DATA BREACH
CILACAP, 16 MEI 2024
BIODATA
Subroto Budhi Utomo, S.Kom,. MT,. CEH
Sandiman Ahli Muda pada Seksi Pengamanan Persandian dan Informasi
Pendidikan Formal :
• S1 Informatika – Unisbank Semarang
• S2 Informatika (Keamanan Sistem Perangkat Lunak) – ITB
Contact (WA) :
Pendidikan Non Formal :
• Diklat Sandiman
• Diklat Threat Hunting
• Sertifikasi CEH – EC Council
OVERVIEW
DATA BREACH
01
CONTOH KASUS
02
PERLINDUNGAN DATA
04
ATURAN
UNDANG-UNDANG
03
BEST PRACTICE KEAMANAN DATA
06
DATA BREACH
Definisi, Penyebab, dan Dampak
ASET APA YANG PERLU DILINDUNGI ?
01 02 03 04
Segala sesuatu yang memilik nilai bagi organisasi. Oleh karenanya harus dilindungi, dikelola, di klasifikasikan, analisis, dan mitigasi resiko
Perangkat Keras dan Perangkat Lunak Dokumen/Data
Sarana / Prasarana SDM /Pihak Ketiga
Phising & Malware
Kelemahan
Keamanan Sistem
Sistem yang tidak cukup aman atau memiliki kerentanan menyebabkan lemahnya perlindungan terhadap serangan
Human Error
Phisical Attack
Insider Threats
Malware yang di distribusikan melalui link phising
Kesalahan atau kelalaian karyawan, seperti kesalahan dan kelalaian dalam mengelola akses data Serangan fisik secara langsung
juga menyebabkan adanya pelanggaran data
Orang dalam organisasi yang secara sengaja mapun tidak sengaja mengungkap Data Rahasia
BAGAIMANA BISA TERJADI DATA BREACH ?
Kelemahan Keamanan Sistem
• Kerentanan Perangkat Lunak : terjadi akibat bug / kesalahan coding, fitur keamanan yg sudah obsolete, patch yang tidak diterapkan dll
• Kelemahan Jaringan : terjadi akibat kurangnya keamanan jaringan, jaringan tidak terenkripsi, sehingga menyebabkan serangan DDoS, maupun penyadapan (MITM)
• Kelemahan Konfigurasi: menggunakan konfigurasi default yang sering diketahui publik, hak akses yang berlebihan, maupun miskonfigurasi dalam pengaturan firewall, database, dan layanan lain
• Kelemahan Autentikasi dan Autorisasi : Penerapan Autentikasi sistem yang kurang aman dan penggunaan kata sandi yang lemah membuat sistem rentan brute force maupun session hijacking
01.
Pedoman Standart dan Prosedur Keamanan Aplikasi Berbasis Web
• Peraturan BSSN No 4 Tahun 2021
Pedoman Standart dan Prosedur Keamanan Aplikasi Berbasis Web
• Peraturan BSSN No 4 Tahun 2021
Pedoman Standart dan Prosedur Keamanan Aplikasi Berbasis Web
• Peraturan BSSN No 4 Tahun 2021
Phising dan Malware
• Phishing dan malware adalah dua bentuk serangan keamanan yang umumnya digunakan oleh penjahat siber untuk mendapatkan akses tidak sah ke data dan informasi sensitif atau merusak sistem.
• Phising merupakan jenis serangan cyber yang bertujuan untuk memperoleh informasi sensitif, seperti kata sandi, nomor kartu kredit, atau informasi akun lainnya, dengan cara menipu atau mengelabui korban.
• Malware atau "malicious software" atau perangkat lunak berbahaya yang dirancang untuk merusak, mengganggu, atau mencuri informasi dari sistem komputer atau perangkat lainnya.
02.
Phising dan Malware
Mitigasi:
• Waspadai Email dan Pesan Instan
• Gunakan Filter Antiphishing
• Perbarui Sistem dan Perangkat Lunak
• Gunakan Firewall dan Antivirus
Human Error 03.
Weak Credential : penggunaan dan penyimpanan kredensial yang merujuk pada kombinasi kata sandi atau bentuk
otentikasi lainnya yang tidak memadai dalam melindungi akun dan sistem
• Gunakan password minimal 8 karakter,
mengandung angka, symbol unik, dan perpaduan huruf kecil dan besar.
• Gunakan password manager.
• Penggunaan Autentikasi Dua Faktor (2FA).
