Data Privacy and

Security
Jakarta, December 2020
Prepared by:
Mukhamad Faiz Fanani, S.Kom, CEH, CHFI
As Kebijakan dan Keamanan TI PT
PLN(Persero) Kantor Pusat
IT’S Me
MUKHAMAD FAIZ FANANI
Skom, CEH, CHFI
➢ Certified Ethical Hacker-By EC-Council
➢ Certified Hacking Forensic Investigator-By EC-Council

➢ IT-OT Convergence In Power and Energy-Meralco

PHILIPINES
➢ Industrial Control System Cybersecurity Training-IPA
JAPAN

➢ Peserta Terbaik III Drill Test Cybersecurity 2018- Badan

Siber dan Sandi Negara (BSSN)
➢ International Conference “The 2019 General Meeting
and PIESA-IERE South Africa Forum” With Title
“Security Testing for Preventing Backdoor Threat in
Smart meter Implementation In Indonesia”

www.pln.co.id |
What Is Data?
“1. Facts that can be analyzed
or used in an effort to gain
knowledge or make decisions;
information.
2. Statistics or other
information represented in a
form suitable for processing by
computer.
3. Plural of datum.
“
Source:
https://www.thefreedictionary.com/data

www.pln.co.id |
What Is Privacy?
“someone's right to keep their
personal matters and
relationships secret:”
Source:
https://dictionary.cambridge.org/dictionary/engl
ish/privacy

Privacy=Personal Data
-NIK
-Jenis Kelamin
-No.Rekening
-IDPEL

www.pln.co.id |
Data Privacy
• Kumpulan fakta-fakta yang
melekat dan
merepresentasikan
individu/personal.
• Data dapat bersifat unik
antara individu satu dengan
individu lainnnya.

www.pln.co.id |
Cyber Security for Data Privacy

Keamanan siber untuk data

privacy yaitu melakukan
perlindungan terhadap data
privacy mencakup dalam
bagaimana melakukan
pengelolaan, pemrosesan,
penyimpanan and
penggunaan

www.pln.co.id |
International Data Breach Report
• Setiap tahun tim SOC Verizon
membuat laporan investigasi
data breach dari seluruh
dunia.
• Pada tahun 2020, penyebab
kebocoran data 45% berasal
dari aktifitas hacking dan 70%
kebocoran dilakukan oleh
pihak-pihak luar.
• Kebanyakan data-data yang
menjadi target serangan yaitu
terkait data financial

www.pln.co.id |
Source: Verizon Data Breach Investigations Report 2020
Insiden Kebocoran Data di Indonesia Selama 2020

www.pln.co.id |
Cyber Attack Actors And Motivation
Actors Common Motivations Impacts
ESPIONAGE AND SABOTAGE :
State-Sponsored State Ideology, military advantage
Political advantage

HACKING INSPIRED BY IDEOLOGY:

Hacktivism Shifting allegiances – dynamic,
unpredictable • COUNTRY STABILITY
• FINANCIAL LOSS
INTENTIONAL OR UNINTENTIONAL: • REPUTATION DAMAGE
The Insider
Grudge, financial gain • INTELECTUAL PROPERTY LOSS

Competitors COMPETITION OR RIVALRY:

Gain business edge

GLOBAL, DIFFICULT TO TRACE AND

Organised Crime PROSECUTE:
Financial advantage www.pln.co.id |
Protecting Data Privacy

Data Policy and

Regulation

Administrative Perspective
Encryption
Technology Perspective

End User
Security
Access Awareness
Control
Data
Security Identification,
Monitoring and Classification

Standard and
Procedure Managing
Data

www.pln.co.id |
Regulation
Data Privacy Laws and Acts History

GDPR(2018)
General Data Privacy Regulation GDPR) aims to
protect EU citizens'personal data
FISMA(2002)
Federal Information Security Management Act (FISMA) orders agencies to
SOX(2002)-US protect data
Sarbanes-Oxley Act (SOX) protects the public from fraudulent practices by corporations
COPPA(2000)-US
Children's Online Privacy Protection Act (COPPA) protects children's' data ( 12 yrs.)
GLBA(1999)-US
Gramm-Leach-Bliley Act (GLBA) protects financial nonpublic personal information (NPI)

HIPAA(1996)
Health Insurance Portability and Accountability Act (HIPAA) protects health information

US Privacy Act(1974)-US
maintains restrictions on data held by government
agencies www.pln.co.id |
General Data Protection Regulation (GDPR)

“The General Data Protection

Regulation (GDPR) is a regulation
in EU law on data protection and
privacy in the European Union
(EU) and the European Economic
Area (EEA). It also addresses the
transfer of personal data outside
the EU and EEA areas”

www.pln.co.id |
Who Affected GDPR?

www.pln.co.id |
 Terminology
Pengelolaan Data
Personal

personally identifiable Data Owner/Data Data Controller Data Processor Joint Controller
information (PII) Subject
Personally identifiable Data owners are either The responsible party for the Entities that possess, Where two or more controllers
information (PII) is any data individuals or teams who fair, transparent, and secure manipulate, or otherwise “use” jointly determine the purposes
that can be used to identify a make decisions such as who collection and use of personal data on behalf of a data control and means of the processing of
specific individual has the right to access and information. ler, but do not exercise personal data, they are joint
edit data and how it's used. responsibility or control over controllers.
the data.

