SERANGAN SIBER DAN

PERLINDUNGAN DATA PRIBADI

M Novel Ariyadi, 25 September 2021
DISKUSI PUBLIK PENINGKATAN KESADARAN MASYARAKAT
ABOUT ME : M. NOVEL ARIYADI

▪ Treasury and Co-Founder ICSF (Indonesia Cyber Security Forum)

▪ Director of Cybersecurity BDO in Indonesia
▪ 20+ years experience in cybersecurity industry
▪ Education :
▪ Bachelor degree in Electrical Engineering
▪ Master degree in Public Policy

▪Hold several well known cybersecurity certifications: CISSP, CISA, CDPSE, CEH, etc
AGENDA

BAHAYA SERANGAN SIBER KERENTANAN PADA RUANG KERANGKA MITIGASI DAN

SIBER DAN MODUS OPERANDI LANGKAH PRAKTIS
BAHAYA SERANGAN SIBER
 SITUASI MASYARAKAT MENJELANG PANDEMI : MENUJU “DATA DRIVEN
SOCIETY” YANG DI DORONG TRANSFORMASI DIGITAL

“jejak digital yang kita tinggalkan setiap

hari mengungkapkan lebih banyak tentang
kita daripada kita yang kita tahu.
Ini bisa menjadi mimpi buruk privasi - atau
bisa jadi fondasi dunia yang lebih sehat
dan lebih makmur.”
(Alex “Sandy” Pentland, the Toshiba Professor at
MIT)

Transformasi digital seolah menjadi

keharusan pada masyarakat berbasis
data.
PANDEMI COVID19 TELAH MEMAKSA PERCEPATAN TRANSFORMASI
DIGITAL DAN “MEMPERLUAS” RUANG SIBER.

Survey dan laporan McKinsey & Company tahun 2020 dengan judul:
“How COVID-19 has pushed companies over the technology tipping point—and transformed business forever“
BAHKAN PERUSAHAAN YANG MENGALAMI PENURUNAN PENDAPATAN
PUN TETAP MELAKUKAN TRANSFORMASI DIGITAL UNTUK SURVIVAL

Survey dan laporan McKinsey & Company tahun 2020 dengan judul:
“How COVID-19 has pushed companies over the technology tipping point—and transformed business forever“
SETELAH PANDEMI MASYARAKAT SEMAKIN BERGANTUNG PADA
RUANG SIBER TANPA KESIAPAN DAN KEWASPADAAN MENGHADAPI
RISIKO SERANGAN SIBER
BIAYA

TRANSFORMASI
DIGITAL

MANFAAT RISIKO
https://kaplan.co.uk/insights/article-detail/insights/2020/08/06/cyber-crime-and-
digital-transformation
SERANGAN
SIBER
SERANGAN SIBER BAGI INDIVIDU
 TAK PERNAH MENGAJUKAN PINJAMAN TAPI DAPAT TAGIHAN

https://www.kompas.com/tren/read/2021/04/27/203000165/awas-pencurian-data-
pribadi-untuk-pinjaman-online-begini-cara-melindunginya?page=all
 TAK PERNAH BUAT KARTU KREDIT TAPI DITEROR PENAGIH HUTANG
(DEBT COLLECTOR)

https://www.kompas.com/tren/read/2021/04/25/131000565/waspadai-pencurian-data-
ktp-untuk-pinjaman-online-berikut-cara
TERTIPU IDENTITAS PALSU DI SOCIAL MEDIA

https://jabar.inews.id/berita/menyamar-jadi-wanita-cantik-di-facebook-pria-ini-lakukan-penipuan-raup-rp250-juta
IDENTITAS DICURI UNTUK BELI MOBIL MEWAH

