ABSTRAK

Ancaman kebocoran data oleh pihak internal menjadi ancaman utama

kebocoran data dari suatu organisasi atau perusahaan. Untuk
menanggulangi kebocoran tersebut perlu adanya identifikasi dini terhadap
sumber-sumber ancaman dan pencegahan aktif terhadap kebocoran data.
Dalam paper ini dipaparkan sumber-sumber utama kebocoran data
internal dan model pencegahan aktif sebagai solusi pencegahan.
PENDAHULUAN
Pada era digital sekarang, ancaman internal tidak bisa dipungkiri menjadi
sumber utama dari kebocoran data. Berdasarkan survey yang
dilaksanakan oleh Cyber-Ask(2011) hampir 80% kebocoran sistem
diakibatkan oleh pihak internal termasuk administrator, pengguna sah,
yang secara tidak sengaca ataupun sengaja membahayakan sistem IT
atau menyebarkan data rahasia milik organisasi. Kasus terbaru kebocoran
data oleh pihak internal berskala besar menimpa National Security Agency
(NSA) di Amerika, dimana data rahasia milik NSA dibocorkan oleh Erdward
Snowden yang merupakan orang dalam yang dulunya bekerja untuk CIA
dan NSA. Kasus kebocoran data oleh pihak dalam juga terbukti
menimbulkan kerugian yang sangat besar. Sebagai contoh kasus yang
terjadi pada Bank of America ditahun 2011 dimana pegawainya mencuri
data pribadi pelanggan dan menimbulkan kerugian sebesar 10 juta dollar.
(Goodin, 2011)
Ditangan pegawai yang kurang memiliki pengetahuan, kurang hati-hati,
atau merasa tidak puas pada perusahaan, setiap perangkat yang bisa
mengakses data perusahaan menjadi berpotensi membahayakan properti
intelektual dan data sensitif perusahaan atau organisasi. Penemuan
terbaru menunjukkan bahwa ancaman orang dalam berpotensi
menimbulkan kerugian finansial yang lebih besar daripada serangan dari
pihak luar organisasi. Kekhawatiran akan ancaman pihak internal ini
1

tercermin dalam penelitian yang dilakukan oleh Cisco sebuah perusahaan

keamanan terkemuka di dunia. Berdasar jurnal yang diterbitkannya (Cisco
Corporation, 2008) 33% ahli IT memiliki kekhawatiran tinggi akan
pencurian ataupun kehilangan data melalui perangkat USB, 39 % khawatir
akan ancaman kebocoran data dari para pegawainya daripada peretas
eksternal, dan 27 %mengakui tidak tahu menahu mengerai tren dari
insiden kebocoran data selama beberapa tahun belakangan.
Dalam penanggulangan kebocoran data oleh pihak dalam, diperlukan
pemahaman mendalam akan hal-hal yang berpontensi menjadi ancaman
kebocoran dan penanggulangan aktif oleh pihak perusahaan atau
organisasi.

PEMBAHASAN
1.1

Pengertian dan Sumber Ancaman Internal

Ancaman internal didefinisikan sebagai Pegawai, mantan pegawai,

kontraktor, atau rekan bisnis lainnya yang memiliki kewenangan untuk

mengakses jaringan, sistem, atau data organisasi dan dengan sengaja
melanggar ataupun meyalahgunakan kewenangannya sehingga
memberikan dampak negatif pada kerahasiaan, integritas, atau
ketersediaan informasi organisasi dan sistem informasi (Cappelli et al.
2012).
Sumber-sumber ancaman internal ini secara signifikan timbul akibat
kurangnya kesadaran, kehati-hatian dan penyimpangan di dalam
organisasi. (Cisco Corporation, 2008). Berikut uraian sumber-sumber
ancaman internal:
1. Kurangnya Kesadaran
Kebocoran data sering terjadi dari perilaku tidak hati-hati pegawai yang
tidak sadar bahwa apa yang mereka lakukan tidak aman. Hal ini sering
terjadi akibat kurangnya implementasi peraturan perusahaan atau
kurangnya sosialisasi peraturan kepada pegawai. Di lain kasus, para
professional dibidang IT terlalu berlepas tangan dan mengaharap para
pegawainya akan bertindak hati-hati dengan sendirinya. Berdasarkan
penelitian 43 % para ahli IT menyatakan mereka tidak memberikan
pelatihan memadai pada pekerjanya, dan 19% menyatakan mereka
tidak mensosialisasikan perturan keamanan dengan baik pada
pekerjanya.
2. Kurangnya Kehati-hatian
Contoh umum kurangnya sikap hati-hati karyawan adalah berbicara
ditempat umum mengenai informasi perusahaan yang bersifat rahasia,
lupa untuk mematikan laptop setelah digunakan, menyimpan ataupun
mengekspos password perangkat perusahan tanpa terlindungi, dan
mengakses website yang tidak sah melalui perangkat perusahaan.
Ancaman paling besar khususnya datang dari karyawan yang
kehilangan perangkat perusahaan seperti laptop, handphone, dan
3

