Materi Seminar Keamanan di BIdang IoT

1. KEAMANAN DAN PRIVASI
DATA PENGGUNA
DIBAWAKAN PADA ACARA WEBINAR BK “KEAMANAN DAN PRIVASI DATA DI
BIDANG INTERNET OF THINGS (IOT)” – SABTU, 29 JANUARI 2022
OLEH : L. BUDI HANDOKO, M.KOM. <HANDOKO@DSN.DINUS.AC.ID>

2. TERMINOLOGI DATA DAN BASISDATA
• Data merupakan sekumpulan fakta yang memiliki format berlainan yang
dapat membentuk sebuah informasi.
• Informasi merupakan sekumpulan data yang memiliki arti
• DataBase merupakan sekumpulan data yang saling berkorelasi yang
tersimpan dan terorganisasi dalam sebuah wadah
• IoT (Internet of Things) – Teknologi berbasis Internet (Anything /
Everything is connected)
B
A
S
I
S
D
A
T
A

3. LEBIH LANJUT TENTANG DATA
• Tambang baru pada era digital -> Data adalah “Emas” Digital di era Industry 4.0
• Data bisa berupa :
• Data Pribadi (Identitas, Biografi)
PP No. 71 Tahun 2019 (PP PSTE), Pasal 1 ayat 29 : “Data Pribadi adalah setiap data tentang seseorang baik
yang teridentifikasi dan/atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya
baik secara langsung maupun tidak langsung melalui sistem elektronik dan/atau nonelektronik.”
• Data Akademis (Riwayat Pendidikan, Pelatihan, Penelitian, Pengabdian, dan lain-lain)
• Data IoT (Jenis Perangkat, Fungsi, Pemilik, Akses, dan lain-lain)
• Data Sampah (Data yang tidak memiliki arti, fungsi dan kegunaan secara khusus)

4. ISU KEBOCORAN DATA

7. PCMag Asia (https://sea.pcmag.com/)

8. Sumber :
Infographic :
The IoT Attack
Surface

9. BERBAGAI ANCAMAN SIBER DI BIDANG IOT
• Keamanan Kamera (IP Cam / CCTV)
• Smart Device(s) : Smart Home Device(s) / Appliance(s), Smart Office Device(s), etc.
• Smart Home Device(s) / Appliance (s) : Smart Switch, Smart TV, Smart CCTV, Smart Sound System, etc.
• Smart Office Device(s) : Shared Fax Machine, Printer
• Perangkat-perangkat yang menggunakan PLC (Programmable Logic Controller)
• Identitas dan data finansial dapat diambil dari perangkat pemindai
• Pembajakan terhadap mikrophone ataupun kamera pada perangkat mobile maupun laptop
• Pembajakan terhadap digital signage, apill (alat pemberi isyarat lalu lintas), dan lain-lain
• Dan masih banyak lagi yang lain-nya.

10. ASPEK KEMANAN (C.I.A. - TRIAD)
• Confidentiality (Kerahasiaan)
Proteksi untuk pencegahan penggunaan tanpa ijin
terhadap sebuah informasi yang bersifat penting atau
rahasia.
• Integrity (Integritas)
Deteksi terhadap terjaganya akurasi dan dan lengkapnya
sebuah informasi.
• Availability (Ketersediaan)
Kontrol terhadap pengguna yang benar-benar berhak sah
dan tepat untuk mendapatkan informasi secara tepat
waktu.
Proteksi dari
• Akses tidak sah
• Penggunaan tidak sah
• Pemberitahuan rahasia
Proteksi data
• Dalam sistem
• Dalam perjalanan
• Dalam proses
Deteksi perubahan yang terjadi
• Dalam penyimpanan
• Dalam perjalanan
• Dalam proses
Kontrol memastikan
• Akses sah
• Performa yang dapat diterima
• Toleransi kesalahan
• Redundansi
• Backup yang reliabel
• Penghindaran kehilangan atau kehancuran data

