Perlindungan Data Pribadi Pengguna Sistem Elektronik: Protecting Data Privacy Indonesia ICT Counci Prof. Kalamullah Ramli Executive Team National ICT Council
Nov 15, 2014
Perlindungan Data Pribadi Pengguna Sistem Elektronik: Protecting Data Privacy
Indonesia ICT Council
Prof. Kalamullah RamliExecutive Team National ICT Council
Indonesia Profiles
2
Indonesia Facts
Indonesia is the world's largest archipelago with over 17,000 islands and stretches across 3,500 miles
3
Sources: cnn.com
Indonesia Economics (first quarter 2012)
• Economic growth: 6,3 %• Gross Domestic Product
(GDP): US$ 825 Million• GDP - composition by sector:
agriculture (14.9%), industry (46%), services (39.1%)
• Member of G20
4
Jakarta night view
• Indonesia regained its investment grade rating from Fitch Rating in late 2011, and from Moody's Rating in early 2012
Indonesia ICT Numbers and Facts
Mobile Phone Subscribers
USA India Indonesia Thailand Malaysia SingaporeChina
sources: cia.gov, last updated 7 Feb 2012
Indonesia has million mobile phone subscribers, or
the th largest in the world.
Russia
859 million
752 million
279 million238 million 220 million
69,7 million34,5 million
7,3millions
6
Social Media: Facebook Users
USA India Indonesia Thailand Malaysia Singapura
Sources: socialbakers.com, last updated 7 Feb 2012
Indonesia has 43,1 million
or the 3th largest in the worlds.
users
7
Indonesia ICT Spending
2008 2009 2010 2011*0.0
5,000.0
10,000.0
15,000.0
20,000.0
25,000.0
30,000.0
ICT Spending(Millions of U.S. Dollars)
CommunicationsComputer HardwareComputer SoftwareComputer Services
19.742,822.583,3
24.769,826.224,0
Sources: WorldBank* Prediction
8
ICT Investment: Central Goverment Agencies
ICT expenditure in government agencies increasing 18,24 % in 2009-2010.
9
2009 2010
Indonesia National ICT Council (DETIKNAS)
National ICT Council Mandate(Presidential Decree No. 20 – 2006)
11
To formulate strategic direction of national development through ICT empowerment
To study and solve strategic problems in order to develop ICT
To coordinate nationally all stakeholders in the development of ICT
To approve the impelementations of cross-department ICT so that effective and efficient
Organization Structures
12
Chair : PresidentVice Chair : Minister for Coord. EconomicExecutive Chair: Minister for Communication and ITMember : Minister for Finance Minister for Industry Minister for Trade Minister for National Education & Culture Minister for Home Affairs Minister for Research and Technology Minister for Law and Human Rights Minister for Public Services Reform Minister for National Planning Secretary of Cabinet Zainal A. Hasibuan
Steering CommitteeChair : Minister for Communication and ITVice Chair : Zainal A. HasibuanSecretary : DG ICT Informatics ApplicationVice Secretary : Deputy Secretary Cabinet of LawMember : Gatot Sudariyono, Sardjoeni Moedjiono, Rudi Lumanto, Adiseno, Setiadi Yazid, Herry Pansila, Arief Mustain, Yan Rianto, Sekjen, DG PPI, DG SDPPI, Head of BPPSDM, MCIT Expert Staff Technology Sector, MCIT Expert Staff Politic and Security Sector
Executive Committee
ICT experts from 4 Universities Other ICT experts with national and international reputations and experiences
AdvisorsMASTEL; FTII & ICT Associations; Universities; Chamber of Commerce; Technology Owner
Secretariat Working Groups
Partners
10 DETIKNAS Strategic Program to Answer National Problems
Using ICT Strategic Program for promoting industry, ICT human resources, and using ICT as an enabler of economic growth
NS
W
e-Educa
tion
Palapa RingLegal Software
e-Pro
curem
ente-
Bu
dg
etin
g
e-Health
NIN
e-Cultural
Heritage
e-Ag
ricultu
re
Comprehensive View of ICT in Indonesia
Government Internet Exchange (GIX)
e-Health
e-Cultural Heritage
NSW
e-KTP
Software Legal
e-Educatione-
Agriculture
e-Budgeting
e-Procurement
ICT Human Resources
ICT Industry
Palapa Ring
National Cyber Security
14
Portal Open e-Government Indonesia
Government Integrated Data Center (GIDC)
G2B G2C G2E G2G
Kemkes
Kemdikbud
Kempertanian KemdikbudKemkeu LKPP
Kemdagri
Kemkominfo
Kemkominfo
Kemkominfo
Kemkominfo
Kemkopolhukam
Kemkoekuin
Kemkominfo
Kemperind
An Overview of Cyber Security in Indonesia
Policies and Regulations: ICT Security
16
