Apa yang dimaksud dengan pelanggaran data?

Istilah "pelanggaran data" dan "pelanggaran" sering digunakan secara bergantian dengan "serangan siber". Namun, tidak semua serangan siber adalah pelanggaran data. Pelanggaran data hanya mencakup pelanggaran keamanan di mana seseorang memperoleh akses tidak sah ke data.

Misalnya, serangan denial-of-service terdistribusi (DDoS) yang membanjiri situs web bukanlah pelanggaran data. Serangan ransomware yang mengunci data pelanggan perusahaan dan mengancam untuk membocorkan data yang dicuri kecuali perusahaan membayar uang tebusan adalah pelanggaran data. Pencurian fisik hard drive, USB flash drive, atau bahkan file kertas yang berisi informasi sensitif juga merupakan pelanggaran data.

Menurut laporan Biaya Pelanggaran Data IBM 2025 , biaya rata-rata global dari pelanggaran data adalah USD 4,44 juta. Meskipun organisasi dengan berbagai ukuran dan jenis rentan terhadap pelanggaran, tingkat keparahan pelanggaran ini dan biaya untuk memulihkannya bisa berbeda-beda.

Sebagai contoh, biaya rata-rata pelanggaran data di Amerika Serikat adalah 10,22 juta USD, sekitar 4 kali lipat dari biaya pelanggaran di India (2,51 juta USD).

Konsekuensi pelanggaran cenderung sangat berat bagi organisasi di bidang yang sangat diatur seperti layanan kesehatan, keuangan, dan sektor publik, di mana denda dan hukuman yang tinggi dapat menambah biaya. Misalnya, menurut laporan IBM, biaya rata-rata pelanggaran data layanan kesehatan pada tahun 2025 adalah USD 7,42 juta, biaya pelanggaran rata-rata tertinggi di antara industri selama 14 tahun berturut-turut.

Biaya pelanggaran data muncul dari sejumlah faktor, dengan laporan IBM mencatat empat faktor utama: kehilangan bisnis, deteksi dan eskalasi, respons pasca-pelanggaran dan pemberitahuan.

Hilangnya bisnis, pendapatan, dan pelanggan akibat pelanggaran ini merugikan organisasi rata-rata sebesar 1,38 juta USD. Harga mendeteksi dan meningkatkan pelanggaran bahkan lebih tinggi yaitu USD 1,47 juta. Pengeluaran pasca-pelanggaran—termasuk denda, penyelesaian, biaya hukum, penyediaan pemantauan kredit gratis kepada pelanggan yang terkena dampak, dan pengeluaran serupa—menimbulkan biaya rata-rata bagi korban pelanggaran sebesar USD 1,20 juta.

Biaya notifikasi, yang mencakup pelaporan pelanggaran kepada pelanggan, regulator, dan pihak ketiga lainnya, adalah yang terendah, yaitu sebesar 390.000 USD. Namun, persyaratan pelaporan masih bisa memberatkan dan memakan waktu.

• US Cyber Incident Reporting for Critical Infrastructure Act (CIRCIA) tahun 2022 mewajibkan organisasi di bidang keamanan nasional, keuangan dan industri lain yang ditetapkan untuk melaporkan insiden keamanan siber yang mempengaruhi data pribadi atau operasi bisnis kepada Departemen Keamanan Dalam Negeri dalam waktu 72 jam.
  
  

• Organisasi AS yang tunduk pada Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan (HIPAA) wajib memberi tahu Departemen Kesehatan dan Layanan Kemanusiaan AS, individu yang terkena dampak, dan (dalam beberapa kasus) media jika informasi kesehatan yang dilindungi dilanggar.
  
  

• Semua 50 negara bagian AS juga memiliki undang-undang pemberitahuan pelanggaran data mereka sendiri.
  
  

•  Peraturan Perlindungan Data Umum (GDPR) mewajibkan perusahaan yang melakukan bisnis dengan warga negara Uni Eropa untuk memberi tahu pihak berwenang tentang pelanggaran dalam waktu 72 jam.
  

Pelanggaran data disebabkan oleh:

• Kesalahan yang tidak disengaja, seperti karyawan yang mengirimkan email berisi informasi rahasia kepada orang yang salah.
   

• Orang dalam yang jahat, termasuk karyawan yang marah atau di-PHK yang ingin menyakiti perusahaan atau menyebabkan kerusakan reputasi, dan karyawan yang serakah yang ingin mengambil keuntungan dari data perusahaan.
   

• Peretas, orang luar yang jahat yang melakukan kejahatan siber yang disengaja untuk mencuri data. Peretas dapat bertindak sebagai operator tunggal atau bagian dari grup yang terorganisir.

