Singapura Denda Grab Rp108 Juta Terkait Kebocoran Data

Regulator Perlindungan Data Pribadi Singapura akhirnya mendenda Grab sebesar US$7,3 ribu atau sekitar Rp108 juta akibat kebocoran 20 ribu data pengguna dalam layanan GrabHitch pada Agustus 2019. Sanksi tersebut baru diberikan setelah Grab baru mengonfirmasi kebocoran data tersebut.

Komisi Perlindungan Data Pribadi menjelaskan pembaruan aplikasi Grab mengekspos lebih dari 21,5 ribu pengguna terhadap risiko akses tak sah pada Agustus 2019. Kebocoran itu meliputi foto profil, nama, saldo pengguna, dan nomor plat kendaraan terkait dengan layanan GrabHitch.

Regulator Singapura menjelaskan celah keamanan itu memang diperbaiki dalam waktu kurang dari satu jam, namun perusahaan seharusnya memiliki tes pra-peluncuran secara layak terhadap pembaruan sebelum meluncurkan pembaruan tersebut.

Komisi Perlindungan Data Pribadi mengingatkan bahwa pelanggaran data tersebut adalah pelanggaran data pribadi keempat Grab sejak 2018.

"Mengingat bahwa bisnis organisasi melibatkan pemrosesan data pribadi dalam jumlah besar setiap hari, ini menjadi penyebab kekhawatiran yang signifikan," kata Wakil Komisaris Komisi Perlindungan Data Pribadi Yeong Zee Kin.

Terpisah, Ahli Strategi Keamanan Senior di Synopsys Software Integrity Group, Jonathan Knudsen mengatakan membangun keamanan data merupakan langkah penting bagi setiap organisasi.

Saat insiden keamanan terjadi, mereka yang tidak siap dengan inisiatif keamanan software atau rencana respons insiden akan mengalami dampak terkait serangan siber.

Pendekatan bisnis yang proaktif dan mengutamakan keamanan membuat organisasi bisa menurunkan risiko dan meminimalkan gangguan. Knudsen mengatakan keamanan adalah 'oli' yang membuat seluruh mesin bekerja lebih baik.

Knudsen juga menjelaskan saat ini sistem keamanan terus diperbaiki dari waktu ke waktu untuk membuatnya lebih tangguh melawan serangan siber. Namun perbaikan biasanya dilakukan sebagai langkah darurat saat terjadi serangan siber, bukan langkah yang diambil sebelum terjadi serangan.

"Namun, kerusakan reputasi mungkin tidak memberikan jalan yang jelas ke depan dalam hal kepercayaan pelanggan," kata Knudsen dalam keterangan resmi dikutip Selasa, (15/9).

Dilansir dari Bloomberg, Singapura adalah salah satu dari sedikit negara Asia dengan aturan perlindungan data yang komprehensif. Perusahaan multinasional yang berbisnis di Singapura harus mengikuti Undang-Undang Perlindungan Data Pribadi. Aturan itu mewajibkan perusahaan untuk mendapatkan persetujuan pengguna sebelum mengumpulkan atau menggunakan data pribadi.

Grab, yang beroperasi di 351 kota di delapan negara di Asia Tenggara telah diunduh sebanyak 187 juta kali. Sikap terbuka dan kooperatif dari Grab terhadap penyelidikan menjadi faktor yang meringankan sanksi.

Regulator memerintahkan apa yang disebut perlindungan data berdasarkan kebijakan desain. Perintah ini mewajibkan pengembang aplikasi untuk mempertimbangkan masalah data dan privasi pada tahap desain dalam 120 hari.

Grab Indonesia meminta maaf atas kebocoran data pengguna ini. Untuk menghindari hal ini terulang kembali. Grab telah menerapkan proses yang lebih ketat, terutama yang berkaitan dengan pengujian proses IT.

"Juga dengan pembaharuan prosedur tata kelola dan juga melakukan architecture review pada source codes dan legacy application kami," kata Grab.