Telecommunication Act No 36/1999
Information Transaction Electronic Act No. 11/2008
Implementation Of Telecommunications Government Regulation No. 52/2000
Organizational structure of information security Ministerial Regulation PM 17/PER/M.KOMINFO
IP-based network security Ministerial Regulation No. 16/PER/M.KOMINFO/10/2010
CA Supervisory Board ad hoc team Ministerial Decree No. 197/KEP/M.KOMINFO/05/2010
Information security coordination team Ministerial Decree No. 33/KEP/M.KOMINFO/04/2010
Web server security Ministry Letter
Wifi Security Ministry Letter
Guidelines for the use of ISO 27001 Ministry Letter
National Act:2Government Regulation:1 Ministerial Regulation:2Ministerial Decree:2Ministerial Letter:3
Technical and Procedural
• Indonesia National Standard (SNI ISO/IEC 27001:2009: Information Security Management System): National Standardization Agency (BSN) has established an identical adoption of ISO 27001 become SNI ISO/IEC 27001, This standard covers all types of organizations such as commercial enterprises, government, & nonprofit organization. This standard specifies requirements for establishing, implementing, operating, monitoring, assessment, improving & maintenance of Information Security.
• Health and Safe Internet Program: This program contains educational and public awareness about the importance of information security. It is hoped that through this program, community in ICT sector participate in maintaining security in cyberspace.
• Trust+: Trust Positive (Trust+) is negative content filtering technology based which is developed by models and the workings of this system is to perform filtering of the top level domain, URL and Content, Keyword, Expression. Implementation Trust+ is performed in MCIT, telcooperators and ISPs.
17
Security: Organizational Structures
18
MCIT
Infromation Security Coordination Team
Directorate General of Applications Informatics
Directorate General of Postal Devices and Informatics
Goverment Agencies
Directorate of Information Security
Indonesia Security Incident Response Team on Internet
Infrastructure (ID-SIRTII)
ID-CERT ID-ACAD-CSIRT
Community
Structural Adhoc
Security: Organizational Structures
19
Information Security Coordination Team
Directorate of Information
Security
Indonesia Security Incident Response Team on Internet Infrastructure
Legal Basis
Decree of the Minister of MCIT Number: 133/KEP/M/KOMINFO/04/2010
Regulation of the Minister of MCIT Number:17/PER/M.KOMINFO/10/2010
Regulation of the Minister of MCIT Number: 26/PER/M.KOMINFO/5/2007
Tasks and Functions
To coordinate, develop policy, develop technical guidelines, conducting awareness campaigns, and conduct monitoring and submit reports on the implementation of information security in Indonesia.
To formulate and implement policies, preparation of norms, standards, procedures and criteria, providing technical guidance and evaluation in the field of information security.
Internet traffic monitoring for incident handling purposes;Managing log files to support law enforcement;Educating public for security awareness;Assisting institutions in managing security;Providing training to constituency and stakeholders;Running laboratory for simulation practices;Establishing external and international collaborations.
Cyber Security Threats
Cyber Space in work and daily life
• Daily Life– Online shopping– Mobile
Communication– Social Media– Etc.
21
• In Work– E-Business– E-Commerce– E-Government
– G2C, G2B,B2G, G2E
– Etc.
Threats in Cyber Space
22
Computer Virus HackingWorm . . . . .
Theft Cuts . . . . . Bomb
Information Technology
Logical/Cyber Attack
Physical Attack
Security Context and Motivation
• The current threat for every country is not only come from physical threat, but also from cyber threat, because the cyber threat potentially destroying the economy and destabilize the country's security.
• To anticipate the threats that come from cyberspace, the government needs to develop a defense and security system and strategy.
• The National cyber security system and strategy consist of five aspects: Legal, technical and procedural, Organizational Structures, Capacity Building and International Cooperation (ITU).
Why We Need Information Security?