Keuntungan finansial adalah motivasi utama untuk sebagian besar pelanggaran data berbahaya. Peretas mencuri nomor kartu kredit, rekening bank atau informasi keuangan lainnya untuk langsung menguras dana dari orang dan perusahaan.

Beberapa penyerang mencuri informasi identifikasi pribadi (PII)—seperti nomor Jaminan Sosial dan nomor telepon—untuk pencurian identitas, mengambil pinjaman dan membuka kartu kredit atas nama korban mereka. Penjahat siber juga dapat menjual PII dan informasi akun yang dicuri di dark web, di mana mereka dapat memperoleh sebanyak 500 USD untuk kredensial login bank.

Pelanggaran data juga bisa menjadi fase pertama dari serangan yang lebih besar. Misalnya, penjahat mungkin mencuri kata sandi akun email dari eksekutif perusahaan dan menggunakannya untuk melakukan  penipuan kompromi email bisnis .

Pelanggaran data mungkin memiliki tujuan selain pengayaan pribadi. Organisasi yang tidak bermoral mungkin mencuri rahasia dagang dari pesaing, dan aktor negara-bangsa mungkin melanggar sistem pemerintah untuk mencuri informasi tentang transaksi politik yang sensitif, operasi militer, atau infrastruktur nasional.

Sebagian besar pelanggaran data yang disengaja yang disebabkan oleh aktor ancaman mengikuti pola dasar yang sama:

1.  Penelitian: Aktor ancaman mengidentifikasi target dan mencari kelemahan yang dapat mereka gunakan untuk membobol sistem target. Kelemahan ini bisa bersifat teknis, seperti kontrol keamanan yang tidak memadai, atau manusia, seperti karyawan yang rentan terhadap rekayasa sosial.
   
   
2. Serangan: Aktor ancaman memulai serangan terhadap target dengan menggunakan metode yang mereka pilih. Penyerang mungkin mengirim email phishing tombak, secara langsung mengeksploitasi kerentanan dalam sistem, menggunakan kredensial login yang dicuri untuk mengambil alih akun atau memanfaatkan vektor serangan pelanggaran data umum lainnya.
   
   
3. Penyusupan data: Di dalam sistem, penyerang menemukan data yang mereka inginkan dan melakukan apa yang ingin mereka lakukan. Taktik yang umum dilakukan adalah mengambil data untuk dijual atau digunakan, menghancurkan data, atau mengunci data untuk meminta uang tebusan.
   

Pelaku jahat dapat menggunakan berbagai vektor serangan atau metode untuk melakukan pelanggaran data. Beberapa yang paling umum termasuk:

Pelanggaran terhadap TJX Corporation pada tahun 2007, perusahaan induk dari pengecer TJ Maxx dan Marshalls, pada saat itu merupakan pelanggaran data konsumen terbesar dan paling mahal dalam sejarah AS. Privasi data sekitar 94 juta pelanggan telah dibobol, dan perusahaan menderita kerugian finansial lebih dari 256 juta USD.

Peretas memperoleh akses ke data dengan menanam sniffer lalu lintas di jaringan nirkabel dua toko. Sniffer memungkinkan para peretas untuk menangkap informasi saat informasi tersebut dikirimkan dari mesin kasir toko ke sistem back-end.

Pada tahun 2013, Yahoo mengalami pelanggaran data terbesar dalam sejarah. Para peretas mengeksploitasi kelemahan dalam sistem cookie perusahaan untuk mengakses nama, tanggal lahir, alamat email, dan kata sandi dari 3 miliar pengguna Yahoo.

Tingkat penuh dari pelanggaran tersebut terungkap pada tahun 2016 ketika Verizon sedang dalam pembicaraan untuk membeli perusahaan. Akibatnya, Verizon mengurangi penawaran akuisisi sebesar 350 juta USD.

Pada tahun 2017, para peretas membobol agen pelaporan kredit Equifax dan mengakses data pribadi lebih dari 143 juta orang Amerika.

Peretas mengeksploitasi kelemahan yang belum ditambal di situs Equifax untuk mendapatkan akses ke jaringan. Para peretas kemudian berpindah secara lateral ke server lain untuk menemukan nomor Jaminan Sosial, nomor SIM, dan nomor kartu kredit. Serangan tersebut merugikan Equifax sebesar 1,4 miliar USD antara penyelesaian, denda, dan biaya lain yang terkait dengan perbaikan pelanggaran.

Pada tahun 2020, aktor ancaman Rusia melakukan serangan rantai pasokan dengan meretas vendor perangkat lunak SolarWinds. Peretas menggunakan platform pemantauan jaringan organisasi, Orion, untuk mendistribusikan malware secara diam-diam ke pelanggan SolarWinds.