https://kumparan.com/kumparanvideo-admin/kuli-bangunan-nunggak-pajak-rolls-royce-1sIUEn4sMGf
 RISIKO SERANGAN SIBER BAGI
SEKTOR PUBLIK DAN SEKTOR PRIVAT
RANSOMWARE: DATA “DIGEMBOK” DAN TAK
DAPAT DIAKSES HINGGA BAYAR TEBUSAN
DATA-DATA KESEHATAN PASIEN DIKUNCI OLEH RANSOMWARE
SEHINGGA TAK DAPAT DIBUKA KECUALI DENGAN TEBUSAN, 2017
MAYBANK DIDUGA TERSERANG RANSOMWARE YANG BERAKIBAT
NASABAH TAK DAPAT MELAKUKAN TRANSAKSI FINANSIAL, 2021
SERANGAN CYBER ESPIONAGE PADA KEMENTERIAN DAN LEMBAGA
COLONIAL PIPELINE CASE
DARKSIDE MELAKUKAN SERANGAN SIBER YANG MENYEBABKAN SUPLY GAS BERHENTI KE 9 NEGARA BAGIAN
DI AMERIKA SERIKAT PADA TANGGAL 7 MEI 2021
COLONIAL PIPELINE ADALAH PERUSAHAAN
PENYEDIA MINYAK DAN GAS TERBESAR DI US
Colonial Pipeline adalah perusahaan
memiliki yang jaringan pipa terbesar
untuk produk minyak olahan di AS.
Pipa bergerak melalui negara-negara
pantai Texas, Louisiana, Mississippi,
Alabama, Georgia, South Carolina,
North Carolina, Virginia, Maryland,
Delaware, Pennsylvania, dan New
Jersey.
COLONIAL PIPELINE CASE
PEMERINTAH AMERIKA MENETAPKAN SITUASI EMERGENSI DAN MENGELUARKAN EXECUTIVE ORDER

Pemerintah AS mengumumkan kondisi darurat nasional

setelah pipa bahan bakar terbesar mereka jadi target
serangan siber.

The Colonial Pipeline membawa 2,5 juta barel per hari,

memasok 45 persen kebutuhan jet maupun diesel di East
Coast. Pada Jumat (7/5/2021), faslitas itu lumpuh oleh grup
kriminal siber dan saat ini tengah dalam proses pemulihan.
 COLONIAL PIPELINE CASE
COLONIAL PIPELINE MEMBAYAR $4.4M KEPADA PELAKU KEJAHATAN AGAR DAPAT BEROPERASI KEMBALI

"I know that's a highly

controversial decision,"
Joseph Blount said in his first
interview since the hack.
The 5,500-mile (8,900-km)
pipeline carries 2.5 million
barrels a day.

According to the firm, it

carries 45% of the East
Coast's supply of diesel,
petrol and jet fuel.
(BBC, 19 May 2021)

The Justice Department has recovered most of a multimillion-dollar ransom payment

made to hackers after a cyberattack that caused the operator of the nation’s largest
fuel pipeline to halt its operations last month, officials said Monday.

The operation to seize cryptocurrency paid to the Russia-based hacker group is the
first of its kind to be undertaken by a specialized ransomware task force created by the
Biden administration Justice Department. It reflects a rare victory in the fight against
ransomware as U.S. officials scramble to confront a rapidly accelerating threat
targeting critical industries around the world. (Associated Press, June 7 2021)
COLONIAL PIPELINE CASE
COLONIAL PIPELINE KEMBALI BEROPERASI SETELAH NEGOSIASI DAN MEMBAYAR RANSOM PADA PELAKU
KEJAHATAN
KERENTANAN PADA RUANG SIBER
DAN MODUS OPERANDI
 ADA TIGA FAKTOR PADA RUANG SIBER YANG MEMBEDAKAN
KEJAHATAN SIBER DENGAN KEJAHATAN PADA UMUMNYA

▪ MUDAH MEMBUAT
IDENTITAS
▪ MUDAH DIPALSUKAN
1 IDENTITAS ▪ MUDAH DICURI

▪ MUDAH DIGANDAKAN
PENGGANDAAN MUDAH ▪ MUDAH DISALIN
2
ASET INFORMASI DIMANIPULASI ▪ TAK ADA “DELETE BUTTON”
DI INTERNET

3 LOKASI ▪ MUDAH DIPALSUKAN

▪ MUDAH DISEMBUNYIKAN
DATA YANG SUDAH TERPUBLIKASI DI INTERNET NYARIS MUSTAHIL
DIHAPUS, HAL INI MENGUNTUNG PARA PELAKU KEJAHATAN

