Dari salah satu wag, kami berdiskusi tentang resiko tersebarnya informasi pribadi seseorang ketika memprint sertifikasi vaksinasi. Kalau kita batasi dari sertifikat vaksin, informasi yang tertulis :
1. NIK
2. Nama Lengkap
3. Tanggal lahir
Tapi karena desain NIK memang sudah terlanjur mencantumkan informasi pribadi, sehingga tersampaikan juga:
4. Jenis kelamin
5. Tempat “tinggal”, yaitu propinsi, kabupaten/kota dan kecamatanSebenarnya ini berasal dari desain NIK yang memanfaatkan informasi pribadi penduduk, yaitu tanggal lahir, jenis kelamin dan tempat tinggal (walau belum tentu benar-benar berdomisili di alamat tersebut).
Hal yg sama terjadi pada NIP (Nomer Induk Pegawai) PNS yang baru, karena memakai tanggal lahir dan tanggal masuk suatu instansi. Sebenarnya desain ini cukup riskan, tapi sudah terlanjur sehingga kita perlu mengubah perlakuan terhadap data privasi : jangan memakai tanggal lahir sbg informasi rahasia (PIN, Password dsb), karena sudah terlanjur dibuka dan bisa diakses semua orang. Hal ini juga disinggung Pak Budi Rahardjo di youtube
Disamping dua hal tersebut, sebenarnya ada beberapa informasi rahasia yang entah bagaimana bisa tersebar. Di antaranya:
- DP3 atau kalau sekarang disebut Penilaian Prestasi Kerja Pegawai Negeri Sipil. Pemahaman saya dokumen tersebut seharusnya sifatnya rahasia. Di kantor saya, jelas tertulis “RAHASIA”. Tapi di instansi lain ternyata dokumen tersebut tidak memuat tulisan “RAHASIA”, bahkan bisa diakses di internet (^^; Kalau saya perhatikan, ada juga dokumen tersebut, walaupun dengan tulisan “RAHASIA” sekalipun juga tersedia di internet dan bisa diakses publik. Teman saya menyampaikan foto, ada bungkusan nasi yang tertulis “Dokumen Negara. Sangat rahasia”. Perhatian masyarakat sepertinya kurang terhadap hal seperti ini.
- Dahulu (5 tahun yang lalu) ada juga website yang desainnya memprihatinkan. User name mestinya diisi 9 digit NIP, dan password diisi tanggal lahir 8 digit. Yaitu situs Taspen http://e-klim.taspen.com/eklim/estimasi/
Situs ini dibuat oleh orang yg tidak mengerti masalah sekuriti dan perlindungan privasi. Karena di bagian password diberi hint, apa yg harus diisikan, padahal data tanggal lahir sudah tercantum di NIPSaya bisa akses informasi orang yang saya tahu NIP nya. Karena pada NIP sudah ada informasi tanggal lahir. Dulu waktu saya coba masuk dengan informasi NIP dan tgl lahir seseorang, saya bisa tahu informasi pribadi seseorang, hingga gaji, usia pensiun dsb.
Untung sekarang situs tersebut sudah diperbaiki, dan tidak bisa diakses secara bebas.
- Foto-foto staf suatu perusahaan tersedia secara bebas, tanpa pengamanan. Sehingga dengan membuat shell script sederhana (hanya 7 baris) bisa mendownload foto-foto tersebut sekaligus. Alhamdulillah, sekarang sudah dimodifikasi sehingga sudah aman, dan tidak bisa didownload secara bebas.
- Surat Ijin Mengemudi (SIM) model lama yang mem-print sidik jari pemiliknya. Kalau SIM tersebut difotocopy, dan di tangan orang yang salah, maka pola sidik jari itu bisa dimanfaatkan untuk membuat model 3D sidik jari dan dicetak pada (misalnya) karet/plastik/silikon. Itu bisa dimanfaatkan oleh ybs untuk kriminal dan melemparkan kesalahan pada org lain. Tapi SIM yang baru, saya perhatikan tidak lagi memuat foto sidik jari. Jadi lebih aman. Mengenai model 3D sidik jari ini dapat dilihat dari penjelasan Anil K. Jain (Michigan State University)
Bahkan ada juga toko yang menyediakan jasa membuat sidik jari tiruan untuk titip absen fingerprint di Indonesia. Kemungkinan pemilik toko tersebut dapat membuat model 3D sidik jari seseorang, dan menjualnya sebagai jasa.
Security itu proses, bukan suatu produk. Merupakan kewajiban kitalah untuk selalu awas dan memperhatikan, agar data privasi kita tidak disalahgunakan oleh pihak lain.