JAKARTA – Sehubungan kebocoran data pemilih milik Komisi Pemilihan Umum (KPU) yang dijual oleh seseorang yang menggunakan nama samaran Jimbo, Kementerian Komunikasi dan Informatika telah mengirimkan surat permintaan klarifikasi.
Direktur Jenderal Aplikasi Informatika Kementerian Kominfo Semuel A Pangerapan menyatakan saat ini tengah melakukan pengumpulan data dan informasi untuk penanganan dugaan kebocoran data itu.
“Hari Selasa, 28 November 2023, Kominfo telah mengirimkan surat permintaan klarifikasi kepada KPU. Secara bersamaan, kami juga melakukan pengumpulan data dan informasi yang diperlukan untuk mendukung upaya penanganan dugaan kebocoran data tersebut,” jelasnya.
Menurut Dirjen Aptika Kementerian Kominfo langkah itu dilakukan sesuai dengan amanat Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PP PSTE). Dirjen Semuel menyatakan sesuai dengan pengaturan dalam Pasal 39 Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi, Kementerian Kominfo juga telah mengambil langkah proaktif.
“Dalam pemrosesan data pribadi, pengendali data pribadi wajib mencegah data pribadi diakses secara tidak sah dengan menerapkan sistem keamanan terhadap data pribadi,” tandasnya.
Dirjen Aptika Kementerian Kominfo mengingatkan pengaturan dalam Pasal 30 Ayat (2) Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik.
“Kominfo juga mengingatkan kembali larangan bagi setiap orang dengan sengaja dan tanpa hak atau melawan hukum mengakses komputer dan/atau Sistem Elektronik dengan cara apa pun dengan tujuan untuk memperoleh Informasi Elektronik dan/atau Dokumen Elektronik,” ungkapnya.
Bahkan, sesuai Pasal 65 Ayat (2) Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi, setiap orang dilarang secara melawan hukum mengungkapkan Data Pribadi yang bukan miliknya.
“Kominfo menghimbau seluruh Penyelenggara Sistem Elektronik (PSE) baik lingkup publik maupun privat untuk meningkatkan keandalan sistem keamanan siber dan pelindungan data pribadi dalam setiap sistem elektronik yang mereka miliki sesuai ketentuan perundang-undangan,” tegas Dirjen Semuel.
Pengujian Keamanan Sistem
Sertifikasi keamanan sebuah sistem informasi di sektor swasta biasanya dikeluarkan oleh pihak ketiga, yang independen dan berhak menyatakan sebuah sistem informasi aman untuk digunakan publik. Security testing atau pengujian keamanan merupakan upaya menjamin keamanan sistem informasi perusahaan atau instansi berjalan dengan baik.
Dalam penerapan security testing, terdapat 5 aspek penting yang harus diperhatikan, yakni:
- Keamanan infrastruktur jaringan
- Keamanan perangkat lunak
- Keamanan aplikasi client
- Keamanan server
- Keamanan manusia atau operator
Minimal ada 7 jenis security testing yang harus dilalui sebelum layak dinyatakan aman, tes itu sebagai berikut:
1. Security Scanning
Pelaksanaannya berlangsung dengan memindai sistem secara keseluruhan, mulai dari aplikasi, website, jaringan, maupun file system dan mencari apakah ada kerentanan atau modifikasi file yang tak diinginkan.
Tes ini harus dilakukan secara berkala.
2. Vulnerability Scanning
Metode ini berlangsung dengan memindai adanya kerentanan dalam sistem informasi. Pemindaian dapat berlangsung secara internal maupun eksternal.
3. Risk Assessment
Metode risk assessment berlangsung dengan melakukan pengelompokan risiko sistem informasi.
Selanjutnya, dilakukan identifikasi serta analisis risiko untuk mengetahui jenis risiko yang dapat memberikan ancaman terhadap keamanan.
4. Penetration Testing
Tipe-tipe pengujian keamanan berikutnya adalah penetration testing. Metode ini berlaku dengan menerapkan simulasi serangan siber terhadap sistem keamanan TI.
Dari pengujian ini diperoleh gambaran seberapa kuat tingkat keamanan sistem informasi terhadap berbagai jenis serangan.
5. Security Audit
Pengujian keamanan TI dengan mengaudit sistem keamanan. Langkah ini merupakan metode terstruktur dalam melakukan evaluasi serta penilaian terhadap metode keamanan di sebuah organisasi.
Security audit, termasuk memeriksa manusia yang terlibat dalam sistem informasi tersebut, hingga prosedur fail safe dan disaster & risk management.
6. Ethical Hacking
Metode ethical hacking mirip dengan penetration testing. Hanya saja, cakupannya jauh lebih luas dan dapat berlangsung menggunakan berbagai teknik serangan siber.
Pelaksanaan pengujian dilakukan oleh seorang ethical hacker yang sudah mendapatkan izin perusahaan.
7. Posture Assessment
Terakhir, pengujian keamanan berupa posture assessment. Tujuannya adalah untuk meningkatkan manajemen risiko organisasi.
Pemeriksaan dan evaluasi beberapa aspek prosedur, kebijakan, dan praktik keamanan perusahaan untuk mengidentifikasi kelemahan, bahaya, dan area potensial untuk pengembangan.
Kontrol, prosedur, dan taktik keamanan suatu organisasi dievaluasi untuk mempelajari lebih lanjut tentang kemanjuran dan ketahanannya.
Hal ini membantu dalam mengidentifikasi area kerentanan dalam infrastruktur keamanan dan menawarkan saran untuk pengurangan risiko, peningkatan tindakan keamanan, dan penyelarasan dengan praktik terbaik industri dan standar kepatuhan.