3 Hal yang Layak Dipelajari dari Rentannya Keamanan Siber Pertamina

Uzone.id – Tahun 2022 belum berjalan sebulan penuh, tapi di Indonesia sudah mulai bermunculan kasus kebobolan data. Setelah dugaan bocornya data milik 6 juta pasien Indonesia di Kementerian Kesehatan, belum lama ini terungkap kasus serupa dari Pertamina.

Singkat cerita, dugaan yang terkuak ini menyebut kalau ada 163.181 file pelamar kerja PT Pertamina Training & Consulting (PTC) bocor. Selain berhasil dibobol hacker, data yang bocor ini disebarkan di forum dark web, Raid Forum pada 11 Januari 2022 oleh Astarte, akun sama yang membocorkan data 6 juta pasien Kemenkes.

Data yang berhasil dibobol itu berisi informasi pribadi seperti nama lengkap, alamat, tanggal lahir, agama, nomor ponsel, hingga gelar pendidikan dalam bentuk file JPEG dan PDF.

Pihak Kementerian Komunikasi dan Informatika (Kominfo) sejauh ini mengaku siap melakukan tindak lanjut dan menyelidiki soal kasus ini, serta menanyakan ke jajaran direksi perusahaan.

Sebetulnya hal tersebut bisa dibilang sebagai tanggapan klasik dari pihak pemerintah, khususnya Kominfo.

Yang jelas, kalau kita bertanya ke pakar keamanan siber, tentu jawabannya bisa lebih mendalam.

Baca juga: Dugaan Data 6 Juta Pasien Bocor, Keamanan IT Dianggap Lemah

Menurut Alfons Tanujaya dari Vaksincom, kemungkinan besar itu file dari PTC Pertamina yang berhasil diakses dan tidak diamankan dengan baik. Ia melihatnya memang sebagai masalah utama bagi penyelenggara layanan web dalam menerima dokumen.

Dari apa yang diutarakan Alfons, ada tiga hal yang layak dipelajari bagi kita semua, baik sebagai penyelenggara layanan, maupun pengguna internet.

“Pertama, kalau server bisa menerima unduhan, justru harus hati-hati untuk memastikan bahwa unduhan yang dikirimkan itu legit [sah] dan tidak mengandung malware,” ungkap Alfons kepada Uzone.id.

Ia menyambung, “kedua, jika sudah menerima file, dalam hal ini seperti lamaran kerja dan dokumen pendukungnya, maka data tersebut wajib dilindungi dengan baik dan tidak boleh bocor karena mengorbankan pemilik data, atau si pelamar.”

Dari dugaan Alfons, bagi perusahaan atau pelaku outsourcing kegiatan perekrutan ini, data pelamar yang masuk bisa jadi tidak dikategorikan ke dalam data yang penting, karena dianggap sebatas data pelamar saja, bukan data karyawan.

Padahal, faktanya hal ini tetap menyangkut etika penyelenggara layanan elektronik di mana mereka harus mengamankan data yang diterima karena para partisipan atau mereka yang berminat sudah percaya untuk mengunggahkan data.

Baca juga: 7 Cara Amankan Data Penting Perusahaan

Dari sini, poin ketiga yang layak dipelajari adalah risiko.

Risiko yang ia soroti pun ada tiga hal. Pertama, data kependudukan yang terkandung di dalam database seperti KTP, KK, dan data lainnya akan dengan mudahnya dikumpulkan dan digunakan untuk kegiatan jahat seperti membuka rekening bank bodong.

“Risiko kedua, pelamar sangat rentan untuk menjadi korban eksploitasi dan penipuan lamaran kerja dan akan menjadi korban tepat di saat yang tepat,” terangnya.

Ia melanjutkan, “maksudnya begini. Jika ada orang tidak pernah melamar ke Pertamina mendapatkan WhatsApp berpura-pura sebagai pihak yang bisa membantu memasukkan karyawan ke Pertamina, tentu dia tidak akan mudah percaya dan tidak tertipu. Beda halnya jika orang itu pernah melakukannya dan dikelabui untuk mengirim uang untuk kepentingan pendaftaran, misalnya.”

Pada akhirnya, kasus rentannya keamanan siber dari instansi besar, baik dari pemerintah maupun perusahaan BUMN atau swasta, menurut Alfons yang salah adalah si pengelola data.

“Mereka yang harus bertanggung jawab karena menempatkan korban, yakni para pelamar kerja dalam kondisi yang rentan dan mudah ditipu. Penting untuk meningkatkan kesadaran terhadap pengelola data, apalagi yang dikumpulkan itu data masyarakat. Semoga ada UU yang mengatur jelas soal ini,” tutup Alfons.