Apa yang dimaksud dengan informasi identifikasi pribadi (PII)?

Dengan makin meningkatnya ketergantungan masyarakat terhadap teknologi informasi dalam pekerjaan dan kehidupan pribadi mereka, jumlah PII yang dibagikan kepada organisasi-organisasi pun makin bertambah. Sebagai contoh, perusahaan mengumpulkan data pribadi pelanggan untuk memahami pasar mereka, dan konsumen dengan mudah memberikan nomor telepon dan alamat rumah mereka untuk mendaftar ke layanan dan berbelanja online.

Berbagi PII dapat memberikan manfaat, karena memungkinkan bisnis untuk menyesuaikan produk dan layanan dengan keinginan dan kebutuhan pelanggan mereka, seperti menyajikan hasil pencarian yang lebih relevan di aplikasi navigasi. Namun, timbunan PII yang terus bertambah yang dikumpulkan oleh organisasi menarik perhatian para penjahat siber.

Peretas mencuri PII untuk melakukan pencurian identitas, menjualnya di pasar gelap, atau menyanderanya dengan ransomware. Menurut laporan Biaya Pelanggaran Data 2024 dari IBM, biaya rata-rata pelanggaran data yang disebabkan oleh serangan ransomware adalah USD 5,13 juta. Individu dan profesional keamanan informasi harus menavigasi lingkungan TI dan hukum yang kompleks untuk menjaga privasi data dalam menghadapi serangan ini.

PII hadir dalam dua jenis: pengidentifikasi langsung dan pengidentifikasi tidak langsung. Pengidentifikasi langsung bersifat unik bagi seseorang dan mencakup hal-hal seperti nomor paspor atau nomor SIM. Pengidentifikasi langsung tunggal biasanya cukup untuk menentukan identitas seseorang.

Pengidentifikasi tidak langsung tidak unik. Informasi ini termasuk detail pribadi yang lebih umum seperti ras dan tempat lahir. Meskipun satu pengidentifikasi tidak langsung tidak dapat digunakan untuk mengidentifikasi seseorang, kombinasi beberapa dari informasi tersebut bisa. Misalnya, 87% warga AS dapat diidentifikasi hanya berdasarkan jenis kelamin, kode pos, dan tanggal lahir mereka.

Tidak semua data pribadi dianggap PII. Misalnya, data tentang kebiasaan streaming seseorang bukanlah PII. Ini karena akan sulit, bahkan tidak mungkin, untuk mengidentifikasi seseorang hanya berdasarkan apa yang mereka tonton di Netflix. PII hanya mengacu pada informasi yang mengarah ke orang khusus, seperti jenis informasi yang mungkin Anda berikan untuk memverifikasi identitas Anda saat menghubungi bank Anda.

Di antara PII yang ada, beberapa informasi lebih sensitif daripada yang lain. PII sensitif adalah informasi sensitif yang secara langsung mengidentifikasi seseorang dan dapat menyebabkan kerugian yang signifikan jika bocor atau dicuri.

Nomor jaminan sosial (SSN) adalah contoh yang pas untuk PII yang sensitif. Karena banyak instansi pemerintah dan lembaga keuangan menggunakan SSN untuk memverifikasi identitas seseorang, penjahat yang mencuri SSN dapat dengan mudah mengakses catatan pajak atau rekening bank korbannya. Contoh lain dari PII sensitif meliputi:

• Nomor identifikasi unik, seperti nomor SIM, nomor paspor, dan nomor identitas lain yang dikeluarkan pemerintah.
• Data biometrik, seperti sidik jari dan pemindaian retina.
• Informasi keuangan, termasuk nomor rekening bank dan nomor kartu kredit.
• Rekam medis.

PII sensitif biasanya tidak tersedia untuk umum, dan sebagian besar undang-undang privasi data yang ada mengharuskan organisasi untuk melindunginya dengan mengenkripsinya, mengendalikan siapa yang mengaksesnya atau mengambil tindakan keamanan siber lainnya.