11. PERMASALAHAN UMUM TERHADAP DATA
• Integritas (Memastikan data benar, relevan dan up to date)
Data bisa tidak benar karena : tidak dimasukkan dengan benar, out of date, transfer dari database lain dengan
tidak benar, berubah secara sengaja ataupun tidak, tidak lengkap dan hilang.
• Privasi (Kontrol terhadap data dan penggunaannya)
Data yang dikumpulkan tentang Anda, Anda sendirilah yang menentukan data apa yang boleh disimpan dan
bagaimana mempergunakan data Anda.
• Keamanan (Memastikan untuk mengambil tindakan yang diperlukan untuk mencegah akses yang tidak sah
terhadap data yang disimpan)
Tindakan penyerangan : hacking, pencurian fisik dan intersepsi
Tindakan antisipasi : enkripsi, dan audit

12. PENYEBAB KEBOCORAN DATA
Unsur Kesengajaan
• “Orang dalam” yang membocorkan data
• Penyedia layanan yang menjual data
Unsur Ketidaksengajaan
• Kesalahan SOP dalam proses perawatan sistem
(System Glitch atau Human Error)
• Serangan hacker yang melakukan pencurian data
• Ketidakmampuan pengguna dalam menjaga
datanya sendiri (password lemah, pengamanan
kurang)
"81% kebocoran data itu hanya gara-gara user
password-nya itu berhasil diambil sama orang
lain kemudian dijual, entah di dark web atau
dimanfaatkan untuk dirinya sendiri," - Cyber
Security Specialist Cisco System Indonesia
Arief Santoso, Rabu (23/9/2020).

13. MOTIVASI PENCURIAN DATA
• Untuk kesenangan pribadi atau unjuk diri
• Pencurian data dengan tujuan finansial (sindikat)
• Melakukan penetration test untuk mencari celah di dalam sistem
• Spionase, mendapatkan informasi untuk mencari kelemahan lawan
• Untuk menghancurkan data yang dimiliki oleh penyedia layanan

14. JENIS SERANGAN YANG SERING TERJADI
• Hacking
Tindakan penyerang yang dengan tujuan tertentu (mencuri data) berusaha masuk ke dalam sistem
dengan memanfaatkan celah keamanan (vulnerability) yang ada di dalam sistem. -> Exploit
• Phising
Teknik penyerang untuk mencuri data dengan memancing korban agar dengan sukarela memberikan
akses kepada penyerang (hacker). -> SPAM, Cybesquatting, Fraud, Scam
• Social Engineering
Teknik penyerang untuk mencuri data dengan melakukan pendekatan sosial pada pengguna. -> Doxxing

15. STATISTIK SPAM
Jumlah trafik email spam secara global
pada Kuartal 1 2020 – Kuartal 2 2020
(Sumber : laporan tim Kaspesky pada 7
Agustus 2020)
Sumber serangan pada Kuartal 2 2020 (Sumber : laporan tim
Kaspesky pada 7 Agustus 2020)

16. TARGET SERANGAN
Negara yang menjadi target serangan, dari
sumber yang sama.

17. WILAYAH SERANGAN PHISING KUARTAL 2 TAHUN 2020

20. FAKTA TENTANG PHISING
Fakta Menarik Tentang Phising Sumber Fakta
33% kebocoran data masuk dalam model serangan sosial Verizon Data Breach Investigations
Report (DBIR) 2019
(https://www.phishingbox.com/news/
phishing-news/verizon-data-breach-
investigations-report-dbir-2019)
29% kebocoran melibatkan penggunaan identitas curian
94% malware dikirim menggunakan email
32% kebocoran melibatkan phishing

22. ANTISIPASI UNTUK PERLINDUNGAN DATA
• Pemilihan password yang bukan merupakan kata yang paling umum untuk dipergunakan (misal :
password, 12345678, qwerty, dan lain sebagainya) – Pergunakan campuran karakter dan tanda baca
yang bisa saja memiliki arti bagi Anda dan tidak terlalu random seperti yang dihasilkan oleh password
generator.
• Lakukan penggantian password secara rutin.
• Manfaatkan fasilitas OTP.
• Pergunakan 2FA (2nd Factor Authentication) untuk memperkuat perlindungan akun.

