Keisengan menelusuri berkas, membuatku menyadari sesuatu.
Ternyata, penting sekali untuk memastikan apa saja data sensitif yang kita punya dan di mana kita menyimpannya. Juga, apakah kita sudah mengamankannya dengan baik atau tidak.
Kesadaran itu bermula ketika aku melakukan pencadangan (back up) data rutin pada awal bulan lalu. Ketika sedang mencadangkan berkas-berkas dari komputer jinjing (laptop) ke diska keras luar (external hard disk), aku coba iseng buka salah satu folder di diska keras, Dropbox.
Dari folder itu, aku baru kemudian mikir, ternyata aku masih menyimpan sebagian berkas di layanan komputasi awan (cloud). Aku pun membuka akun itu di Dropbox. Ketika itulah aku baru menyadari, sialan, ternyata ada beberapa berkas super sensitif yang aku simpan di layanan komputasi awan.
Berkasnya telanjang lagi. Tidak terenkripsi. Padahal, data telanjang di komputasi awan jelas berisiko tinggi. Apalagi jika berisi data-data pribadi.
Aku pun cek satu per satu berkas di komputasi awan tersebut. Dari Dropbox, aku lanjut ke layanan komputasi awan lain, Google Drive. Terus lanjut ke diska keras luar. Asu! Ternyata banyak juga data-data sensitif ini bertebaran.
Data pribadi sensitif itu termasuk salinan KTP, paspor, ijazah, kartu keluarga, dan lain-lain. Cerobohnya aku, sekian lama membiarkan data-data pribadi itu telanjang. Tidak hanya di layanan komputasi awan, tetapi juga di penyimpan eksternal.
Namun, kecerobohan itu membuatku menyadari beberapa hal untuk mengamankan data-data sensitif yang berserakan.
Pertama, memeriksa berkas apa saja yang tersebar.
Perlu sekali untuk memeriksa lagi berkas apa saja yang kita simpan di komputasi awan. Cek satu per satu berkas yang kita simpan di sana. Apakah ada data-data yang super sensitif, sensitif, atau biasa saja. Nanti kita akan cek bagaimana mengategorikan tingkat sensitivitas data ini.
Dalam pemeriksaan data itu, kita juga bisa melihat sudah berapa lama data itu berada di sana. Untuk apa kita menyimpannya di sana.
Tidak hanya di komputasi awan, data di diska keras luar juga penting untuk diperiksa ulang. Jika memang sudah tidak diperlukan, hapus saja data itu dari sana. Apalagi jika dia memang data sensitif.
Kedua, menentukan tingkat risiko data.
Jika data itu memang masih diperlukan, wajar dia tetap berada di media penyimpanan. Namun, kita harus pikirkan berapa besar risiko bahaya jika data itu tersebar atau dikuasai orang lain. Data berisi identitas pribadi tentu berisiko lebih tinggi dibandingkan data yang sudah pernah kita publikasikan.
Data pribadi itu, misalnya, salinan dokumen KTP, ijazah, alamat rumah, kartu keluarga, paspor, dan semacamnya. Mereka masuk kategori super sensitif karena jika tersebar atau dikuasai orang lain, berpotensi disalahgunakan. Misalnya, menipu, membuat akun tiruan, atau mengancam privasi kita.
Risiko bocornya data pribadi dengan data lain yang sudah disebarluaskan tentu berbeda. Data lain itu, katakanlah, laporan riset, foto jalan-jalan, atau tulisan. Kalau toh data-data itu dikuasai orang lain, rasanya sih tidak masalah. Apalagi jika memang sudah pernah kita unggah di media sosial, situs web, dan semacamnya.
Ketiga, menentukan urgensi data.
Dalam kasusku, penyimpanan data di komputasi awan biasanya untuk membagi berkas itu dengan orang lain. Katakanlah, kita sedang bekerja secara kolaboratif dengan orang lain untuk sebuah proyek. Ada kebutuhan bagi semua orang dalam tim itu untuk tahu, apa saja yang sudah diunggah dan apa yang belum.
Namun, hal yang sering tidak kita sadari adalah memeriksa lagi apakah proyek itu masih berlangsung atau sudah selesai. Atau, apakah berkas itu masih diperlukan di sana atau tidak. Jika memang data itu masih diperlukan, ya wajar masih ada di komputasi awan. Lha kalau memang sudah tidak diperlukan, ya, ngapain juga masih kita biarkan?
Terakhir, melindungi data.
Strategi ini kita perlukan terutama jika data itu memang sensitif dan kita perlukan terus menerus. Contohnya, dalam pekerjaan, kita perlu untuk sering-sering kirim salinan KTP dan nomor pendaftaran wajib pajak (NPWP) sementara kita malas menyimpannya di komputer secara luring.
Meskipun menurutku ini tidak perlu, tetapi tidak apa juga dilakukan. Namun, kita harus memastikan bahwa data-data itu terlindungi dengan baik. Perlindungan itu bisa kita lakukan pada media penyimpanannya, seperti Dropbox atau Google Drive, maupun pada datanya itu sendiri.
Perlindungan pada media penyimpan ini selain dengan membuat kalimat sandi (bukan hanya kata sandi!), juga dengan lapisan pengamanan kedua yaitu autentikasi dua langkah (2FA). Aku cek Dropbox dan Google Drive sudah memiliki fungsi ini.
Adapun perlindungan pada berkas bisa kita lakukan antara lain dengan menyamarkannya. Contohnya mengubah nama berkas. Daripada menamakan berkas itu ”kartu keluarga” atau “KTP” yang akan langsung menarik perhatian orang yang melihatnya, tentu akan lebih tersamar lagi jika kita namakan berkas itu dengan “Dokumen Lama” atau semacam itulah.
Namun, perlindungan yang lebih bagus lagi tentu dengan melakukan enkripsi pada berkas itu. Semua berkas super sensitif kita masukkan dalam satu folder khusus yang kita kunci dengan enkripsi. Keunggulannya, nama dan ekstensi berkas bisa kita kasih nama benar-benar berbeda dan sekaligus terlindungi. Contohnya, menyamarkan dokumen KTP dengan ekstensi .pdf (KTP.pdf) menjadi seolah-olah gambar dengan nama file Foto Kambing dengan ekstensi .png atau .jpg (Foto Kambing.png). Dengan begitu, berkas-berkas pun jadi lebih terlindungi.
Bagaimana caranya melakukan enkripsi? Kita bahas di tulisan lain saja nanti.
Leave a Reply