• Memperbarui Kredensial secara Berkala Mitigasi:
Kesalahan atau kelalaian Karyawan dalam pengelolaan perangkat. Sebagai contoh penggunaan kredensial yang lemah, berbagi informasi sensitif secara tidak sengaja, dll
TRILOGI AUTENTIKASI SOMETHING YOU ARE
SOMETHING YOU KNOW SOMETHING YOU HAVE
Voice
Authentication Fingerprint
Authentication Biometric
Authentication
Handphone
(OTP) Kartu Akses Security Key Akun /
Username PIN, Password
KESALAHAN UMUM
PENGGUNAAN PASSWORD
KESALAHAN UMUM
PENGGUNAAN PASSWORD
Phisical Attack
• Pencurian Perangkat
• Penyadapan Kabel atau Komunikasi
• Serangan Fisik ke Pusat Data karena akses fisik yang tidak terkontrol
04.
Serangan atau tindakan yang terjadi secara fisik terhadap perangkat keras atau infrastruktur teknologi informasi.
Teknik Serangan:
• Perlindungan Perangkat dan Media Penyimpanan
• Kendali Akses Fisik
• Survei Keamanan dan Pengawasan
• Manajemen Inventaris Mitigasi:
Insider Threats 05.
Insider threats terjadi ketika seseorang di dalam organisasi, seperti karyawan, rekanan, atau pihak lain yang memiliki akses ke sistem atau informasi, dengan sengaja atau tidak sengaja menyebabkan kerugian
keamanan, mencuri data, atau melakukan tindakan merugikan lainnya.
Insider Threats
• Pelatihan Kesadaran Keamanan
• Pemisahan Tugas dan Pengendalian Akses
• Pengawasan oleh Manajemen
05.
Mitigasi
• Ketidakpuasan Karyawan
• Tuntutan Keuangan atau Kepribadian
• Kurangnya Pendidikan Keamanan
• Keterlibatan Eksternal
Faktor yang dapat menyebabkan insider threats
DAMPAK DATA BREACH
CYBER FRAUD (PENIPUAN) PENYALAHGUNAAN DATA
PENCEMARAN NAMA BAIK
HILANGNYA HAK KENDALI ATAS DATA PRIBADI
PENGAJUAN PINJAMAN ONLINE
AKSES AKUN PRIBADI
KEJAHATAN KEUANGAN LAINNYA (PEMERASAN, TRANSFER UANG ILEGAL)
CONTOH KASUS DATA
BREACH
FACEBOOK-CAMBRIDGE ANALYTICA(2018)
• Detail Kasus: Data pengguna Facebook
digunakan tanpa izin untuk tujuan politik oleh Cambridge Analytica.
• Jumlah Data yang Terlibat: 87 juta pengguna.
• Penyebab: Penyalahgunaan data melalui aplikasi kuis yang mengumpulkan data pengguna dan
teman mereka.
• Dampak: Skandal besar yang mengakibatkan pengawasan ketat terhadap praktik data
Facebook, denda $5 miliar dari FTC, dan krisis kepercayaan pengguna.
Sumber : https://www.bbc.com/news/technology-64075067 Sumber: https://www.cnbc.com/2018/04/10/facebook-cambridge-
analytica-a-timeline-of-the-data-hijacking-scandal.html
CAPITAL ONE (2019)
• Capital One merupakan salah satu bank terbesar di Amerika Serikat.
• Pada Tahun 2019 Mengalami Kasus Kebocoran Data pribadi sebanyak 106 juta pelanggan termasuk nama, alamat, informasi kredit, dan nomor Jaminan Sosial dicuri oleh mantan karyawan AWS.
• Penyebab yang ditemukan adalah adanya kerentanan konfigurasi di server web yang memungkinkan akses tidak sah.
• Dampak yang ditimbulkan penangkapan pelaku, biaya pemulihan yang tinggi, dan denda $80 juta dari regulator.
Sumber :https://cyberthreat.id/read/7885/Capital-One-Diputuskan-Bersalah-Kasus-Data-Breach-Sanksi-Denda-Rp-11-Triliun
ATURAN
UNDANG-UNDANG
GDPR
• General Data Protection Regulation adalah regulasi privasi data yang berlaku di Uni Eropa dan mengatur perlindungan data pribadi individu yang tinggal di wilayah Uni Eropa.
• Regulasi ini mulai berlaku pada 25 Mei 2018
• GDPR berlaku untuk semua organisasi yang memproses data pribadi individu yang berada di Uni Eropa, baik organisasi di dalam maupun di luar Uni Eropa yang menangani data individu tersebut.
• Memberikan panduan tentang pemindahan data pribadi diluar Uni Eropa, memastikan bahwa data tersebut tetap dilindungi.
• Menetapkan persyaratan untuk memiliki Petugas Perlindungan
• Data (DPO) di beberapa organisasi untuk memastikan kepatuhan terhadap GDPR.