Example: Example responsibilities include: Example responsibilities include: Example responsibilities include: Considerations include:
Social Security numbers, mailing or In the context of the GDPR, data ▪ May only collect data for explic ▪ Must only process data on ▪ Joint controllers must, by
email address, and phone numbers, owners are accountable for the it and legitimate purposes strict instruction from the data means of an "arrangement"
Name, Citizen Number, etc quality, integrity, and protection of ▪ Must ensure accuracy and controller between them, apportion data
their data space. security ▪ Must maintain security to protection compliance
▪ Must provide means to rectify/ protect against unauthorized responsibilities between
purge data access, disclosure, or loss themselves
▪ Must respect retention and sec ▪ Must formally register as a ▪ A summary of the arrangemen
ure deletion processor t must be made available for
the data subject. The arrange
ment may designate a contact
www.pln.co.id
point for data subjects
|
Personal and Sensitive Data

www.pln.co.id |
 Regulasi Perlindungan Data Pribadi di Indonesia
• Regulasi perlindungan data
pribadi di Indonesia ada di
Peraturan Kominfo Nomor 20
Tahun 2016 Tentang Data
Pribadi Dalam Sistem
Elektronik

www.pln.co.id |
RUU Perlindungan Data Pribadi

• Target [UU PDP] direncanakan selesai akhir

tahun 2020 atau paling lambat di 2021
awal.
• Tujuan utama regulasi perlindungan
data pribadi adalah melindungi
kepentingan konsumen dan
memberikan manfaat ekonomi bagi
Indonesia

www.pln.co.id |
Sanksi Terhadap Pelanggar

www.pln.co.id |
Keamanan Data
Korporat
 Informasi Billing
Kolom Data
Lengkap/Detail Info Struk Transaksi Terbatas
AP2T/ P2APST

❑ ID Pelanggan ❑ kWh Pemakaian,

❑ Nama ❑ Stand Awal
❑ Alamat ❑ Stand Akhir
❑ No. HP* ❑ Rp Tagihan
❑ Email* ❑ Pajak.
❑ Tarif ❑ …
❑ Daya

www.pln.co.id ||
 What going on 77 million customer data? Big Data & Analytic
• Customer Segmentation
Layanan Paskabayar & Profiling DESCRIPTIVE ANALYTICS
• Electricity Theft Analytics
• Nomor Meter
• Electricity Theft Analytics
• Nama Tarif Daya • Improving Customer
BILLMAN • Nominal Token Experience
• Admin Bank DIAGNOSTIC ANALYTICS
Catat Meter • Total Tagihan
Mandiri
PREDICTIVE ANALYTICS
SWACAM
PRESCRIPTIVE
ANALYTICS

Layanan Prabayar
Central Database 77 jt Eksternal Intergration
Pelanggan
TOKEN LISTRIK
AIRTAX DJP
• IDPEL
• NAMA DJP VS Bank Presepsi
• TRF/DAYA • Pengiriman PPn Wapu
• NOMINAL ke bank persepsi
• PAJAK • Rekonsiliasi Transaksi TNP2K-ESDM &
• RP TOKEN • Subsidi Tepat Sasaran
• Validasi dan Verifikasi
KEMENSOS
• TOKEN
Data Penerima Subsidi www.pln.co.id |
Pejabat Pengelola informasi Publik (PPID)
 How to Protect customer data?
Corporate Private Network
Layanan Paskabayar
Aplikasi Catat Aplikasi Pelayanan
Aplikasi Catat ERP – Enterpise
Meter Pelanggan
Meter Mobile Resource Planning
Petugas
Baca Meter BILLMAN ACMT Mobile ACMT HTTPS
AP2T SAP
HTTPS
• Firewall Protection
Central
• Anti DDoS Protection
Database
• Secured Protocol (HTTPS)
Pelanggan

LAPORAN
Catat Meter
kWh Meter Mandiri
HTTPS
KEUANGAN
Data Tagihan
• IP Whitelist Pelanggan
PELANGGAN SWACAM • Firewall Protection
• Anti DDoS Protection A2MRT
Automatic Meter • Secured Protocol
Reading (HTTPS) IP Whitelist
Isolated Network
CA – Collecting Agent

ICON+ Payment
GENERATOR
Transaksi P2APST TOKEN
pembayaran Gateway

MITRA BANK • IP Whitelist • IP Whitelist Pembangkit Token

• Firewall Protection • Firewall Protection
• Anti DDoS Protection • Anti DDoS Protection
POS • Secured Protocol (HTTPS) Layanan Prabayar • Encrypted Code

www.pln.co.id |
 PLN Data Loss Protection (DLP)
Sistem yang merupakan serangkaian fungsi otomatis yang memantau data untuk pemicu yang merupakan konten spesifik (ditentukan oleh adminsitrator) untuk
mencegahnya agar tidak bocor atau hilang.

