SEKOLAH POLITIK DAN KOMUNIKASI

INDONESIA

KEAMANAN SIBER
DAN DEMOKRASI
HACKING, LEAKING, AND DOXING?

Ismail Fahmi, Ph.D.

Director Media Kernels Indonesia (Drone Emprit) SEKOLAH POLITIK
Lecturer at the University of Islam Indonesia 21 SEPTEMBER 2021
Ismail.fahmi@gmail.com
 Ismail Fahmi, Ph.D.
Ismail.fahmi@gmail.com
Lahir: Bojonegoro, 1974
Founder Media Kernels Indonesia

1992 – 1997 S1, Teknik Elektro, ITB

2003 – 2004 S2, Information Science, Universitas Groningen, Belanda
2004 – 2009 S3, Information Science, Universitas Groningen, Belanda

2000 – 2003 Inisiator IndonesiaDLN (Digital Library Network pertama di Indonesia)

Mengembangkan Ganesha Digital Library (GDL)
Mendirikan Knowledge Management Research Group (KMRG) ITB
Membangun Digital Library ITB

2009 – Sekarang Engineer di Weborama, Perusahaan berbasis big data (Paris/Amsterdam)

2014 – Sekarang Founder PT. Media Kernels Indonesia, a Drone Emprit Company
2015 – Sekarang Konsultan Perpustakaan Nasional, Inisiator Indonesia OneSearch
2017 – Sekarang Dosen Tetap Magister Teknik Informatika Universitas Islam Indonesia

2
AGENDA

• Keamanan siber terhadap data pribadi.

• Hacking and Leaking.
• Buzzer, doxing, dan kebebasan berpendapat
• Case: Ravio Patra

3
TENTANG KAMI:
MEMISAHKAN SINYAL DARI NOISE
SISTEM ‘AIS’ KOMINFO

5
PUSDATIN KEMENHAN

Presiden Jokowi
SERVICE: COMMAND CENTER JAWA BARAT

DRONE EMPRIT

DRONE EMPRIT

7
DATA PRIBADI
PASAL 3 RUU PDP (PELINDUNGAN DATA
PRIBADI)
1. Data Pribadi terdiri atas:
a. Data Pribadi yang bersifat umum; dan
b. Data Pribadi yang bersifat spesifik.
2. Data Pribadi yang bersifat umum
sebagaimana dimaksud pada ayat (1) huruf a
meliputi:
a. nama lengkap;
b. jenis kelamin;
c. kewarganegaraan;
d. agama; dan/atau
e. Data Pribadi yang dikombinasikan
untuk mengidentifikasi seseorang.
3. Data Pribadi yang bersifat spesifik
sebagaimana dimaksud pada ayat (1) huruf b
meliputi:
a. data dan informasi kesehatan;
b. data biometrik;
c. data genetika;
d. kehidupan/orientasi seksual;
e. pandangan politik;
f. catatan kejahatan;
g. data anak;
h. data keuangan pribadi; dan/atau
i. data lainnya sesuai dengan ketentuan
peraturan perundang-undangan.
9
PARA PIHAK TERKAIT DATA PRIBADI
(PASAL 1 RUU PDP)
• Pengendali Data Pribadi:
• adalah pihak yang menentukan
tujuan dan melakukan kendali Pemilik
Data Pribadi
pemrosesan Data Pribadi.
• Prosesor Data Pribadi:
• adalah pihak yang melakukan
pemrosesan Data Pribadi atas Pengendali Prosesor
nama Pengendali Data Pribadi. Data Pribadi Data Pribadi
• Pemilik Data Pribadi:
• adalah orang perseorangan selaku
subyek data yang memiliki Data
Pribadi yang melekat pada dirinya.

10
DOKUMEN PRIBADI: KTP & KK

• Dokumen pribadi yang paling

sering dijadikan syarat untuk
dikumpulkan oleh prosesor:
• EKTP
• Kartu Keluarga
• Keduanya mengandung data
pribadi yang bersifat:
• Umum (nama, jenis
kelamin,
kewarganegaraan,
agama).
• Spesifik (lainnya).

