Jakarta – Dengan semakin maraknya serangan siber, kebocoran data menjadi sesuatu yang harus diwaspadai dan diperhatikan oleh berbagai sektor industri. Apalagi, bocornya sebuah data nantinya bisa menyebabkan kerugian, baik dari sisi nasabah atau konsumen, maupun penyedia jasa di sektor terkait.
Danny Kobrata, Co-Founder Asosiasi Praktisi Pelindungan Data Indonesia (APPDI), menjelaskan apa saja yang perlu dilakukan perusahaan, lembaga, atau instansi untuk melindungi data. Ini meliputi tindakan preventif dan tindakan reaktif. Contoh pertama dari tindakan preventif, yaitu membentuk incident response team.
“Incident response team ini terdiri dari beberapa divisi terkait di perusahaan, misalnya Legal, IT, dan Humas. Nah, tujuannya apa? Supaya, nanti ketika terjadi kebocoran data, tim inilah yang harus langsung bergerak untuk menanggulangi terjadinya serangan tersebut,” tutur Danny pada webinar OJK Institute bertajuk Peluang dan Tantangan Pelindungan Data Pribadi dalam Transaksi di Era Digital, Kamis, 30 Mei 2024.
Baca juga: Multipolar Technology Ungkap Dua Solusi Industri Ritel Tangkal Serangan Siber
Sama halnya dengan membentuk standard operating procedure (SOP), baik untuk internal maupun eksternal. Danny berujar, kewajiban ini sudah diatur dalam Undang-undang (UU) Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP). Adapun tujuan pembentukan SOP ini agar mereka bisa langsung mengetahui apa yang wajib dilakukan jika terjadi kebocoran data.
Danny juga menjelaskan pentingnya untuk melakukan sertifikasi keamanan elektronik dan pelatihan karyawan. Hal ini juga sudah tertuang dalam UU PDP. Sertifikasi seperti ISO 27001 sudah sesuatu yang wajib dimiliki baik itu oleh perusahaan, lembaga, maupun instansi.
“Mereka (penyedia jasa) harus punya sertifikasi yang cukup tinggi untuk level keamanan yang cukup tinggi, misalnya ISO 27001, atau mungkin sertifikasi-sertifikasi lainnya. Ini memastikan bahwa sistem elektronik yang dikelola gitu oleh perusahaan itu sudah aman,” terang Danny.
“Penting juga untuk melakukan pelatihan secara berkala. Maksudnya, mereka harus memastikan kepada seluruh karyawan bahwa data pribadi dari konsumennya itu harus dijaga dengan baik,” lanjutnya.
Tidak hanya secara reaktif, penyedia jasa juga harus melakukan proteksi secara reaktif, khususnya jika kebocoran data sudah tidak terelakan. Yang pertama, mereka wajib menahan peristiwa ini agar tidak semakin parah, dan meminimalisir dampak yang ada.
Selanjutnya, yaitu mengonfirmasi sumber kebocoran data dan dampaknya, baik bagi perusahaan maupun konsumen. Hal ini, menurut Danny, penting untuk dilakukan. Ada kalanya, kesalahan tidak terjadi kepada korporasi, melainkan pihak lain.
Baca juga: Serangan Siber Makin Marak, Kaspersky Luncurkan Produk Baru Perkuat Keamanan Digital Bisnis
“Nah, ini yang harus dikonfirmasi terlebih dahulu. Karena, kalau misalnya kebocoran itu dilakukan oleh perusahaan lain, artinya tanggung jawabnya jatuh kepada mereka,” papar Danny.
Tetapi, jika memang kebocoran data terjadi di pihak yang bersangkutan, maka penyedia jasa perlu melaporkan kepada subjek atau konsumen, serta regulator, paling lambat 3×24 jam, Kewajiban ini sudah tertuang di UU PDP. (*) Mohammad Adrianto