hardisk portable yang mengandung data perusahaan. Pesatnya

perkembangan portable hardisk yang berkapasitas semakin besar
memberikan peluang kebocoran data yang lebih besar lagi di kemudian
hari bagi perusahaan.
3. Perilaku Menyimpang Karyawan
Pegawai yang tidak puas akan apa yang perusahaan atau organisasi
berikan padanya cenderung melakukan penyimpangan-penyimbangan
yang bersifat mencari keuntungan untuk dirinya sendiri. Pegawai yang
memiliki motif buruk untuk mencari keuntungan dapat menggunakan
status dan kewenangannya sebagai pegawai untuk mendapatkan
akses data perusahaan dan berpotensi menimbulkan kerugian yang
jauh lebih besar daripada ancaman peretas luar. Berdasarkan
penelitian lebih lanjut oleh cisco corporation ditemukan fakta
mengejutkan bahwa 11% pegawai mengaku bahwa rekan kerjanya
mengakses informasi diluar kewenangannya dan menjualnya untuk
mendapat keuntungan. Berikut tabel mengenai akses tidak sah atas
data perusahaan berdasarkan survey cisco di 10 negara

Tabel 1. Pencurian atau Akses Ilegal Data Perusahaan dan Sumber Lainnya

Sumber:ttp://www.cisco.com/en/US/solutions/collateral/ns170/ns896/ns
895/white_paper_c11-506224.html

3.2

POLA UTAMA DAN PROSES KEBOCORAN DATA INTERNAL

Berdasarkan penelitian terdahulu berikut dipaparkan 3 pola utama

kebocoran data internal (Jiangjiang Wu, 2011) seperti pada bagan berikut:
Figure 1 Tipikal Pola Kebocoran Data

1. Data bocor melaui proses satu ke proses lain yang mengakses

dokumen sensitif melalui saluran inter-process data dan tertulis
pada domain tidak aman oleh proses lain. Saluran tersebut
termasuk ruang penyimpanan bersama, saluran pesan, dan saluran
komunikasi.
2. Trusted process perlu untuk melewati domain yang aman dan juga
yang tidak aman untuk melaksanakan fungsingnya, yang berujung
pada kebocoran data. Contohnya, program Microsoft word perlu
untuk membuat cache sementara untuk file yang sedang di edit di
dalam file sementara di sistem, dan file sementara dapat
mengakibatkan kebocoran data sensitif.
3. Suatu proses mengakses file sensitif, lalu mengakses suatu jaringan
atau perangkat USB yang berujung pada kebocoran data.
Adapun proses kebocoran data oleh MC Cornick dikarakteristikan menjadi
3 tahap yaitu: mendapatkan akses, mengunduh data, dan
menyebarluaskan data (2008).