11
KEAMANAN SIBER TERHADAP
DATA PRIBADI
PRAKTEK OLEH PEMERINTAH
PRAKTEK OLEH PEMERINTAH (2)

14
PRAKTEK OLEH SWASTA

15
KEBOCORAN DATA:
JUAL BELI FOTO KTP & SELFIE KTP

16
PENGUSUTAN JUAL BELI DATA PRIBADI: TIDAK
MUDAH DITEMUKAN

17
SAY NO TO FOTO/COPY KTP
Case 1 Case 2
SAY NO TO FOTO/COPY KTP
Case 3 Case 4
HACKING & LEAKING
DATA USER TOKOPEDIA BOCOR
91 JUTA RECORD

21
TOKOPEDIA MENJAMIN PASSWORD AMAN

22
PASSWORD AMAN, TETAPI DATA LAINNYA
TIDAK AMAN

• Email
• Nama lengkap
• Gender
• Tanggal Lahir
• Alamat
• No HP
• Pekerjaan
• Perusahaan
• Sekolah
• Hobi

23
MEMANFAATKAN DATA TOKOPEDIA:
LINKED DATA, DATA ENRICHMENT

SEARCH: TOKOPEDIA: REGISTRASI No. HP: DUKCAPIL:

• Email • Email • No HP • NIK
• Nama • Nama lengkap • NIK • Data E-KTP
• Tanggal Lahir • Gender • Data Kartu Keluarga
• Tanggal Lahir
• Alamat
• No HP
• Pekerjaan
• Perusahaan
• Sekolah
• Hobi

24
KEBOCORAN DATA LAINNYA: BPJS, BL, DLL

25
279 JUTA DATA BPJS: LINKED DATA

26
KEMUNGKINAN PEMANFAATAN
DATA PRIBADI
• Seller fiktif
• Phishing dan scamming via email dan web palsu
• Penipuan via telephone
• Telemarketing dan online marketing
• Membajak akun media sosial
• Pinjaman online

27
TIPS: AWAS LINK DI SMS, EMAIL, WA, DM

28
KESIMPULAN KEADAAN PDP DI INDONESIA

• Pengumpulan fotokopi KTP, dan sekarang selfie dengan KTP, yang

berisi data pribadi umum dan spesifik sepertinya sudah menjadi
budaya, diterima oleh masyarakat, dan mayoritas tidak keberatan.
• Praktek ini sangat berbahaya bagi Pelindungan data pribadi,
karena:
• dokumen pribadi tercecer dimana-mana,
• tidak jelas siapa yang tanggung jawab,
• jika server dihack, semua dokumen pribadi bisa dicopy,
• dan kebocoran sudah terjadi, data dijual di media sosial secara
terbuka.

29
LANJUTAN…

• Ketika terjadi kebocoran data, tidak ada tuntutan kepada prosesor

(perusahaan) untuk:
• Mengingatkan kepada semua klien tentang:
• Kemungkinan pemanfaatan data yang bocor seperti scam,
phishing, seller palsu, dll.
• Tidak hanya bilang bahwa password/login aman
• Langkah-langkah yang harus dilakukan user untuk waspada
kemungkinan kejahatan lain yang memafaatkan data bocor.
• Membuka crisis center bagi pengguna yang mengalami insiden
kemungkinan karena data bocor.
• Negara perlu hadir dalam melindungi data pribadi warga.

30
PDP DI BERBAGAI NEGARA
32
GDPR: TEGAS, YANG MELANGGAR DIDENDA

33
DENDA KEPADA AGENCY PEMERINTAH

34
NATIONAL REVENUE AGENCY, BULGARIA
(CONTROLLER)

• internal procedures,
activities and
processing,
• as a data controller,
• has not implemented
the appropriate
technical and
organizational
measures,
• resulting in a data
breach: personal data
• Denda: EUR
2,600,000

35
BELANDA: DIGID.NL (SINGLE SIGN ON)

36
DIGID.NL DIKERJAKAN OLEH KONSORSIUM
(SIEMENS & DIGIDENTITY), DI BAWAH KEMDAGRI

37
DIGID.NL: CARA KERJA SINGLE SIGN ON

Layanan

Warga Pelanggan

Layanan

https://logius.nl/

38
 KONSEP DIGID.NL
Warga Pelanggan

Bantuan dan
verifikasi kalau Dukcapil
ada masalah
melalui Call
Center, bukan
kirim foto/ selfie
KTP melalui
WA/Email. Digid.nl

https://logius.nl/

39
SISTEM SSO DI BERBAGAI NEGARA

https://www.ru.nl/publish/pages/769526/z02_masterthesis_floris_roelofs_final.pdf 40
PRAKTEK IDEAL PENGGUNAAN DATA PRIBADI