PII yang tidak sensitif adalah data pribadi yang, secara terpisah, tidak akan menyebabkan kerugian yang signifikan bagi seseorang jika bocor atau dicuri. Ini mungkin atau mungkin tidak unik untuk seseorang. Sebagai contoh, sebuah nama akun media sosial adalah PII yang tidak sensitif: PII ini dapat mengidentifikasi seseorang, tetapi pelaku kejahatan tidak dapat melakukan pencurian identitas hanya dengan berbekal nama akun media sosial. Contoh lain dari PII yang tidak sensitif meliputi:

• Nama lengkap seseorang
• Nama gadis ibu
• Nomor telepon
• Alamat IP
• Tempat lahir
• Tanggal lahir
• Detail geografis (kode pos, kota, negara bagian, negara, dll.)
• Informasi pekerjaan
• Alamat email atau alamat surat
• Ras atau etnis
• Agama

PII yang tidak sensitif sering kali tersedia untuk umum. Sebagai contoh, nomor telepon dapat dicantumkan dalam buku telepon, dan alamat dapat dicantumkan dalam catatan properti publik pemerintah daerah. Beberapa peraturan privasi data tidak memerlukan perlindungan PII yang tidak sensitif, tetapi banyak perusahaan tetap menerapkan perlindungan. Itu karena penjahat tetap dapat menyebabkan masalah dengan menggabungkan beberapa bagian PII yang tidak sensitif.

Sebagai contoh, seorang peretas dapat membobol aplikasi rekening bank seseorang dengan nomor telepon, alamat email, dan nama gadis ibunya. Email memberi mereka nama pengguna. Memalsukan nomor telepon memungkinkan peretas menerima kode verifikasi. Nama gadis ibu memberikan jawaban atas pertanyaan keamanan.

Penting untuk dicatat bahwa apakah sesuatu dianggap sebagai PII sensitif atau tidak sensitif sangat bergantung pada konteks. Nama lengkapnya sendiri mungkin tidak sensitif, tetapi daftar orang yang pernah mengunjungi dokter tertentu akan menjadi sensitif. Demikian pula, nomor telepon seseorang mungkin tersedia untuk umum, tetapi basis data nomor telepon yang digunakan untuk autentikasi dua faktor di situs media sosial merupakan PII yang sensitif.

Konteks juga menentukan apakah sesuatu dianggap PII sama sekali. Sebagai contoh, data geolokasi anonim yang dikumpulkan sering kali dilihat sebagai data pribadi umum karena identitas setiap pengguna tidak dapat diisolasi.

Namun, setiap catatan dari data geolokasi anonim dapat menjadi PII, seperti yang ditunjukkan dalam gugatan Federal Trade Commission (FTC) baru-baru ini.

FTC berpendapat bahwa pialang data Kochava menjual data geolokasi yang dianggap sebagai PII karena "umpan data khusus perusahaan memungkinkan pembeli untuk mengidentifikasi dan melacak pengguna perangkat seluler tertentu. Sebagai contoh, lokasi perangkat seluler di malam hari kemungkinan besar adalah alamat rumah pengguna dan dapat dikombinasikan dengan catatan properti untuk mengungkap identitas mereka."

Kemajuan teknologi juga memudahkan untuk mengidentifikasi orang-orang dengan informasi yang lebih sedikit, sehingga berpotensi menurunkan ambang batas untuk apa yang dianggap sebagai PII secara umum. Sebagai contoh, para peneliti di IBM dan University of Maryland telah merancang sebuah algoritma. Algoritma ini mengidentifikasi individu tertentu dengan menggabungkan data lokasi anonim dengan informasi yang tersedia untuk umum dari situs jejaring sosial.

Menurut McKinsey, 75% negara telah menerapkan undang-undang privasi data yang mengatur pengumpulan, penyimpanan, dan penggunaan PII. Mematuhi peraturan ini bisa jadi sulit karena yurisdiksi yang berbeda mungkin memiliki aturan yang berbeda atau bahkan bertentangan.

Munculnya komputasi awan dan tenaga kerja jarak jauh juga menimbulkan tantangan. Dalam lingkungan ini, data dapat dikumpulkan di satu tempat, disimpan di tempat lain, dan diproses di tempat ketiga. Peraturan yang berbeda mungkin berlaku untuk data pada setiap tahap, tergantung pada lokasi geografis.

