Baru-baru ini, data pengganjian sekitar 29 ribu karyawan dan mantan karyawan Facebook dikabarkan bocor. Tak lain hal ini disebabkan oleh pencurian beberapa Harddisk milik Facebook di mobil karyawannya yang terjadi beberapa bulan lalu. Data sensitif yang bocor mencakup nomor rekening bank dan empat digit terakhir dari nomor Jaminan Sosial.
Juru bicara Facebook menyatakan pencurian harddisk tidak membocorkan apa pun tentang pengguna atau akun-akun Facebook. Ia mengatakan kepada The Hill bahwa perusahaan langsung bekerja dengan aparat penegak hukum ketika mengetahui terjadi pencurian harddisk di mobil seorang karyawan.
“Terjadi pembobolan mobil baru-baru ini yang mencuri tas karyawan facebook, di dalamnya berisi peralatan perusahaan dengan informasi gaji karyawan facebook yang tersimpan di dalam harddisk,” kata juru bicara Facebook dilansir The Hill, Sabtu (14 Desember 2019).
Juru bicara itu juga menekankan bahwa Facebook melihat ‘tidak ada bukti pelecehan/penyalahgunaan’ dan mengklasifikasikan pencurian itu sebagai ‘kejahatan besar dan kejam’. Ia juga menyatakan pencurian hard disk itu tidak secara spesifik dimaksudkan untuk mencuri informasi karyawan.
“Karena kasus ini sangat diperhatikan, kami telah memberi tahu karyawan maupun mantan karyawan yang informasinya disimpan pada peralatan (harddisk) yang dicuri tersebut.”
Yang bocor adalah daftar gaji karyawan kami pada tahun 2018 dan perusahaan telah menawarkan layanan pemantauan dan pengecekan kredit (kalau ada potensi penyalahgunaan).”
“Pencurian ini hanya berdampak pada karyawan dan mantan karyawan Facebook saja serta tidak ada data pengguna Facebook yang terlibat,” tegas jubir tersebut.
Menurut Bloomberg, pencurian itu terjadi pada 17 November. Pihak Facebook baru menyadari bahwa harddisk yang hilang tiga hari kemudian, dan mulai memberi tahu karyawan yang terkena dampak pada hari Jumat (13 Desember 2019).
Karyawan yang kehilangan seperangkat harddisk bekerja untuk divisi penggajian Facebook, dan ia memang tidak berwenang untuk mengambil/membawa harddisk keluar dari kantor. Bloomberg mengatakan Facebook telah mengambil “tindakan disipliner” sehubungan dengan kecerobohan karyawan ini.
Well, IT Professional, jika dianalisa menurut ISO 2700 sebenarnya, tidak ada masalah terkait pemindahan asset fisik perusahaan. Pemindahan asset tidak dilarang, sebagaimana dengan adanya annex yang tertuang mengatur Security of equipment and assets off-premises, dalam Annex 11.2.6. Isinya bahwa security shall be applied to off-site assets taking into account the different risks of working outside the organization’s premises. Yang berarti pengamanan harus dilakukan pada asset luar lokasi dengan mempertimbangkan risiko yang berada di luar lokasi.
Terkait pelaksanaan Annex ini, diserahkan kepada perusahaan yang mengetahui lebih jauh bagaimana kondisi lapangan. Namun demikian, kontrol kriptografi sudah dijelaskan dalam Annex 10 terkait kontrol kriptografi.
Tujuan lampiran A.10.1 dari ISO 27001: 2013 adalah tentang kontrol kriptografi, untuk memastikan penggunaan kriptografi yang tepat dan efektif demi melindungi kerahasiaan, keaslian, dan / atau integritas informasi. Di dalamnya terdapat pertauran penggunaan kontrol kriptografi, manajemen kunci dan penggunaan enkripsi.
Jika saja data-data ini telah dienkripsi terlebih dahulu, risiko kebocoran data ini tentu jauh lebih berkurang.
Jika Anda tertarik untuk berdiskusi lebih jauh terkait bagaimana klausal dan annex harus diterpakan, janggan ragu untuk menghubungi kami.
Baca Juga :
