Ada 3 perusahaan besar (swasta) di Amerika Serikat (AS) yang mencatat semua transaksi keuangan (kartu kredit, pinjaman, SSN/nomor sosial) warga negara AS. Mereka adalah Equifax, Experian, dan TransUnion. Pada tanggal 7 September 2017, Equifax mengumumkan bahwa datanya telah terjebol. Sebanyak 143 juta rakyat AS, sekitar 44% populasi total AS, terlepas mereka menggunakan Equifax atau tidak, memiliki kemungkinan bahwa identitasnya yang tercuri dapat digunakan untuk melakukan transaksi keuangan.

Ironisnya, menurut Michael Riley, data tersebut justru tercuri dari situs Equifax yang menawarkan produk perlindungan pencurian informasi. Situs tersebut teretas menggunakan kelemahan-kelemahan yang ada untuk mengakses 143 juta data tersebut. Equifax menunggu 6 minggu untuk mengumumkan peretasan tersebut.

Apa yang dilakukan Equifax dalam 6 minggu?

Mereka membuat sebuah laman www.equifaxsecurity2017.com yang dibuat di sebuah penyedia situs umum dengan DNS yang terdaftar secara anonim, bukan atas nama Equifax. Situs ini sepertinya dibuat secara tergesa-gesa sehingga masih ada beberapa data sensitif yang belum dilindungi. Situs ini bahkan sempat ditandai sebagai situs yang mencurigakan. Padahal, situs ini menyediakan layanan kepada rakyat AS apakah data mereka terjebol.

Situs ini mensyaratkan setiap orang yang menggunakan layanan untuk mengetahui datanya terjebol atau tidak harus secara otomatis melepaskan haknya untuk menuntut Equifax untuk hal yang terjadi sebagai syarat penggunaan (Terms of Use). Artinya, semua orang yang akan menggunakan layanan itu akan secara otomatis tidak bisa lagi menuntut kecerobohan Equifax. Namun, Jaksa Umum New York mengatakan bahwa syarat arbitrasi tersebut tidak benar dan meminta Equifax untuk mengubah/menghapus syarat penggunaan tersebut.

Beberapa hari setelah terjebolnya data Equifax, 3 orang eksekutif dalam perusahaan tersebut menjual sahamnya. Mereka berdalih bahwa ini hanya kegiatan yang biasa dan, menurut perusahaan, tidak mengetahui adanya kejadian terjebolnya data sebelum penjualan saham tersebut. Terlepas dari itu semua, para analis pasar modal justru menyarankan yang lain untuk membeli saham Equifax atau menahan diri untuk menjual saham tersebut.

Pelajaran

Banyak orang berasumsi bahwa tidak ada yang perlu ditakutkan bila kita tidak melakukan hal-hal yang salah. Nyatanya, penggunaan data secara ilegal pada era digital justru memerlukan privasi. Privasi bukan hanya mengatur data apa saja yang perlu dilindungi (boleh dibuka/tidak), namun juga mengatur kewajiban apa yang diperlukan untuk sebuah entitas (perusahaan/orang/apa pun) yang memegang info sensitif tersebut. Itu sebabnya, sebuah entitas bisnis diperlukan untuk membuat pernyataan privasi pada banyak negara.

Hal-hal yang dilakukan oleh Equifax ketika terjadi peretasan menandakan bahwa mereka tidak siap. Bahkan, mereka terkesan hendak cuci tangan. Padahal, ISO27001 dan standar keamanan sistem informasi (COBIT, ITIL, TOGAF) lainnya sudah ada.

Apakah standar-standar keamanan organisasi ini wajib diterapkan?

Kalau di Indonesia, sejauh ini saya baru menemukan POJK Nomor 38/POJK.03/2016 mengenai ketentuan bank umum untuk menerapkan standar-standar keamanan sistem informasi. Belum secara spesifik menyebutkan standar apa yang dipakai, misalnya SNI ISO/IEC 27001:2013. Jadi, standar apa pun yang digunakan asalkan disebutkan standar keamanan yang memenuhi kaidah tersebut, bolehlah. Lalu, bagaimana dengan industri telekomunikasi dan lembaga-lembaga lainnya yang non-bank umum?

Anda mungkin percaya kepada entitas yang memegang data Anda. Namun, ketidaktahuan bagaimana cara mereka menyimpannya dapat membuat data Anda tercuri. Alangkah baiknya pada era digitalisasi dan pertukaran data, payung hukum terpadu yang mendukung privasi dan prinsip keamanan dikembangkan. Hal ini dapat memaksa mereka untuk menerapkan standar keamanan yang cukup untuk melindungi data yang sudah dipercayakan.

Mungkin, suatu hari nanti apa bila itu terjadi, penipuan berbasis SMS sudah tidak laku lagi. Amin.

Maaf, ya, karena penjabaran berita Equifax kepanjangan, saya tidak menulis secara lengkap pendapat saya seperti biasanya. Nanti bila saya ada waktu℠ 😛