Keamanan dan Kebocoran Data

Mungkin Anda pernah menerima kiriman whatsapp humor tentang perkiraan situasi di masa datang, jika Nomor Induk Kependudukan (NIK) diterapkan dan terintegrasi ke semua layanan masyarakat. 

Begini tulisan cerita banyolan tersebut:

Operator: Terima kasih anda telah menghubungi Pizza Hut. Ada yang bisa saya bantu?
Konsumen:  Saya mau pesan Pizza, mbak
Operator: Boleh minta nomor KTP anda?
Konsumen: 32617987563927
Operator: Oke Pak Sahruddin, dari database kami, Bapak tinggal di Jl. Merpati No 6, Tlp Rumah 0411829256378, Tlp Kantor 0411666535872673, dan nomor HP 0823176392087.
Konsumen: Betul, Mbak. Apa saya bisa pesan Seafood Pizza?
Operator: Menurut kami, itu bukan ide yang bagus Pak. Dari medical record Bapak, Bapak punya tekanan darah tinggi dan kolestrol yang berlebihan. Mungkin saat ini Bapak bisa memesan Low Fat Hokkien Mee Pizza.
Konsumen:Dari mana anda tahu kalo saya bakal suka itu?
Operator: Hm...minggu lalu Bapak baru pinjam buku dengan judul "Popular Hokkien Dishes" di Perpustakaan Nasional.
Konsumen: Oke terserah...sekalian saya pesan paket keluarga, jadi berapa semuanya?
Operator:Total semua Rp. 290.000
Konsumen: Boleh saya bayar dengan Credit Card?
Operator: Bapak harus bayar cash, kartu kredit Bapak tampaknya sudah over limit dan Bapak masih punya utang di bank sebesar Rp. 5.350.000,- sejak bulan Juni tahun lalu, itu belum termasuk denda tunggakan kredit mobil Bapak.
Konsumen: Ya sudah kalo begitu, saya ke ATM dulu ambil uang sebelum tukang antar pizza datang.
Operator: Dari data Bapak, sepertinya itu juga nggak bisa Pak. Record Bapak menunjukkan bahwa batas penarikan uang di ATM Bapak sudah habis untuk hari ini.
Konsumen: Busyet...! Sudahlah anterin aja pizzanya kesini, saya akan bayar cash disini, dan berapa lama pizza diantar sampai ke rumah?
Operator: Sekitar 45 menit Pak karena jalan Perintis dan Urip tampaknya sedang padat. Tapi kalo Bapak tidak mau menunggu, Bapak bisa mengambilnya sendiri dengan motor bebek butut Bapak produksi tahun 1995 dengan Nomor Polisi DD-217-AN. Betul kan, Pak?
Konsumen: Engga sopan kamu!
Operator: Oh hati-hati dan jaga ucapan Bapak. Apa Bapak lupa pada 15 Mei 2010 Bapak pernah di bui 3 bulan karena mengucapkan kata-kata kotor pada polisi? Oh ya pak. Bapak kemaren di luar kota ada urusan dgn KUA ya, karena didata, Bapak sudah tercatat di 3 KUA, apakah ibu dirumah sdh tau ?
Konsumen:Tidak ada.!!! Batalin aja pesanan gue...!!!" Dan awassss jangan bilang istri gua yg terakhir ya...

Apakah data akan sebebas itu berkeliaran di tengah masyarakat karena memang dibuka (share) secara bebas? 

Apa jadinya ya kalau memang demikian?

Sekarang saja sales bank yang menawarkan fasilitas kredit melalui telepon sudah terasa mengganggu karena sehari bisa dua tiga orang yang menelepon dan besoknya ada lagi yang menelepon. Darimana mereka mendapatkan no. telp kita? Kemungkinan dari bank bersangkutan, karena memang data kita ada pada mereka. Para sales ini begitu aktif menawarkan fasilitas kredit mulai dari bunga kecil, dana tambahan, kredit ringan tanpa agunan yang dibungkus dalam bahasa, yang jika kita jeli, intinya sama saja, yaitu menawarkan kredit yang pastinya tidak gratis. Andai saja mereka menawarkan pemberian uang tanpa harus dibayar....:D

Setahu saya, data tidak boleh dishare sembarangan. Sepanjang pengalaman saya bekerja dengan data, bahkan untuk data testing, biasanya yang kami pakai adalah data beberapa tahun sebelumnya yang diperkirakan sudah tidak valid, atau data yang sudah diubah-ubah yang tentunya juga tidak lagi menjadi data sebenarnya. 

Mengapa demikian? Karena data-data tersebut bersifat rahasia. Data dapat dipakai untuk berbagai macam kepentingan, diantaranya untuk kepentingan marketing seperti para sales bank yang menawarkan kredit. Data juga dapat digunakan untuk menganalisa suatu keadaan, dan hasil analisanya dipakai untuk mendukung sebuah keputusan. Contoh data facebook yang bocor ke firma riset. 

Data adalah bahan dasar sebuah informasi. Bagaimana data dapat menjadi informasi? Dengan mengolah data tersebut menjadi informasi yang dibutuhkan. Data dan informasi adalah sesuatu yang berbeda. Untuk mendapatkan informasi dibutuhkan data. Contoh: untuk mengetahui informasi populasi penduduk disuatu tempat, pada saat tertentu, dibutuhkan data jumlah kelahiran, kematian, dan perpindahan penduduk dari dan ke daerah tersebut. Untuk memprediksi pertumbuhan penduduk beberapa tahun ke depan, dibutuhkan informasi populasi penduduk selama periode tertentu. 