Mata-mata Rusia mendapatkan akses ke informasi rahasia dari berbagai lembaga pemerintah AS, termasuk Departemen Keuangan, Kehakiman, dan Luar Negeri, yang menggunakan layanan SolarWinds.

Pada tahun 2021, peretas menginfeksi sistem Colonial Pipeline dengan ransomware, memaksa perusahaan untuk menutup sementara saluran yang memasok 45% bahan bakar di Pantai Timur AS.

Peretas melanggar jaringan dengan menggunakan kata sandi karyawan yang mereka temukan di dark web. Colonial Pipeline Company membayar tebusan sebesar 4,4 juta USD dalam bentuk mata uang kripto, tetapi penegak hukum federal mengembalikan sekitar 2,3 juta USD dari pembayaran tersebut.

Pada musim gugur tahun 2023, peretas mencuri data 6,9 juta pengguna 23andMe. Pelanggaran ini terkenal karena beberapa alasan. Pertama, karena 23andMe melakukan pengujian genetik, penyerang memperoleh beberapa informasi yang tidak biasa dan sangat pribadi, termasuk silsilah keluarga dan data DNA.

Kedua, para peretas melanggar akun pengguna melalui teknik yang disebut “pengisian kredensial”. Dalam serangan semacam ini, peretas menggunakan kredensial yang diekspos pada kebocoran sebelumnya dari sumber lain untuk membobol akun pengguna yang tidak terkait pada platform yang berbeda. Serangan ini berhasil karena banyak orang menggunakan kombinasi nama pengguna dan kata sandi yang sama di beberapa situs.

Menurut laporan Biaya Pelanggaran Data 2025, dibutuhkan rata-rata 241 hari untuk mengidentifikasi dan mengatasi pelanggaran aktif di semua industri. Menerapkan solusi keamanan yang tepat dapat membantu organisasi mendeteksi dan merespons pelanggaran ini dengan lebih cepat.

Langkah-langkah manajemen risiko Standard, seperti penilaian kerentanan rutin, pencadangan terjadwal, penambalan tepat waktu, dan konfigurasi database yang tepat, dapat membantu mencegah beberapa pelanggaran dan melunakkan pukulan yang terjadi.

Namun, banyak organisasi saat ini menerapkan kontrol yang lebih canggih dan praktik terbaik untuk menghentikan lebih banyak pelanggaran dan secara signifikan mengurangi kerusakan yang ditimbulkannya.

Organisasi dapat menerapkan solusi keamanan data khusus untuk secara otomatis menemukan dan mengklasifikasikan data sensitif, menerapkan enkripsi dan perlindungan lainnya, serta mendapatkan insight real-time mengenai penggunaan data.

Organisasi dapat mengurangi kerusakan pelanggaran dengan mengadopsi rencana respons insiden formal untuk mendeteksi, menahan, dan memberantas ancaman siber. Menurut laporan Biaya Pelanggaran Data 2025, bidang investasi keamanan terpopuler ketiga untuk tahun 2025 adalah perencanaan dan pengujian IR, yaitu 35% dari semua responden.

Organisasi yang secara ekstensif mengintegrasikan kecerdasan buatan (AI) dan otomatisasi ke dalam operasi keamanan menyelesaikan pelanggaran data 80 hari lebih cepat daripada yang tidak, menurut laporan Biaya Pelanggaran Data 2025. Laporan tersebut juga menemukan bahwa AI keamanan dan otomatisasi mengurangi biaya pelanggaran rata-rata sebesar USD 1,9 juta atau penghematan lebih dari 34% (dibandingkan dengan organisasi yang tidak menggunakan AI keamanan dan otomatisasi).

Banyak keamanan data, pencegahan kehilangan data dan alat manajemen identitas dan akses sekarang menggabungkan AI dan otomatisasi.

Karena serangan rekayasa sosial dan phishing adalah penyebab utama pelanggaran, melatih karyawan untuk mengenali dan menghindari serangan ini dapat mengurangi risiko pelanggaran data perusahaan. Selain itu, melatih karyawan untuk menangani data dengan benar dapat membantu mencegah pelanggaran data yang tidak disengaja dan kebocoran data.

Pengelola kata sandi, autentikasi dua faktor (2FA) atau autentikasi multifaktor (MFA), masuk tunggal (SSO), dan alat manajemen identitas dan akses (IAM) lainnya dapat melindungi akun karyawan, VPN, dan kredensial dari pencurian.

Organisasi juga dapat menerapkan kontrol akses berbasis peran dan prinsip hak istimewa terkecil untuk membatasi akses karyawan hanya pada data yang mereka perlukan untuk peran mereka. Kebijakan-kebijakan ini dapat membantu menghentikan ancaman orang dalam dan peretas yang membajak akun yang sah.