Jakarta, Gatra.com - Rizal Akbar, Vice President Network/IT Strategy, Technology & Architecture Data Governance Council Secretary Data Protection Officer PT Telkom Indonesia, memaparkan bagaimana melindungi keamanan data pelanggan dalam diskusi bertajuk “Peningkatan Kualitas Produk Layanan Telekomunikasi dan Perlindungan Keamanan Data Pelanggan” di Ombudsman RI, Selasa (30/08).
Dasar hukum yang menaungi kebijakan tersebut adalah PD 404 tahun 2014 tentang Pedoman dan Kebijakan Umum Tata Kelola Teknologi Informasi Telkom Group Sub Bab 5.3, PD tentang Tata Kelola Keamanan Informasi pasal 13 dan 19, PR 146 tahun 2018 tentang Standar Pengelolaan Kontrol Akses Informasi dan PR 404.03 tahun 2022 tentang Tata Kelola Data Telkom Group pasal 13.
Dalam perlindungan keamanan data pelanggan terdapat Data Governance Policy yang terdiri dari PD, Standar dan NDE.
Standar Data Governance Policy terdiri dari standar pengendalian data, standar pengelolaan rancangan data, standar pengelolaan operasi data dan standar pengelolaan kualitas data Telkom Group tahun 2016 serta standar data sharing Telkom Group tahun 2020.
Nota Dinas Elektronik (NDE) terdiri dari NDE DIRNITS tentang penugasan sebagai data governance council secretary & data protection Officer (DPO) Juni 2020, NDE Chief IT Strategy Telkom Group tentang Tata Kelola Implementasi Proteksi Data Telkom Group Juli 2020, NDE Chief of DG Council TG tentang Penetapan Data Owner dan Penegasan Tata Kelola Monetisasi Data di Lingkungan TG Desember 2020 dan NDE CTP TG tentang Penegasan Tata Kelola Implementasi Proteksi Data Telkom Group Juni 2021.
Ada regulasi pemerintah mengenai sampel browsing history, antara lain Undang Undang Nomor 36 tahun 1999 tentang Telekomunikasi, Peraturan Pemerintah Nomor 52 tentang Penyelenggaraan Telekomunikasi pasal 14, 16 dan 17, dan PerMen Kominfo Nomor 20 tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik pasal 15.
Tapping IndiHome Telkom Indonesia di 57 situs antara lain TREG-1 14 situs di Pulau Sumatera, TREG-2 6 situs di DKI Jakarta dan Jawa Barat, TREG-3 4 situs di Banten, TREG-4 6 situs di Jawa Tengah dan DI Yogyakarta, TREG-5 11 situs di Jawa Timur, TREG-6 7 situs di Kalimantan Barat dan TREG-7 9 situs di Sulawesi Selatan.
Alur arsitektur tapping Kominfo yang terpasang di operator mulai dari Passive Tapping ke MD Telkom (NPB). Kemudian menyebar ke berbagai pengguna di Kominfo dan badan lainnya melalui Termination Box dan Secured Area. Selanjutnya, server dan log corrector mengendalikan sistem kan diteruskan ke firewall, server beserta data aggregator dan ke jaringan Telkom (VPN/IP, EVPN).
Selain itu, ada yang ke firewall TCP RST kemudian ke Router, kembali ke Passive Tapping dan ke Router lainnya.
Alur arsitektur Tapping Telkom Port Mirror mulai dari Metro-E (Tier-1) ke BRAS lalu ke Bypass Switch yang diteruskan ke PCEF. Selanjutnya, Bypass Switch mengalir ke PE-HSI yang menyebar ke BCP Probe, CDN, LB HTTP Cache ke Cache Server. PE-HSI lanjut ke Primary PoP.
Untuk Optic Splitter objek dan alurnya kurang lebih sama. Namun, perbedaannya ada Optical Splitter yang terhubung ke BCP Probe, sehingga PE-HSI berlanjut ke CDN.
Contoh URL IndiHome yang sudah terenkripsi ada lima dengan identifikasi “location a”. Isi URLnya beda dengan yang umumnya ditulis di website, melainkan berisi kombinasi angka dan huruf kecil.
Jika ada data yang diretas, Telkom menampilkan perbandingan metranet data dari CFS atau yang sesuai apa yang ada di Telkom dengan fabricated data berupa Data Breach yang terlihat tidak sama dan dibuat-buat.
IDnya terlihat sama, namun konfigurasinya berbeda. URL Access, IP Address, Realm dan lainnya berbeda. Hasilnya dari 14 Field Log Data CFS, ada 4 Field yang serupa (28 persen cocok) dan 10 Field yang jauh berbeda (72 persen tidak cocok). Log Data CFS tidak memiliki Field “user_info” yang berupa informasi email, nama, gender, dan NIK seperti pada log Data Breach. Log Data CFS tidak memiliki “header”, sedangkan log Data Breach memiliki “header” dengan value “google_text_search”.
Kesimpulannya adalah Log Data CFS yang dikelola oleh Metranet secara struktur berbeda signifikan dengan log Data Breach sebesar 72 persen. Konten log Data CFSnya berisi informasi teknis tanpa informasi detail berupa email, nama, gender dan NIK. Terakhir, Log Data Breach bukan berasal dari log Data CFS Metranet.
Aktivitas perlindungan data di Data Governance Council berupa undangan DG Council meeting, penyampaian hasil meeting dari DG Council dan Minute of Meeting DG Council, contoh NDA terkait dan video pelaksanaan DG Council meeting dan Berita Acara rapat tindak lanjut investigasi dugaan kebocoran data browsing history pelanggan IndiHome antara Telkom dan Kemenkominfo.
“Jadi secara konklusi, satu, kami hidup di industri yang hiper kompetitif. Kami adalah BUMN dan kami tetap terus berjuang memberikan kontribusi terbaik dari pajak dan dari dividen ke negara, yang dividen itu tentu dipakai oleh negara untuk kepentingan yang baik juga. Kedua, tentang perlindungan data, kami sangat serius disitu. Saya adalah data profesional research yang sekaligus data governance council secretary,” ujarnya.
“Sejak 2016, kami sudah melakukan ini. Sejak pertama kali mengimplementasi datanya, itu bawaan asli dari principalnya, pak. Datanya polos aja begitu. Karena saya baca permennya, loh ini nggak boleh polos-polos begini. Harus terenkripsi. Saya enkripsi, saya begitu tadi, cuma 12, loh saya dimusuhin satu divisi data scientist. ‘Pak Rizal nggak percaya sama kami ya? Kok datanya dienkripsi?’ Loh kalian baca aja permennya. Permennya dienkripsi kok. Saya enkripsi, dan bukan berarti kalian nggak bisa olah datanya. Itu kan kalo hashnya sama kan pelanggannya sama tuh. Tapi penuhi dulu syarat-syarat data yang mulai diproses,” jelasnya.