Prediksi sifatnya tidak pasti, namun berdasarkan prediksi yang didukung data, dapat disiapkan tindakan antisipasi. Misalkan jika menurut analisa data beberapa tahun terakhir populasi penduduk suatu daerah dianggap terlalu tinggi, maka perlu diantisipasi dengan mengurangi angka kelahiran atau mengurangi jumlah migrasi penduduk dari luar. 

Berdasarkan data dapat diketahui kebiasaan seseorang bahkan kebiasaan masyarakat. Misalkan menurut data penjualan mobil, tingkat penjualan meningkat menjelang atau sesudah hari raya idul fitri. Mengapa demikian? Kemungkinan karena menjelang hari raya, para karyawan mendapatkan uang lebih berupa THR. Dengan demikian, dealer-dealer dapat melakukan sesuatu untuk meraih keuntungan lebih dari situasi tersebut.

Saya kira men-share data ke sembarang pihak adalah tindakan yang dapat berdampak negatif.  Dari cerita humor diatas, kondisi jika data penduduk seterbuka itu, mungkin para sales bank yang menawarkan kredit, rentenir, leasing, dsb akan berlomba-lomba menawarkan produknya karena mereka tahu pasti seseorang itu membutuhkan mereka atau tidak. Akan sulit untuk menolak mereka meskipun kita punya hak untuk menolak, ujung-ujungnya mungkin akan banyak orang yang kena darah tinggi :D

Jika data bersifat rahasia dan tidak dapat di share sembarangan, lantas mengapa ada kejadian data bocor?

Data dapat berbentuk hard copy dan soft copy. Data hard copy adalah data dalam bentuk dokumen, kertas-kertas laporan, buku tabungan, faktur, dll. Data soft copy adalah data dalam bentuk database. Data dalam bentuk soft copy jauh lebih mudah dipindah tangankan jika tidak ada security system yang memadai. Data hard copy berpindah tangan biasanya karena dicuri, tidak sengaja tercecer, di foto copy, difoto, dll. Sementara data dalam bentuk soft copy cukup dicopy saja filenya dan dengan cepat data dapat berpindah tangan. Bisa juga difilter hanya data-data dengan kriteria tertentu saja yang diambil. Oleh karena itu data soft copy ini perlu dilindungi. Saat ini software modern sudah menerapkan system login dan hak akses. Ada pihak-pihak yang hanya dapat mengakses data tertentu saja, sementara pihak lain dapat mengakses lebih banyak data. 

Bagaimana dengan database admin yang memiliki hak akses paling tinggi? Setahu saya ada software 'perekam'  kegiatan database yang disebut admin guard, yang fungsinya untuk mengawasi kegiatan admin berkaitan dengan database tersebut. Jika terjadi data bocor ke pihak yang tidak berhak, sementara security pengguna sudah benar, kemungkinan besar kesalahan ada pada admin. Maka rekaman ini dapat membuktikan apakah admin melakukan sesuatu yang dapat menyebabkan kebocoran data atau tidak. 

Bagaimana dengan data pribadi perorangan seperti data pengguna facebook? Sama saja, data disimpan dalam bentuk database dengan security akses. Dimana  pengguna harus login untuk dapat mengakses facebook, dan juga harus meminta/memberi ijin orang lain (request/accept friend) untuk dapat membaca wall masing-masing. Artinya facebook bukanlah platform yang datanya bebas diakses oleh siapapun. 

Namun mengapa ada pihak lain yang dapat menggunakan data kita? Apakah ada agreement antara pengguna dan Facebook bahwa datanya dapat dipakai oleh Facebook untuk kepentingan lain? Kalau ya, itu bukan data bocor tetapi memang berdasarkan persetujuan kedua belah pihak data dapat dipakai untuk kepentingan mereka. Jika tidak, hal itu adalah tanggung jawab Facebook untuk melindungi data penggunanya. 

Jika memang Facebook tidak memberikan data tersebut, berarti ada lubang pada aplikasi Facebook yang membuat data penggunanya bisa bocor ke pihak lain. Biasanya ini disebut bug. Bug dapat ditemukan dimana saja karena kondisi-kondisi lolos test karena memang tidak terpikirkan. Menurut berita kompas berikut  

Christopher Wylie, Mahasiswa Pengungkap Kebocoran Data Pengguna Facebook

pengguna Facebook mengunduh aplikasi tertentu di Facebook yang kemudian menjadi 'pintu' untuk mengakses data-data mereka. Jika memang demikian, logikanya database Facebook memang terbuka. Dan, menurut berita, ternyata Facebook baru akan menerapkan sistem API (Application Programming Interface) untuk aplikasi lain yang dihubungkan ke facebook. 

Ini Ciri-ciri Akun Facebook yang Dicuri, 1 Juta Orang Indonesia Terdampak  

API adalah interface yang dapat menghubungkan satu aplikasi ke aplikasi lain sehingga kedua aplikasi dapat saling 'berbicara' tanpa harus menjadi satu. Ibaratnya seseorang perlu mengambil sesuatu dari halaman orang lain, untuk itu dia harus mengirim pesan kepada pemilik agar diijinkan mengambil barang yang ia perlukan. Pemilik tentunya tidak akan membuka semua pintu rumah dan kamar dan membiarkan orang itu menggerayangi. Tetapi ada interface disini. Bisa barangnya diambilkan dan diberikan melalui pagar atau pemilik memberi akses untuk mengambil barang itu sendiri tetapi terbatas hanya area tertentu saja. 

Selama ini ada banyak aplikasi-aplikasi yang dapat terhubung dengan facebook melalui 'login dengan facebook', termasuk akun Kompasiana. Mudah-mudahan login via facebook ke aplikasi lain tidak lantas membocorkan password facebook ke aplikasi lain tersebut. Mudah-mudahan disitu sudah digunakan logic "Single Sign On" yang benar yang berfungsi untuk keamanan.