Security itu suatu proses, bukan produk

Dari salah satu wag, kami berdiskusi tentang resiko tersebarnya informasi pribadi seseorang ketika memprint sertifikasi vaksinasi. Kalau kita batasi dari sertifikat vaksin, informasi yang tertulis :
1. NIK
2. Nama Lengkap
3. Tanggal lahir

Tapi karena desain NIK memang sudah terlanjur mencantumkan informasi pribadi, sehingga tersampaikan juga:

4. Jenis kelamin
5. Tempat “tinggal”, yaitu propinsi, kabupaten/kota dan kecamatanSebenarnya ini berasal dari desain NIK yang memanfaatkan informasi pribadi penduduk, yaitu tanggal lahir, jenis kelamin dan tempat tinggal (walau belum tentu benar-benar berdomisili di alamat tersebut).

Hal yg sama terjadi pada NIP (Nomer Induk Pegawai) PNS yang baru, karena memakai tanggal lahir dan tanggal masuk suatu instansi. Sebenarnya desain ini cukup riskan, tapi sudah terlanjur sehingga kita perlu mengubah perlakuan terhadap data privasi : jangan memakai tanggal lahir sbg informasi rahasia (PIN, Password dsb), karena sudah terlanjur dibuka dan bisa diakses semua orang. Hal ini juga disinggung Pak Budi Rahardjo di youtube

Disamping dua hal tersebut, sebenarnya ada beberapa informasi rahasia yang entah bagaimana bisa tersebar. Di antaranya:

  1. DP3 atau kalau sekarang disebut Penilaian Prestasi Kerja Pegawai Negeri Sipil. Pemahaman saya dokumen tersebut seharusnya sifatnya rahasia. Di kantor saya, jelas tertulis “RAHASIA”. Tapi di instansi lain ternyata dokumen tersebut tidak memuat tulisan “RAHASIA”, bahkan bisa diakses di internet (^^; Kalau saya perhatikan, ada juga dokumen tersebut, walaupun dengan tulisan “RAHASIA” sekalipun juga tersedia di internet dan bisa diakses publik. Teman saya menyampaikan foto, ada bungkusan nasi yang tertulis “Dokumen Negara. Sangat rahasia”. Perhatian masyarakat sepertinya kurang terhadap hal seperti ini.
  2. Dahulu (5 tahun yang lalu) ada juga website yang desainnya memprihatinkan. User name mestinya diisi 9 digit NIP, dan password diisi tanggal lahir 8 digit. Yaitu situs Taspen http://e-klim.taspen.com/eklim/estimasi/
    Situs ini dibuat oleh orang yg tidak mengerti masalah sekuriti dan perlindungan privasi. Karena di bagian password diberi hint, apa yg harus diisikan, padahal data tanggal lahir sudah tercantum di NIP 🙁 Saya bisa akses informasi orang yang saya tahu NIP nya. Karena pada NIP sudah ada informasi tanggal lahir. Dulu waktu saya coba masuk dengan informasi NIP dan tgl lahir seseorang, saya bisa tahu informasi pribadi seseorang, hingga gaji, usia pensiun dsb. 😅Untung sekarang situs tersebut sudah diperbaiki, dan tidak bisa diakses secara bebas.
  3. Foto-foto staf suatu perusahaan tersedia secara bebas, tanpa pengamanan. Sehingga dengan membuat shell script sederhana (hanya 7 baris) bisa mendownload foto-foto tersebut sekaligus. Alhamdulillah, sekarang sudah dimodifikasi sehingga sudah aman, dan tidak bisa didownload secara bebas.
  4. Surat Ijin Mengemudi (SIM) model lama yang mem-print sidik jari pemiliknya. Kalau SIM tersebut difotocopy, dan di tangan orang yang salah, maka pola sidik jari itu bisa dimanfaatkan untuk membuat model 3D sidik jari dan dicetak pada (misalnya) karet/plastik/silikon. Itu bisa dimanfaatkan oleh ybs untuk kriminal dan melemparkan kesalahan pada org lain. Tapi SIM yang baru, saya perhatikan tidak lagi memuat foto sidik jari. Jadi lebih aman. Mengenai model 3D sidik jari ini dapat dilihat dari penjelasan Anil K. Jain (Michigan State University)



    Bahkan ada juga toko yang menyediakan jasa membuat sidik jari tiruan untuk titip absen fingerprint di Indonesia. Kemungkinan pemilik toko tersebut dapat membuat model 3D sidik jari seseorang, dan menjualnya sebagai jasa.

Security itu proses, bukan suatu produk. Merupakan kewajiban kitalah untuk selalu awas dan memperhatikan, agar data privasi kita tidak disalahgunakan oleh pihak lain.

Tentang Anto Satriyo Nugroho

My name is Anto Satriyo Nugroho. I am working as research scientist at Center for Information & Communication Technology, Agency for the Assessment & Application of Technology (PTIK-BPPT : Pusat Teknologi Informasi & Komunikasi, Badan Pengkajian dan Penerapan Teknologi). I obtained my doctoral degree (Dr.Eng) from Nagoya Institute of Technology, Japan in 2003. My office is located in Serpong, Tangerang Selatan City. My research is on pattern recognition and image processing with applied field of interests on biometrics identification & development of computer aided diagnosis for Malaria. Should you want to know further information on my academic works, please visit my professional site at http://asnugroho.net
Pos ini dipublikasikan di catatan kerja. Tandai permalink.

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout /  Ubah )

Foto Google

You are commenting using your Google account. Logout /  Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout /  Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout /  Ubah )

Connecting to %s