• Mendorong organisasi untuk melakukan analisis risiko terhadap pemrosesan data dan melibatkan konsep privasi sejak tahap perancangan sistem.
Sumber : https://gdpr.eu/tag/gdpr/
UU PDP
Sumber : https://jdih.setkab.go.id/PUUdoc/176837/Salinan_UU_Nomor_27_Tahun_2022.pdf
• Undang-Undang Perlindungan Data Pribadi memiliki tujuan untuk memberikan kerangka kerja hukum untuk melindungi privasi dan keamanan data pribadi individu.
• Dalam UU PDP terdapat pengendali data pribadi dan prosesor data
pribadi. Pengendali data pribadi adalah setiap orang, badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-
sama dalam menentukan tujuan dan melakukan kendali pemrosesan data pribadi.
• Undang-UndangPerlindunganDataPribadimenjelaskan hak-hak subjek Data Pribadi.
• Terdapat juga aturan atau hukum Ketika terjadi kebocoran Data Pribadi.
• Pengendali data pribadi dan prosesor data pribadi wajib menunjuk pejabat atau petugas yang melaksanakan fungsi pelindungan data pribadi.
STANDAR KEAMANAN SIBER
INDEKS KAMI
https://www.iso.org/standard/27001
ISO/IEC 27001
https://www.nist.gov/cyberframework
NIST
https://www.bssn.go.id/indeks-kami/
PERLINDUNGAN DATA
Perlindungan Data
Tata Kelola Data
• Menetapkan kebijakan dan prosedur untuk mengelola data sepanjang siklus hidupnya.
• Ini mencakup menentukan kepemilikan data, kontrol akses, dan klasifikasi
data.
Keamanan dan Privasi Data
• Mengimplementasikan langkah-langkah untuk melindungi data dari akses yang tidak sah, pengungkapan, perubahan,
dan penghancuran.
• Ini melibatkan penggunaan enkripsi,
kontrol akses, firewall, dan teknologi
keamanan lainnya.
Perlindungan Data
Penerapan Standar (Compliance)
• Memastikan bahwa organisasi mematuhi undang-undang dan
regulasi proteksi data yang relevan.
• Ini mungkin melibatkan melakukan audit secara berkala, penilaian, dan
mengimplementasikan langkah-langkah untuk mengatasi kekurangan kepatuhan.
Pencadangan dan Pemulihan Data
• Mengimplementasikan prosedur pencadangan secara teratur untuk memastikan data dapat dipulihkan dalam kasus kehilangan data, kerusakan, atau bencana lainnya.
• Ini sangat penting untuk menjaga
ketersediaan data.
Perlindungan Data
Asesmen dan Audit Secara Berkala
• Mengidentifikasi dan menilai risiko terhadap keamanan data yang mungkin dihadapi dan mengimplementasikan langkah- langkah untuk mengurangi risiko ini.
• Ini melibatkan melakukan penilaian risiko dan mengembangkan strategi mitigasi risiko.
Tanggapan dan Manajemen Insiden
• Mengembangkan rencana dan prosedur untuk merespons dengan cepat dan efektif terhadap pelanggaran data atau insiden keamanan lainnya.
• Ini mencakup identifikasi,
pengendalian, pemusnahan,
pemulihan, dan pembelajaran dari
insiden keamanan.
Perlindungan Data
Pelatihan dan Kesadaran Karyawan
• Mendidik karyawan tentang pentingnya proteksi data dan peran mereka dalam menjaga informasi sensitif.
• Ini mencakup pelatihan mengenai praktik keamanan dan kebijakan proteksi data organisasi.
Dokumentasi dan Pelaporan
• Menjaga catatan yang akurat tentang kegiatan proteksi data, insiden, dan upaya kepatuhan.
• Ini mencakup penyusunan laporan
untuk stakeholder internal dan eksternal,
sesuai kebutuhan.
PENERAPAN KEAMANAN INFORMASI
DI LINGKUNGAN PEMERINTAH DAERAH
Pembatasan akses dan limitasi akses yang mencurigakan dari
pengguna
Pencatatan dan Monitoring Seluruh Koneksi,
Mendeteksi dan Menghalau Percobaan Intrusi
Segmentasi Jaringan
Pembuatan dan Pengembangan Aplikasi yang lebih aman
(penerapan Secure SDLC dalam pembangunan aplikasi)
Pembentukan dan Optimalisasi CSIRT
Pengujian Keamanan
Aplikasi Publik Standarisasi ISO 27001
Penggunaan Sistem Operasi dan Aplikasi yang berlisensi dan Up to
Date
Penggunaan Antivirus, Firewall, dsb yang Up to Date
BEST PRACTICE MENJAGA KEAMANAN
DATA
TERIMA KASIH