BERBAGAI DUGAAN PENCURIAN DATA PRIBADI ANTARA 2020 - 2021

DATA PRIBADI ADALAH “HARTA KARUN” BAGI PELAKU SERANGAN
SIBER SEBAGAI PEMBUKA LANGKAH SERANGAN BERIKUTNYA
 PENCURIAN IDENTITAS DAN DATA PRIBADI MERUPAKAN
LANGKAH PEMBUKAAN BAGI SERANGAN SIBER BERIKUTNYA

EMAIL PENCURIAN DATA

PHISING MALICIOUS MALICIOUS
EMAIL DOMAIN (CYBER ESPIONAGE)

TRANSAKSI ILEGAL
(MONEY THEFT)
PENCURIAN
AKSES
IDENTITAS
ILEGAL
DIGITAL PENYANDERAAN DIGITAL
(CYBER EXTORTION)

PEMALSUAN DOKUMEN
BERAWAL DARI PEMALSUAN IDENTITAS UNTUK MENDAPATKAN SIM
CARD HINGGA MEMBAJAK APLIKASI MOBILE BANKING
PEMALSUAN IDENTITAS DIDAPAT DENGAN MEMBELI DARI SINDIKAT
PENJUAL DATA NASABAH YANG DIJUAL OLEH OKNUM PEGAWAI BANK
MODUS OPERANDI PEMBOBOLAN REKENING MILIK ILHAM BINTANG
 KERANGKA MITIGASI
DAN LANGKAH PRAKTIS
 PERLINDUNGAN DATA PRIBADI :
LANGKAH AWAL UNTUK MELINDUNGI WARGA DARI SERANGAN SIBER

▪ UU ITE memang belum memuat aturan

perlindungan data pribadi secara
khusus, hal tersebut didefinisikan pada
Pasal 26 ayat 1 beserta penjelasannya.
▪Definisi data pribadi menurut Pasal 26
ayat (1) UU 19/2016:
Kecuali ditentukan lain oleh peraturan
perundang-undangan, penggunaan
setiap informasi melalui media
elektronik yang menyangkut data
pribadi seseorang harus dilakukan atas
persetujuan Orang yang bersangkutan
https://www.kompas.id/baca/polhuk/2021/03/23/kepala-bssn-melindungi-data-
pribadi-warga-amanat-konstitusi/
PERLINDUNGAN DATA PRIBADI ADALAH HAK PRIBADI
(PRIVACY RIGHT) YANG DILINDUNGI UNDANG-UNDANG
DATA PRIBADI MENURUT REGULASI (PERMENKOMINFO NO.20/2016)
TENTANG PERLINDUNGAN DATA PRIBADI DALAM SISTEM ELEKTRONIK
 DATA-DATA PRIBADI YANG DILINDUNGI UNDANG-UNDANG
DATA
KEPENDUDUKAN
- Nomor KK
- NIK
- Tanggal/bulan/tahun lahir
- Keterangan kecacatan fisik/mental
- NIK Ibu Kandung
- NIK Ayah
Pasal 84 ayat (1) dan Pasal 85 UU
No. 23 Tahun 2006 tentang
Administrasi Kependudukan.
Pasal 17 huruf h UU No.14 Tahun
2008 tentang Keterbukaan Informasi
Publik (KIP)
DATA PRIBADI
DATA KESEHATAN
DATA PENDIDIKAN
- Riwayat dan kondisi anggota
keluarga;
- Riwayat, kondisi dan perawatan,
pengobatan kesehatan fisik, dan
- catatan yang menyangkut pribadi
psikis seseorang
seseorang yang berkaitan dengan
- Rekam Medis
kegiatan satuan pendidikan formal
dan satuan pendidikan nonformal.
UU Praktek Kedokteran
Pasal 17 huruf h UU No.14 Tahun (UU No.29/2004) Pasal 46 Ayat 1
2008 tentang Keterbukaan Informasi
Publik (KIP) Pasal 17 huruf h UU No.14 Tahun
2008 tentang Keterbukaan Informasi
Publik (KIP)
DATA KEUANGAN
- Nasabah Penyimpan
- Simpanannya
- kondisi keuangan, aset, pendapatan,
dan rekening bank seseorang
Pasal 1 angka 28 Undang-Undang
Nomor 7 Tahun 1992 tentang
Perbankan (“UU Perbankan”)
sebagaimana telah diubah dengan
Undang-Undang Nomor 10 Tahun 1998
tentang Perubahan Atas Undang-
Undang Nomor 7 Tahun 1992 tentang
Perbankan (“UU 10/1998”)
Pasal 17 huruf h UU No.14 Tahun
2008 tentang Keterbukaan Informasi
Publik (KIP)
PRINSIP-PRINSIP PENGELOLAAN DATA PRIBADI YANG AMAN, BESERTA
HAK DAN KEWAJIBAN ANTARA PSE DAN PENGGUNA SEDANG DI BAHAS
DALAM RUU PERLINDUNGAN DATA PRIBADI (RUU PDP) OLEH DPR
LEMBAGA PENGAWAS REGULATOR