Lebih rumit lagi, peraturan yang berbeda menetapkan standar yang berbeda untuk jenis data apa yang harus dilindungi. Peraturan Perlindungan Data Umum Uni Eropa (GDPR) mewajibkan organisasi untuk melindungi semua data pribadi, yang didefinisikan  sebagai "setiap informasi yang berkaitan dengan orang perseorangan yang diidentifikasi atau dapat diidentifikasi. "

Di bawah GDPR, organisasi harus melindungi PII sensitif dan tidak sensitif. Organisasi juga harus melindungi hal-hal yang bahkan mungkin tidak dianggap sebagai data sensitif dalam konteks lain. Informasi ini mencakup opini politik, afiliasi organisasi, dan deskripsi karakteristik fisik. 

Kantor Manajemen dan Anggaran (Office of Management and Budget, OMB) pemerintah AS secara lebih sempit mendefinisikan PII sebagai:

[I]nformasi yang dapat digunakan untuk membedakan atau melacak identitas individu, seperti nama, nomor jaminan sosial, catatan biometrik, dll. baik secara terpisah, atau jika dikombinasikan dengan informasi pribadi atau identifikasi lainnya yang berkaitan atau dapat dikaitkan dengan individu tertentu, seperti tanggal dan tempat lahir, nama gadis ibu, dll.

Seperti yang dikatakan oleh analis Gartner, Bart Willemsen, "Di AS... PII secara historis mengacu pada dua atau tiga puluhan pengidentifikasi seperti nama, alamat, nomor jaminan sosial, surat izin mengemudi, atau nomor kartu kredit".

Meskipun AS tidak memiliki undang-undang privasi data tingkat federal, lembaga pemerintah tunduk pada Undang-Undang Privasi tahun 1974, yang mengatur cara lembaga federal mengumpulkan, menggunakan, dan membagikan PII. Beberapa negara bagian AS mempunyai peraturan privasi datanya sendiri, terutama California. Undang-Undang Privasi Konsumen California (CCPA) dan Undang-Undang Privasi California (CPRA) memberi konsumen hak tertentu mengenai cara organisasi mengumpulkan, menyimpan, dan menggunakan PII mereka.

Beberapa industri juga memiliki peraturan privasi data mereka sendiri. Di Amerika Serikat, Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan (HIPAA) mengatur bagaimana organisasi layanan kesehatan mengumpulkan dan melindungi rekam medis dan PII pasien.

Demikian pula, Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS) mengenai standar industri keuangan global tentang bagaimana perusahaan kartu kredit, merchant, dan pemroses pembayaran menangani informasi pemegang kartu yang sensitif.

Penelitian menunjukkan bahwa organisasi telah bergulat untuk menavigasi lingkungan hukum dan standar industri yang beragam ini. Menurut ESG, 66% perusahaan yang telah menjalani audit privasi data dalam tiga tahun terakhir telah gagal setidaknya sekali, dan 23% telah gagal tiga kali atau lebih.

Kegagalan untuk mematuhi peraturan privasi data yang relevan dapat mengakibatkan denda, kerusakan reputasi, kehilangan bisnis, dan konsekuensi lainnya bagi organisasi. Misalnya, Amazon didenda USD 888 juta karena melanggar GDPR pada tahun 2021.

Peretas mencuri PII karena berbagai alasan: untuk melakukan pencurian identitas, untuk pemerasan, atau untuk menjualnya di pasar gelap, di mana mereka dapat memperoleh hingga 1 USD per nomor jaminan sosial dan 2.000 USD per nomor paspor.

Peretas juga dapat menargetkan PII sebagai bagian dari serangan yang lebih besar: Mereka dapat menyandera PII dengan menggunakan ransomware atau mencuri PII untuk mengambil alih akun email para eksekutif untuk digunakan dalam penipuan phishing tombak dan penyusupan email bisnis (BEC).