3.3

LANGKAH PENCEGAHAN

Mencegah kebocoran data oleh pihak internal tidaklah mudah, namun

hal ini bisa dilakukan dengan beberapa langkah pencegahan berikut:
1. Menanamkan Kesadaran Akan Pentingnya Kemanan Data
Perusahaan Perusahaan perlu menanamkan dan membudayakan
pegawai untuk sadar akan pentingnya keamanan data perusahaan
sehingga hal itu menjadi suatu yang normal dan menjadi kebiasaan
karyawan untuk selalu berhati-hati. Manager IT juga perlu
memberikan edukasi mengenai pentingnya Edukasi lebih lanjut
diperlukan bagi karyawan untuk membuat password yang aman
untuk perangkat yang digunakannya, seperti mengindari tanggal
lahir ataupun nama sebagai password.
2. Membangun Sistem Internal Perusahaan Yang Aman
Membangun sistem keamanan langsung pada proses bisnis seperti
password dan pengamanan berganda pada data-data rahasia dan
penting milik perusahaan. Untuk pencegahan lebih lanjut kubah
data di buat sebagai suatu server khusus yang hanya bisa diakses
melalui satu saluran dengan satu pintu masuk dan satu pintu keluar.
Kubah data ini dilindungi oleh pengamanan berganda dengan
firewall, VPN, kontrol akses, dan ekrispsi. Sekarang ini banyak
berkembang piranti lunak Data Loss Prevention (DLP) yang
dikembangkan oleh penyedia jasa keamanan seperti Kapersky,
Mcafee, Symantec, atau Cisco. Sistem yang aman akan melindungi
data dari ancaman peretas ataupun penyalahgunaan oleh pegawai.
3. Pengawasan Ketat Terhadap Akses Data
Perusahaan harus memastikan password akses data perusahaan
diganti secara berkala. Akses terhadap data di lindungi dengan
ketat dari akses ilegal dan di monitor dengan seksama. Perusahaan
sebaiknya mencatat seluruh aktivitas pengaksesan data sehingga
perusahaan dapat mengetahui dengan pasti siapa yang mengakses
dan apa yang diaksesnya.

4. Menciptakan, Mensosialisasikan, dan Penegakan Peraturan

Keamanan
Agar akses data menjadi teratur dan terintegrasi diperlukan SOP
mengenai akses data perusahaan secara jelas dan mengikat.
Sosialisasi mengenai SOP tersebut harus menyeluruh kepada
seluruh pegawai dan penegakannya juga harus dilakukan dengan
tegas agar pegawai tidak menggunakan wewenangnya secara tidak
bertanggung jawab. Risiko penyalahgunaan dan kebocoran secara
tidak sengaja secara signifikan akan berkurang dengan
pengimplementasian peraturan dan teknologi yang tepat dan
efektif.
KESIMPULAN
Masalah kebocoran data yang selama ini marak terjadi dapat di
minimalisir apabila langkah-langkah pencegahan yang telah di paparkan
dilakukan dengan baik oleh perusahaan atau organisasi. Lebih lanjut lagi
pihak perusahaan atau organisasi harus senantiasa menjaga
perusahaannya tetap berada dalam koridor etik yang baik dan tidak
melanggar nilai-nilai yang ada dalam praktik kerjanya. Praktik kerja
ataupun langkah tidak etis organisasi dapat menimbulkan whistle blower
lainnya seperti Erdward Snowden yang membocorkan data NSA ke publik
karena NSA melanggar kode etik privasi yang ada. Dengan langkah
preventif yang tepat, sosialisasi yang baik, dan integrasi karyawan pada
nilai-nilai perusahaan yang kuat, kebocoran data oleh pihak internal dapat
ditekan dan kredibilitas serta kerahasiaan perusahaan dan organisasi
dapat terjaga dengan baik.

Bibliography

(n.d.). Retrieved 12 2013, from ITBusinessEdge:

http://www.itbusinessedge.com/slideshows/show.aspx?
c=82733&slide=6

Cisco Corporation. (2008). Data Leakage Worldwide: The High Cost

of Insider Threats , 2.

Cisco Corporation. (2008). Data Leakage Worldwide. The High Cost

of Insider Threats , 1.

Goodin, D. (2011). Insider data theft costs Bank of America $10m.

Retrieved 12 2013, from The Register:
http://www.theregister.co.uk/2011/05/26/bank_of_america_insider_th
eft/

Jiangjiang Wu, J. Z. (2011). An Active Data Leakage Prevention

Model for Insider Threat , 40.

http://www.mcafee.com/us/resources/solution-briefs/sb-protecting-

information-insider-threats.pdf
http://www.symantec.com/products-solutions/families/?fid=data-

loss-prevention
http://www.isaca.org/KnowledgeCenter/Research/ResearchDeliverables/Pages/Data-LeakPrevention.aspx

10