• Extremely rely on information technology • Unacceptable loss (Tangible and
Intangible)• The existence of various threats
24
Information Security Basic Foundation
Integrity
Asset
ConfidentialityAvailabilityC
I
A
Main Consideration• Confidentiality• Integrity• Availability
25
Integrated Information Security Framework
Administrative Approach
Technology Approach
26
Security Strategic Level
Security Operational Level
control
control
Security Managerial Level
Direct
Direct
Lega
l
Tech
nica
l and
Pro
cedu
ral
Org
aniz
ation
Str
uctu
res
Capa
city
Bui
ldin
g
Inte
rnati
onal
Coo
pera
tion
Execute
Ava
ilab
ilit
y
Inte
gri
tyC
on
fid
enti
alit
y
Information Security Approach
Information Security
Administrative Approach
Technology Approach
Information Security: Administrative Approach
Level/Document Policy Standard Procedure
Strategic V
Tactical V
Operational V
Information Security: Technology Approach- Defense in Depth
Data
Application
Host
Internal Network
External Network
Information Security: Adminstrative and Technology Approach (Defense in Depth)
External Network
DMZ
Penetration Testing
VPN
Logging
Auditing
Vulnerability Analysis
Network Perimeter
Firewalls
Penetration Testing
Proxy
Logging
Auditing
Vulnerability Analysis
Stateful Packet Inspection
Internal Network
IDS
Penetration Testing
IPS
Logging
Auditing
Vulnerability Analysis
Host
Authentication
Password Hashing
Antivirus
IDS
IPS
Logging
Auditing
Penetration Testing
Vulnerability Analysis
Application
SSO
Content Filtering
Auditing
Penetration Testing
Data Validation
Vulnerability Analysis
Data
Encryption
Access Controls
Penetration Testing
Backup
Vulnerability Analysis
Esensi Pertukaran Informasi
Pertukaran Informasi
– Informasi Elektronik– Bukti Elektronik
• Bukti elektronik menjelaskan adanya informasi elektronik yang dipertukarkan dalam transaksi elektronik
– Transaksi Elektronik • Transaksi tidak sekedar pertukaran yang dapat dilihat
secara fisik sebagaimana terjadi dalam pengertian konvensional, seperti jual dan beli, namun diperluas mencakup pertukaran informasi elektronik melalui media elektronik (Internet).
32
Informasi Elektronik
• Informasi Elektronik & / Dokumen Elektronik & / hasil cetaknya merupakan alat bukti hukum yang sah, dan merupakan perluasan dari alat bukti yang diatur dalam Hukum Acara yang berlaku di Indonesia.
• Informasi elektronik dapat berupa catatan elektronik, dokumen elektronik, kontrak elektronik, surat elektronik, atau tanda tangan elektronik.
• Informasi Elektronik & Dokumen Elektronik dinyatakan sah bila mengguna-an Sistem Elektronik sesuai ketentuan dalam UU ITE
33
Informasi Elektronik
• Ketentuan mengenai Informasi Elektronik & Dokumen Elektronik tidak berlaku untuk :• Surat yang menurut UU harus dibuat dalam bentuk
tertulis, diantaranya yaitu surat berharga, surat yang berharga, dan surat yang digunakan dalam proses penegakan hukum acara perdata, pidana, dan administrasi negara.
• Surat beserta dokumennya yang menurut UU harus dibuat dalam bentuk akta notaril atau akta yang dibuat oleh pejabat pembuat akta
34
Informasi Elektronik
• Selain pengecualian sebelumnya yang mensyaratkan suatu informasi elektronik harus berbentuk tertulis atau asli, Informasi Elektronik &/ Dokumen Elektronik dianggap sah bila informasi yang tercantum didalamnya memenuhi ketentuan UU sbb :
1. Dapat terjamin keutuhannya dan dapat dipertanggung jawabkan
Pesan yang dimaksud dalam informasi elektronik tersebut tidak berubah isinya dalam proses penyimpanan, pengiriman, penerimaan dan tampilannya.
2. Dapat diakses
Informasi elekronik tersebut dapat ditelusuri keberadaannya.
3. Dapat ditampilkan sehingga menerangkan suatu keadaan
Informasi elektronik tersebut memiliki makna tertentu atau menjelaskan isi atau substansi yang dimaksud oleh penggunanya.