Penjahat siber sering menggunakan serangan rekayasa sosial untuk menipu korban yang tidak menaruh curiga agar rela menyerahkan PII, tetapi mereka juga dapat membelinya di dark web atau mendapatkan akses sebagai bagian dari pelanggaran data yang lebih besar. PII dapat dicuri secara fisik dengan rooting melalui sampah seseorang atau memata-matai mereka saat mereka menggunakan komputer.

Aktor jahat juga dapat memantau akun media sosial target, yang mana banyak orang tanpa sadar membagikan PII yang tidak sensitif setiap hari. Seiring waktu, penyerang dapat mengumpulkan informasi yang cukup untuk menyamar sebagai korban atau membobol akun mereka.

Bagi organisasi, melindungi PII bisa jadi rumit. Pertumbuhan komputasi awan dan layanan SaaS berarti bahwa PII dapat disimpan dan diproses di beberapa lokasi, bukan di satu jaringan terpusat.

Menurut laporan dari ESG, jumlah data sensitif yang disimpan di cloud publik diperkirakan akan berlipat ganda pada tahun 2024, dan lebih dari separuh organisasi meyakini bahwa data ini tidak cukup aman.

Untuk melindungi PII, organisasi biasanya membuat kerangka kerja privasi data. Kerangka kerja ini dapat memiliki bentuk yang berbeda tergantung pada organisasinya, PII yang dikumpulkannya, dan peraturan privasi data yang harus dipatuhi. Sebagai contoh, Institut Standar dan Teknologi Nasional menyediakan kerangka kerja sampel ini:

1. Mengidentifikasi semua PII dalam sistem organisasi.

2. Meminimalkan pengumpulan dan penggunaan PII, dan secara teratur membuang PII yang tidak lagi diperlukan.

3. Mengkategorikan PII menurut tingkat sensitivitas.

4. Menerapkan kontrol keamanan data. Contoh kontrol dapat mencakup:

• Enkripsi: Mengenkripsi PII saat transit, saat istirahat, dan saat digunakan melalui enkripsi homomorfis atau komputasi rahasia dapat membantu menjaga PII tetap aman dan patuh di mana pun PII tersebut disimpan atau ditangani.
  
  
• Manajemen identitas dan akses (IAM): Autentikasi dua faktor atau multifaktor dapat menempatkan lebih banyak penghalang antara peretas dan data sensitif. Demikian pula, menegakkan prinsip hak istimewa yang paling sedikit melalui arsitektur zero trust dan kontrol akses berbasis peran (RBAC) dapat membatasi jumlah yang dapat diakses oleh peretas PII jika mereka berhasil membobol jaringan.
  
  
• Pelatihan: Karyawan belajar cara menangani dan membuang PII dengan benar. Para karyawan juga belajar bagaimana melindungi PII mereka sendiri. Pelatihan ini mencakup bidang-bidang seperti anti-phishing, rekayasa sosial, dan kesadaran media sosial.
  
  
• Anonimisasi: Anonimisasi data adalah proses menghapus karakteristik identifikasi data sensitif. Teknik anonimisasi yang umum termasuk menghapus pengidentifikasi dari data, menggabungkan data, atau menambahkan kebisingan secara strategis ke data.
  
  
• Alat keamanan siber: Alat pencegahan kehilangan data (DLP) dapat membantu melacak data saat bergerak di seluruh jaringan, sehingga lebih mudah mendeteksi kebocoran dan pelanggaran. Solusi keamanan siber lainnya yang menawarkan tampilan aktivitas tingkat tinggi di jaringan—seperti alat deteksi dan respons yang diperluas (XDR)—juga dapat membantu dalam melacak penggunaan dan penyalahgunaan PII.

5. Menyusun rencana respons insiden terhadap kebocoran dan pelanggaran PII.

Perlu dicatat bahwa NIST dan pakar privasi data lainnya sering kali merekomendasikan untuk menerapkan kontrol yang berbeda pada kumpulan data yang berbeda berdasarkan seberapa sensitif data tersebut. Menggunakan kontrol ketat untuk data yang tidak sensitif mungkin rumit dan tidak hemat biaya.