Memberi izin untuk mengelola data pribadi

PEMILIK PENYELENGGARA
DATA PRIBADI Meminta izin untuk mengelola data pribadi SISTEM ELEKTRONIK

PENGENDALI PROSESOR
DATA PRIBADI DATA PRIBADI
HAK PEMILIK DATA PRIBADI
KEWAJIBAN PENGELOLA
DATA PRIBADI

PERAN SERTA MASYARAKAT DALAM PERLINDUNGAN DATA PRIBADI

PENYELESAIAN SENGKETA

SANKSI DAN LARANGAN

PRINSIP PEMROSESAN DATA PRIBADI

 PRINSIP UMUM PEMROSESAN DATA PRIBADI

1 LAWFUL, FAIR AND TRANSPARENT 5 STORAGE LIMITATION

2 PURPOSE LIMITATION 6 CONFIDENTIALITY

3 DATA MINIMIZATION 7 INTEGRITY

4 ACCURACY
 PENGAMANAN DATA PRIBADI MELIBATKAN KERJASAMA ANTARA:
REGULATOR, PENGELOLA SISTEM ELEKTRONIK DAN PENGGUNA

ADIL
REGULATOR TEGAS

KOMPETEN
WASPADA
TANGGUNG
JAWAB PERLINDUNGAN
DATA PRIBADI
PERILAKU
ONLINE YANG
AMAN
PENYELENGGARA
SISTEM ELEKTRONIK PENGGUNA
SISTEM ELEKTRONIK
YANG MENERAPKAN
STANDARD DAN BEST
PRACTICE DI INDUSTRI MOBILE
KEAMANAN SIBER APPLICATION

SECURITY POLICY API HUMAN STANDARD ADALAH

RESOURCES
SECURITY LANGKAH AWAL UNTUK
ORGANIZATION
OF INFORMATION MELINDUNGI DATA PRIBADI
SECURITY
MIDDLEWARE PENGGUNA
ASSET COMPLIANCE
MANAGEMENT

ACCESS
MANAGEMENT

COMMUNICATION
SECURITY BACKEND SUPPLIER
PHYSICAL & RELATIONSHIP
ENVIRONMENTAL
SECURITY SYSTEM
ACQUISITION,
OPERATION DEVELOPMENT &
SECURITY MAINTENANCE

CRYPTOGRAPHY INFORMATION
BUSINESS SECURITY
CONTINUITY INCIDENT
MANAGEMENT MANAGEMENT
PENGGUNA YANG SENANTIASA BERPERILAKU AMAN DI INTERNET
0X00 SECURITY AWARENESS

KEHILANGAN SECURITY AWARENESS

TERHADAP LINGKUNGAN SEKITAR AKIBAT https://www.safetyimages365.com/products/star-safety-poster-stop-
ASYIK MAIN HP think-act-and-review-1
0X01 TELITI DAN CERMAT SEBELUM MENGGUNAKAN APLIKASI

https://pedulilindungi.id/syarat-ketentuan diakses 3 September 2021pukul 07.03 WIB

0X02A GUNAKAN MULTIFACTOR AUTHENTICATION PADA EMAIL
0X02B GUNAKAN MULTIFACTOR AUTHENTICATION PADA CHAT
(WHATSAPP)
0X02C GUNAKAN MULTIFACTOR AUTHENTICATION PADA CHAT
(WHATSAPP)
0X03 GUNAKAN PASSWORD MANAGER MENGELOLA BERBAGAI AKUN
ONLINE YANG DIMILIKI