Unintentional or
Extrusion
Insider Threat negliegent data
Attacker
exposure Data Loss Prevention (DLP)

Data & Information (D/I) - Kebijakan Pejabat

Pengelola Informasi
Tagihan Corporate D/I Intelectual Public (PPID)
Pelanggan D/I Property BPO/Data - Katalog Data &
Owner Informasi
Public
Kebijakan BYOD
Sensitive - Kebijakan PLN Kantor Pusat &
pertukaran data dan PLN Unit Bisnis
Confidential
informasi
Restricted • Memudahkan monitoring arus data/informasi dari
user untuk meminimalisir adanya kebocoran
data/informasi yang berpotensi merugikan
Report
perusahaan

• Early warning kepada user jika ada

Tantangan Peningkatan kemungkinan terjadinya arus data/informasi
Best practice Guidance
yang tidak sesuai peruntukannya
- Enforcement terhadap regulasi atau kebijakan keamanan TI.
- Tingkat kesadaran dan pemahaman yang masih rendah terhadap
keamanan TI pada pegawai
- Belum ada data klasisfikasi perusahaan.

www.pln.co.id |
 USB Copy Protection

• Perlindungan data/informasi yang

disimpan di dalam dalam removable
media
• Data diindungi dengan proteksi
password dengen beberapa fitur yang
bisa di setting oleh admin

www.pln.co.id |
Contoh Dampak Negatif Kebocoran Personal
Data

www.pln.co.id |
Keamanan
Penggunaan Email
Perlindungan Data dari Ancaman Email
Phishing
1. Waspada terhadap email yang mengarahkan Anda ke website
palsu dan meminta login akun. Cek dan cermati email pengirim,
pastikan email pengirim sesuai email resmi
2. Berhati-hati saat login yang meminta username/password dan
selalu cermati alamat URL-nya yang ada di address bar. Pastikan
url valid
3. Kenali tanda giveaway yang ada di dalam email phising:
• Jika hal itu tidak ditujukan kepada kamu secara pribadi
• Jika kamu bukan satu-satunya penerima email tersebut
• Jika terdapat kesalahan ejaan, tata bahasa atau sintaks yang
buruk atau kekakuan lainnya dalam penggunaan bahasa,
biasanya ini dilakukan penyebar phising untuk
mencegah filtering.
4. Jika ada indikasi email phising segera melapor ke pusat operasi
siber PT PLN (persero) melalui email soc@pln.co.id atau melalui
STI Regional setempat.
5. Selalu update password akaun email secara periodik

www.pln.co.id |
Keamanan
Penggunaan Media
Sosial
Bijak dalam Menggunakan Media Sosial

Perhatikan saat akan melakukan install/pemasangan aplikasi.

Banyak aplikasi yang berkedok digunakan untuk media social yang dibagun dengan
tujuan untuk mengumpulkan dan menyimpan data pengguna dan menggunakan untuk
kebtuhan iklan tanpa seizin dari pengguna. Instal aplikasi social media yang terpecaya.

www.pln.co.id |
Baca UC/Persyaratan Pengguna/Privacy Policy

Baca dengan Seksama User Agremeent/Persyaratan Pengguna.

Beberapa aplikasi media social memang memberitahu pengguna
bahwa data pengguna yang dikumpulkan akan digunakan untuk media
promosi atau bahkan akan digunakan oleh thirdparty aplikasi lain.

www.pln.co.id |
Berpikir Sebelum Berbagi

Menghindari penyebaran data yang bersifat sensitif/rahasia.

Menghindari berbagi data yang bersifat sensitive atau rahasia ke media social. Hal
tersebut dapat dimanfaatkan oleh pihak-pihak yang tidak bertanggungjawab

www.pln.co.id |
Gunakan Keamanan Berlapis

Penggunaan Two-Factor Authentication.

Platform media social rawan terjadinya ancaman siber. Oleh karena itu, penting bagi
pengguna untuk menambahkan keamanan berlapis, misalnya menggunakan Two-Factor
Authentication pada saat login kedalam aplikasi

www.pln.co.id |
Berhati-hati Ketika Menggunakan Perangkat Internet Public
(Warnet)

Selalu menutup akses aplikasi(logout) setelah tidak digunakan.

Beberapa kejadian korban kejahatan siber karena korban lupa menutup/menyimpan data
untuk masuk kedalam aplikasi (login) ketika mereka menggunakan fasilitas internet
umum (warnet)

www.pln.co.id |
 Terima Kasih

Listrik untuk Kehidupan yang Lebih Baik