• Negara-negara maju yang sudah menerapkan GDPR, memegang tujuh

prinsip berikut:
• Transparan dengan data,
• Terbatas pada data yang dibutuhkan,
• Membatasi menyimpan data,
• Data harus akurat,
• Membatasi penyimpanan data pribadi,
• Integritas dan kerahasiaan data dijaga,
• Akuntabel.
• Untuk menghindari data tercecer di banyak prosesor data (pengumpul,
penyimpan, pengolah data), mereka membuat layanan SSO (single sign
on), sehingga verifikasi kependudukan dilakukan terpusat.
• Tidak ada praktek pengumpulan foto/selfie KTP baik di institusi
pemerintahan maupun swasta karena itu melanggar prinsip GDPR.
41
USULAN TERKAIT PERLINDUNGAN DATA
PRIBADI
1. Bangun sistem SSO (single sign on) yang berbasis data Dukcapil, untuk
keperluan verifikasi warga dalam berbagai aplikasi pemerintah, instansi,
dan perusahaan baik di pusat maupun daerah yang diakses melalui
internet.
2. Institusi yang paling tepat membuat layanan SSO ini adalah Kementerian
Dalam Negeri yang mengelola database Dukcapil.
3. Untuk warga yang tidak bisa akses internet, mereka bisa verifikasi melalui
call center, atau dengan langsung dengan datang ke petugas layanan
(misal kelurahan, bank, dll) tanpa perlu membawa fotokopi dokumen
identitas, karena sistem sudah terintegrasi dengan sistem Dukcapil.

42
KEAMANAN SIBER DAN DEMOKRASI
CASE STUDY “RAVIO PATRA”
PEMBOBOLAN WHATSAPP RAVIO PATRA

44
 NETIZEN DAN PENANGKAPAN RAVIO PATRA

• Percakapan langsung melonjak

setelah kabar Ravio ditangkap oleh
Polisi menyebar di Twitter, dituduh
melakukan penghasutan via
Whatsapp.
• Perhatian netizen sangat tinggi,
setidaknya, selama dua hari
percakapan tentang Ravio terjaga di
atas 20 ribu mention
Ravio ditangkap

• Kronologi penangkapan
• #BebaskanRavio
• WA Ravio diretas
• Ravio dibebaskan

• Dibandingkan dengan
HRS
 PRO-KONTRA
SNA PENANGKAPAN RAVIO PATRA

Pro Penangkapan
Ravio

Kontra
Membandingkan dg Penangkapan Ravio
kasus Habib Rizieq

Narasi Kontra Penangkapan Ravio: § WA Ravio tidak diretas

§ Pembungkaman aktivis § Ravio menghasut tindak
§ Terencana kerusuhan
§ Terkait kritik pada pemerintah
§ Terkait kritik pada Billy
Mambrasar Media Massa?
Lebur dalam percakapan kontra
penangkapan
MEKANISME BUZZER DALAM MENYERANG
PRIBADI
• Misi untuk menyerang pribadi sering terjadi dan menimbulkan kekhawatiran banyak pihak atas
kebebasan berpendapat dan berekspresi di ranah digital.
• Metode yang paling sering digunakan untuk misi ini adalah:
• Doxing, yaitu mencari informasi private tentang seseorang, lalu dibuka di kanal media sosial
atau media online, dengan tujuan yang jahat untuk menyerang orang tersebut. Informasinya
bisa benar, namun jika dibuka di Internet akan merugikan korban.
• Disinformasi, yaitu membuat dan menyebarkan informasi yang tidak benar tentang
seseorang dengan tujuan untuk meneror atau membangun opini negatif publik terhadap
korban.
• Peretasan (biasanya bukan oleh buzzer), yaitu mendapatkan akses terhadap akun media
sosial korban, dengan tujuan untuk meneror, membungkam korban, mengirim pesan melalui
akun korban, atau mengetahui informasi private yang dimiliki korban lalu kadang
membukanya di Internet.
• RAS (Report as Spam), yaitu ramai-ramai melaporkan sebuah akun agar disuspend oleh
platform.
• Untuk serangan dengan konten yang mengandung disinformasi, biasanya dilakukan
menggunakan akun bot atau anonim, dengan tujuan tidak bisa dilacak atau dikenai hukuman.
Setelah pesan mulai viral, postingan asli dihapus, lalu bot atau akun anonim tersebut ditutup
atau diganti namanya.

47
MELINDUNGI KORBAN DOXING/FITNAH

• Korban dari kejatahan digital oleh buzzer (cyber troop) dan bot
(computational propaganda) tak jarang harus menutup akunnya, menjadi
takut berpendapat dan berekspresi di ranah digital, dan kadang
kehidupan sehari-harinya ikut terancam atau terdampak.
• Dukungan netizen di media sosial yang jauh lebih besar dibandingkan
serangan fitnah bisa menolong dan sangat berarti bagi korban.
• Pendampingan terhadap korban oleh lembaga dan organisasi yang
bergerak dalam menangani korban kejahatan siber juga sangat diperlukan.
Misal oleh LBH, SafeNet, dll.
• Di sisi pemerintah melalui kepolisian, jika ada serangan fitnah atau
disinformasi terhadap korban, maka pengusutan atas fitnah dan
disinformasi tersebut, serta bantuan klarifikasi akan sangat membantu
korban.

48
THANK YOU FOR LISTENING

49