23. MITIGASI TERHADAP DATA YANG TELAH BOCOR
• Jangan panik (lihat seluruh history atau log transaksi)
• Segera ganti username ataupun password
• Hapus informasi tentang kartu kredit ataupun rekening bank bila ada
• Lakukan perubahan metode perlindungan dengan me-reset OTP atau 2FA
• Tutup akun (bila benar-benar terpaksa)

24. CEK APAKAH E-MAIL ANDA PERNAH JADI TARGET
https://haveibeenpwned.com/
Alternatif :
https://www.avast.com/hackcheck

25. IOT SEARCH ENGINE
https://www.shodan.io/

26. PETA SERANGAN SIBER (LIVE)
• https://cybermap.kaspersky.com/
• https://threatmap.checkpoint.com/
• https://www.spamhaus.com/threat-map/
• https://threatmap.fortiguard.com/
• https://www.fireeye.com/cyber-map/threat-map.html
• https://threatmap.bitdefender.com/
• https://securitycenter.sonicwall.com/m/page/worldwide-attacks
• https://threatbutt.com/map/

28. UPAYA PEMERINTAH DALAM MELINDUNGI DATA
• Uni Eropa : GDPR (General Data Protection Regulation) -> https://gdpr-info.eu/
• US (California State) : CCPA (California Consumer Privacy Act)
• Indonesia terpisah dalam beberapa instrumen hukum :
• Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (UU ITE)
• Undang-Undang Nomor 19 Tahun 2016 tentang perubahan UU Nomor 11 Tahun 2008
• PP Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PP PSTE)
• Peraturan Menteri Komunikasi dan Informatika Nomor 20 Tahun 2016 tentang Perlindungan Data Pribadi dalam
Sistem Elektronik
• Peraturan Otoritas Jasa Keuangan (OJK) Nomor 77/PJOK.01/2016 tentang Layanan Pinjam Meminjam Uang
Berbasis Teknologi Informasi
Diperlukan aturan yang lebih bagus yang dapat mengakomodir dari keseluruhan instrumen yang ada, dan saat ini
terdapat dalam Rancangan Undang Undang tentang Perlindungan Data Pribadi (RUU PDP)

29. KABAR TERAKHIR TENTANG RUU PDP

30. POIN-POIN PENTING DALAM RUU PDP
1. Definisi Data Pribadi disebutkan, setiap data tentang seseorang, baik yang teridentifikasi dan dapat diidentifikasi
tersendiri atau dikombinasikan dengan informasi lainnya, secara langsung maupun tidak langsung melalui sistem
elektronik dan nonelektronik.
2. Jenis-jenis data pribadi Ada dua jenis data pribadi, yakni data yang bersifat umum dan spesifik.
3. Penghapusan data pribadi Pengendali data pribadi wajib memusnahkan informasi itu jika data sudah tidak memiliki
nilai guna lagi atau habis retensinya. Jika pemilik data meminta datanya dihapus, pengendali harus menghapus
informasi itu.
4. Kegagalan perlindungan data pribadi Dalam RUU PDP disebutkan, jika terjadi kegagalan perlindungan terhadap
data pribadi, misalnya data bocor ke pihak-pihak lain, pengendali data wajib menyampaikan pemberitahuan tertulis
paling lambat 3x24 jam kepada pemilik data dan menteri atau instansi pengawas.
5. Sanksi pidana atas pelanggaran penggunaan data pribadi RUU PDP juga mengenakan sanksi atas pelanggaran
data pribadi. Pelaku yang mengungkapkan atau menggunakan data pribadi yang bukan miliknya secara melawan
hukum akan dikenakan pidana penjara tujuh tahun atau denda maksimal Rp 70 miliar.

31. KESIMPULAN
• Pemahaman tentang Data cukup penting untuk diketahui oleh masyarakat umum.
• Sumber kebocoran data bisa dari banyak sumber dan banyak hal, namun yang paling penting adalah
pemilik data itu sendiri.
• Pemahaman terhadap bagaimana cara kerja penyerang, dapat mengurangi dampak akibat dan kerugian
yang ditimbulkan
• Melakukan pengamanan tambahan cukup membantu untuk ikut mengamankan data pada penyedia
layanan
• Pemerintah telah berupaya untuk mencoba melindungi keamanan data melalui UU dan PP yang
dikeluarkan.