35
Tanda Tangan Elektronik
• Tanda tangan elektronik memiliki kekuatan hukum dan akibat hukum yang sah selama memenuhi ketentuan dalam undang-undang ini.– Undang-undang memberikan pengakuan secara tegas
bahwa tanda tangan elektronik meskipun hanya merupakan suatu kode akan tetapi memiliki kedudukan yang sama dan sejajar dengan tanda tangan manual pada umumnya yang memiliki kekuatan hukum dan akibat hukum
36
Tanda Tangan Elektronik
• Teknik, metode, sarana, atau proses pembuatan tanda tangan elektronik memiliki kedudukan hukum yang sah selama memenuhi persyaratan yang ditetapkan dalam undang-undang ini.– Tanda tangan elektronik yang dimaksud dalam pasal ini
termasuk penggunaan infrastruktur kunci publik, biometrik, kriptografi simetrik, dan sebagainya.
37
Penyelenggaraan Sertifikasi Elektronik
Setiap Orang berhak menggunakan jasa Penyelenggara Sertifikasi Elektronik untuk pembuatan Tanda Tangan Elektronik.
Penyelenggara Sertifikasi Elektronik harus memastikan keterkaitan suatu Tanda Tangan Elektronik dengan pemiliknya.
Penyelenggara Sertifikasi Elektronik terdiri atas :
a. Penyelenggara Sertifikasi Elektronik Indonesia, berbadan hukum Indonesia, berdomisili di Indonesia
b. Penyelenggara Sertifikasi Elektronik asing. Jika beroperasi di Indonesia harus terdaftar di Indonesia.
38
Penyelenggaraan Sertifikasi Elektronik
Penyelenggara Sertifikasi Elektronik harus menyediakan informasi yang akurat, jelas, dan pasti kepada setiap pengguna jasa, minimum meliputi :a. metode yang digunakan untuk mengidentifikasi
Penanda Tangan;
b. hal yang dapat digunakan untuk mengetahui data diri pembuat Tanda Tangan Elektronik; dan
c. hal yang dapat digunakan untuk menunjukkan keberlakuan dan keamanan Tanda Tangan Elektronik.
39
Penyelenggaraan Sertifikasi Elektronik
• Informasi dan transaksi elektronik diselenggarakan oleh sistem elektronik yang terpercaya, yakni :1. Andal artinya sistem elektronik tersebut memiliki kemampuan
yang sesuai dengan kebutuhan penggunaannya.
2. Aman artinya sistem elektronik tersebut terlindungi baik secara fisik mapun non fisik.
3. Beroperasi sebagaimana mestinya artinya sistem elektronik tersebut memiliki kemampuan sesuai spesifikasinya.
• Penyelenggara sistem elektronik bertanggung jawab terhadap penyelenggaraan sistem elektronik yang diselenggarakannya. Yang dimaksud dengan bertanggung-jawab artinya ada subyek hukum yang bertanggung-jawab terhadap penyelenggaraan sistem elektronik tersebut.
40
Persyaratan Minumun Sistem Elektronik
a. Dapat menampilkan kembali Informasi Elektronik & / Dokumen Elektronik secara utuh sesuai dengan masa retensi yang ditetapkan dengan Peraturan Perundang-undangan;
b. Dapat melindungi ketersediaan, keutuhan, keotentikan, kerahasia-an, dan keteraksesan Informasi Elektronik dalam Penyelenggaraan Sistem Elektronik tersebut;
c. Dapat beroperasi sesuai dengan prosedur atau petunjuk dalam Penyelenggaraan Sistem Elektronik tersebut;
d. Dilengkapi dengan prosedur atau petunjuk yang diumumkan dengan bahasa, informasi, atau simbol yang dapat dipahami oleh pihak ybs dengan Penyelenggaraan Sistem Elektronik tersebut;
e. Memiliki mekanisme yang berkelanjutan untuk menjaga kebaruan, kejelasan, dan kebertanggung-jawaban prosedur atau petunjuk
41
Penutup
Kesimpulan
• UU Informasi dan Transaksi Elektronik (ITE) melindungi keamanan data pribadi yang bersifat elektronik dari pengaksesan (Pasal 30) maupun penggunaan data tanpa izin (Pasal 26).
• Mekanisme pertukaran data pribadi yang bersifat rahasia hendaknya menggunakan tanda tangan elektronik dan sertifikat elektronik.
• Perlunya sosialisasi mengenai kesadaran perlindungan data pribadi.
43