi kita mengetahui streamingnya seperti apa, aliran data seperti apa. Itu sebetulnya tools yang cukup basic untuk monitoring.
Namun Equnix bukan perusahaan yang fokus pada security. Melainkan fokus di solution pada infrastruktur, database, OS, dsb. Sehingga tools yang kita kembangkan lebih terkait pada hal-hal seperti bisnis proses.

Nicolas Hartanto

Q: Apakah kebocoran data itu murni memang ada orang yang dapat meretas sebuah sistem/server atau ada orang dalam yang ikut berkontribusi ya Pak?

A: Mayoritas kebocoran data bukan karena aksi peretasan. Peretasan ini adalah cracking yang kita maksud, bukan hacking. Hacker adalah penyebutan yang honorable. Peretasan memang ada tapi tidak mayor di Indonesia saya kira. Karena mayoritas dari dalam, kenapa? Tentu sistem-sistem yang dibangun oleh institusi nasional seperti perbankan tidak sejelek yang disampaikan sehingga mudah dibobol (dari luar), walaupun ada potensi. Dengan data yang begitu besar, 1 indikasi lebih kepada aksi-aksi yang melibatkan banyak hal dari sisi internal. Tidak selalu itu adalah aksi peretasan yang menggunakan kemampuan cracking dengan melibatkan pengetahuan yang cukup dalam networking. Mungkin kalau boleh disebut 50:50.

Mohammad Slamet Yahya

Q: Apakah ada tips kalau menggunakan wifi publik supaya aman?

A: Ada 1 mekanisme wifi publik itu dicopy sehingga wifi nya itu bukan yang aslinya. Ada orang bawa tas isinya (access point) wifi. Dia mengkopi persis sama sehingga dibelokkan traffic nya ke dia. Bukan ke wifi aslinya. Sama hal nya seperti alat yang dipakai untuk membelokan komunikasi dengan Handphone, jadi karena itu publik tentunya jika digunakan secara gratisan tidak bisa menuntut ke penyedia juga. Karena penyedia tidak memiliki resources untuk membuat wifi tersebut lebih aman.
Secara sederhana pakailah wifi yang access pointnya memiliki password, namun tidak menjamin karena tetap ada potensi orang lain untuk mampu melakukan pembelokkan akses terhadap wifi dengan dia me”mimic” acces point yang sama dengan yang aslinya. Publik access tidak bisa dipertanggungjawabkan, namun selalu yang diaplikasikan di https, www, Bank Y tentunya menggunakan certificate yang cukup baik itu cukup aman. Kalau kita pakai https walaupun wifinya bisa dialihkan namun traffic nya tidak bisa dibuka karena ketika data keluar dari browser kita itu sudah terenkripsi. Dengan enkripsi yang cukup canggih 128/256 akhirnya hanya bisa dibuka oleh web server yang ada disana. Itu yang disebut end to end security.
Pak Lucky menambahkan, Apalagi transaksi menggunakan kartu kredit sebaiknya dihindari, karena kita mengetahui sumbernya dengan jelas, dari mana dan koneksinya seperti apa. Betul semua data-data ini dienkripsi, tapi ada baiknya kita menghindari transaksi-transaksi itu karena bisa saja kartu kredit number nya di sniff sehingga menimbulkan (potensi) carding. Untuk data-data seperti nama dan alamat masih oke, namun jika transaksi keuangan sebaiknya jangan.

Abdi S

Q: Apakah UU PDP ini bisa menjadi solusi yang baik untuk menjaga keamanan data dari sisi client?

A: Bukan solusi untuk menjaga keamanan data secara langsung, karena UU ini sebuah aturan yang tidak memiliki aspek teknologi, tapi memiliki aspek pemaksaan, membuat para penyelenggara jasa elektronik digital services lebih hati-hati. Dengan demikian bisa menjaga keamanan karena orang yang berusaha di dunia online dia akan lebih hati-hati. Jika dia tidak berhati-hati akan mudah sekali membuat penuntutan dengan dasar UU PDP ini.