Tak lama ini, warga Indonesia dibuat heboh dengan bocornya 279 juta data penduduk yang kemudian diperjualbelikan di forum online. Selain Indonesia, kasus serupa juga sering terjadi di banyak negara luar, salah satunya Amerika Serikat.
Dengan skala yang lebih besar dan jumlah korban yang lebih besar, membuat banyak orang bertanya-tanya, siapa yang bertanggung jawab atas peristiwa tersebut dan apa tindak lanjut yang seharusnya diambil oleh perusahaan atau organisasi terkait.
Equifax, salah satu biro kredit terbesar di AS, pada September 2017 silam menyebut bahwa kerentanan aplikasi pada salah satu situs mereka menyebabkan kebocoran data yang mengekspos sekitar 147,9 juta konsumen. Pelanggaran tersebut terungkap pada akhir Juli 2017, yang kemudian diketahui bahwa kemungkinan telah terjadi sejak pertengahan 2017. Pelanggaran itu mengungkap banyak informasi pribadi seperti nomor jaminan sosial, tanggal lahir, alamat dan nomor SIM.
Dilansir Wired, tak lama setelah itu, Equifax kemudian meluncurkan domain baru – equifaxsecurity2017.com – di mana pada domain tersebut, konsumen diminta untuk memasukkan enam digit terakhir nomor jaminan sosial mereka, untuk melihat apakah mereka termasuk yang terdampak. Mereka yang terdampak nantinya akan diarahkan untuk mendaftar layanan perlindungan ID Equifax secara gratis.
Disaat kebocoran terjadi, Heartland sedang memproses 100 juta transaksi kartu pembayaran untuk 175 ribu konsumen. Pelanggaran ditemukan pada awal 2009 ketika Visa dan MasterCard memberi tahu Heartland tentang transaksi mencurigakan dari akun yang telah diproses. Karena pelanggaran tersebut, Payment Card Industry (PCI) menganggap Heartland tidak sesuai dengan Standar Keamanan Data dan tidak mengizinkan mereka untuk memproses pembayaran kartu kredit utama hingga Mei 2009.
Sebagai tindak lanjut dari masalah tersebut, CEO Heartland – Robert Carr meluncurkan teknologi enkripsi end-to-end sebagai solusi pencegahan aksi cyber crime serupa. Selain itu, pada tahun 2015, Heartland mengumumkan jaminan pelanggaran baru bagi penggunanya. Program jaminan tersebut akan mengganti biaya yang timbul dari pelanggaran data yang melibatkan sistem pemrosesan pembayaran kartu kredit Heartland Secure.
Dimulai pada Juni 2014, peretas membobol sistem JPMorgan Chase dan memperoleh akses ke 83 juta akun dengan 7 juta diantaranya merupakan akun dari bisnis kecil. JPMorgan Chase tidak mengetahui jika sistem mereka dibobol sampai satu bulan setelahnya. Dilaporkan bahwa peretas memanfaatkan satu server yang tidak mengandung autentikasi dua faktor untuk melakukan peretas. Tidak hanya sistem jaringan JPMorgan Chase, peretas juga berhasil mengakses enam bank lain.
Setelah itu, investigasi untuk kasus tersebut dilakukan oleh tim keamanan internal JPMorgan Chase, FBI, NSA dan beberapa firmasi investigasi forensik digital seperti CrowdStrike dan FireEye. CEO JPMorgan Chase – Jamie Dimon pada akhir 2014 mengatakan bahwa ia juga akan merekrut 1000 karyawan yang berkaitan dengan keamanan cyber dan meningkatkan budget keamanan cyber mereka hingga US$250 juta (atau sekitar Rp3,5 triliun).
Sekitar 4,9 juta pasien Tricare, penyedia layanan kesehatan untuk militer yang masih aktif maupun veteran, mendapati data mereka dibobol pada September 2011. Pelanggaran itu diumumkan oleh Science Applications Internation Corporation (SAIC) yang kala itu bertugas mengawasi keamanan data Tricare. Tidak melalui peretasan, data yang berada dalam kaset dicuri dari mobil salah satu kontraktor. Informasi yang dicuri mencakup nomor jaminan sosial, nama, alamat, nomor HP dan beberapa data kesehatan personal.
Tricare kemudian menghabiskan sekitar US$14 juta lebih untuk melakukan pengiriman surat massal dan menjalankan call center untuk memberi tahu semua anggota layanan yang masih aktif ataupun tidak, tentang data mereka yang dibobol. Tidak hanya itu, Tricare juga setuju untuk membayar US$20 juta terhadap gugatan kelompok yang diajukan oleh para veteran dan anggota dinas aktif yang terkena dampak.
Pada akhir tahun 2015, Vickery – peneliti sekaligus spesialis keamanan komputer asal menemukan database berisi informasi pribadi dari 191 juta pemilih Amerika Serikat. Diketahui bahwa bocornya data itu ke internet merupakan hasil dari kelalaian manusia dan konfigurasi yang tidak baik. Dalam database tersebut, berisi informasi seperti alamat, nama, tanggal lahir, afiliasi partai, email dan banyak lagi. Semua merupakan voter atau pemilih yang terdaftar di 50 negara bagian.
Tak lama setelah itu, Vickery yang belum bisa mengidentifikasi siapa pemilik atau yang mengontrol database, langsung bekerja sama dengan otoritas federal Amerika Serikat untuk menemukan pemiliknya sehingga mereka dapat menghapusnya segera dari publik. Dengan regulasi tiap negara bagian yang berbeda soal privasi data pemilih, masih menjadi tanda tanya besar apakah pemerintah setempat bergerak secara total untuk menghilangkan database tersebut.
Kerangka hukum terkait pelanggaran data saat ini tidak terlalu jelas atau mendetail. Di luar undang-undang yang mewajibkan pelanggaran data untuk diungkapkan kepada korban atau pihak yang dirugikan, hanya ada beberapa yang mengatur terkait siapa bertanggung jawab atas pelanggaran.
Namun, sebagian besar hukum internasional yang mengatur soal privasi data dan pelanggaran serupa seperti APPI (Jepang) dan GDPR (Uni Eropa) sepakat bahwa perusahaan terkait harus mengambil langkah serius dalam menjaga data konsumen dan memberi tahu konsumen apabila ada kebocoran data.
Untuk saat ini, dan pada tahun-tahun mendatang, organisasi yang mengalami kebocoran data (alih-alih individu) akan tetap jadi yang dimintai pertanggungjawaban atas kerusakan yang disebabkan oleh pelanggaran data atau keamanan siber.
Demikian tadi ulasan mengenai beberapa kasus kebocoran data tersebut dan sejauh apa pihak terkait mengambil tindak lanjut. Berkaca dari langkah yang diambil oleh beberapa perusahaan atau organisasi di negara lain, yang dibutuhkan pemerintah saat ini dalam menangani kasus kebocoran data terbaru adalah melakukan pengusutan secara menyeluruh pihak terkait atau yang berpotensi menyimpan data-data tersebut dan menginformasikan kepada siapapun yang berkemungkinan besar menjadi salah satu korban.