Jakarta, Komite.id – Yayasan Pendidikan Internal Audit (YPIA) selama dua hari menggelar Program Sertifikasi QIA bagi auditor untuk meningkatkan skills dan kompetensi dalam mencapai tujuan organisasi menghadapi persaingan global yang sangat cepat.
Sertifikasi QIA ini diikuti oleh Dewan Komisaris atau Dewan Pengawas, Komite Audit, Direksi, Inspektur, Kepala Auditor Internal dan Instruktur/ Akademisi.
Acara ini berlangsung di Hotel Mercure, Jakarta (21-22 Juni 2024). Di buka oleh Ketua Umum YPIA, Dr. Setyanto P. Santosa, SE. MA. QIA. Pentingnya seorang auditor internal untuk memiliki sertifikat QIA yang menunjukkan kompetensi bahwa pemiliknya telah mempunyai pengetahuan dan keterampilan sejajar dengan kualifikasi auditor internal professional.
Di era digital saat ini, data adalah aset paling berharga bagi perusahaan. Kita sudah cukup belajar dari kasus-kasus kebongkaran data, ransomware, dan serangan siber lain yang terjadi belakangan ini.
Tanpa data yang aman dan terlindungi, operasional perusahaan dapat terganggu secara signifikan. Hal ini tidak hanya berpotensi menurunkan pendapatan, tetapi juga merugikan pelanggan secara langsung.
Selain itu, reputasi perusahaan yang telah dibangun dengan susah payah dapat tercemar akibat serangan siber. Oleh karena itu, sangat penting bagi perusahaan untuk memiliki sistem keamanan siber yang ketat.
“Sekarang kita memasuki Era Artificial Intelligence (AI) memasuki Era Digital Transformasi dimana perusahaan itu semakin kegiatan-kegiatannya semakin banyak ada di dunia cyber dan juga menjadi kesempatan bagi para hacker melakukan penyerangan kepada sistem perusahaan dan disinilah peran auditor, untuk bisa memberikan assessment terutama security assessment. Bagaimana supaya sistem itu menjadi aman dan jangan sampai sudah ada hacker yang berada di dalam sistem kita,” Ujar Chairman ABDI Dr.Rudi Rusdiah.
“Disampaikan oleh Chairman Asosiasi Big Data dan AI (ABDI), Dr. Rudi Rusdiah, BE. MA, Kondisi yang semakin cepat menuntut semua kalangan dan industri menggunakan teknologi dengan artificial intellegence (AI) atau kecerdasan buatan.”
Oleh sebab itu pemerintah telah mengesahkan UU Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP) mengatur “bahwa orang perorangan termasuk yang melakukan kegiatan bisnis atau e-commerce di rumah dapat dikategorikan sebagai pengendali data pribadi. Sehingga ia bertanggung jawab secara hukum atas pemrosesan data pribadi yang diselenggarakannya dan memenuhi ketentuan yang ada dalam UU PDP.”
“UU bersifat wajib dan berlaku bulan oktober 2024, tanpa pengecualian. Apabila terjadi pencurian data maka perusahan akan terkena akibatnya oleh UU tersebut. Perusahaan sebagai data kontroler dan perusahaan juga harus pro aktif dan mempunyai perlindungan data yang berlapis-lapis dengan melakukan pencegahan serta pendeteksian lebih dini” Ucap Pak Rudi.
Peraturan UU terkait Big Data & Keamanannya: UU PDP (27/2022), UU ITE (1/2024), PP71 (Penyeleggara Sistem Elektronik); Perpres No 82/2022 Perlindungan IIV (Infras. Info. Vital); Perpres No 47/2023 Strategi Kam Siber. Perpres SDI- 1dataRI (39/2019).
Dalam kesempatan Acara Program Sertifikasi QIA ini ABDI ingin mengingatkan audience agar hati hati UU PDP akan diberlakukan Oktober 2024 ini. Jika diberlakukan, maka bagi masyarakat perorangan yang melanggar/ menyalahgunakan DP (Data Pribadi) dikenakan sangsi pidano denda dari Rp 4 miliar/Penjara 4 tahun hingga Rp 6 miliar/Penjara 6 tahun. Namun bagi Korporasi malah lebih parah, karena dendanya 10 x denda perorangan artinya Rp 40 M sampai Rp 60 M. Denda Administrasinya maksimal 2% dari pendapatan pertahun, jadi kalau pendapatan Telkom misalnya Rp 37 Triliun(2023), maka maksimal dendanya max 2% dari pendapatan atau lebih dari Rp 0.5 Triliun. Pelanggarannya misalnya contoh PDNS 2 bisa terkena sangsi admin dan jika tidak melaporkan dalam 3 hari terkena denda pidana/penjara.
AI juga harus comply dengan peraturan & UU untuk BD yang dibahas sebelumnya. Peraturan & UU terkait AI masih belum ada, namun ada 2 Kebijakan untuk AI sbb : (1). Surat Edaran Menteri Kominfo 9 / 2023 tentang Etika Kecerdasan Artifisial (AI); (2). National Strategy AI yang dibuat oleh BPPT dibawah Kementrian Ristek, yang kedua duanya di bubarkan beberapa tahun yang lalu, sehingga UU tentang AI belum ada.
Namun, Dulu sebelum ada UU PDP (lahir 2022), ABDI & RI mengacu pada EU GDPR (Regulasi Data Privasi Umum Uni Eropa) lahir 2016. Demikian pula, kini belum ada UU tentang AI ABDI mengacu pada EU AI Act (8 Des 2023) regulasi AI one size fits all sector.
Menkominfo tentang Etika AI penting untuk menjaga: 1. agar AI tidak menggantikan pekerjaan manusia secara masif, karena menyebabkan pengangguran & PHK; 2. AI jangan sampai menggantikan peradaban manusia dikenal dengan Era Singularity menakutkan seperti di film holywood Terminator dll. 3. Aplikasi AI untuk militer memprihatinkan karena dapat menciptakan robot/ drone/ mesin pembunuh tanpa perasaan seperti manusia, yang lebih kejam dan berbahaya di medan perang. Gubernur Lemhannas pernah diundang kesebuah pertemuan Global, REAIM ( Responsible AI for Military Domain) 2023 di De Hague, Belanda yang membahas Bahaya nya AI untuk dunia militer.
Dari Forensik Analis & Security Assesment ditemukan, kerusakan masif & recovery yang terlalu lama dari kasus Data Breach & Ransomware di PDN & BSI, karena tidak jalankan Prinsip Dasar CyberSecurity:
- Tata Kelola/ Governanceyg lemah sehingga dampaknya sangat masif & memprihatinkan: a.l. tidak adanya procedure Backup Data Base Server; SOP Vulnerability Assessment (VA) atau asesmen kelemahan sistem melalui Pentest & Security Assesment ; Risk Analysis ( Vital Data Classification) ; Tidak siapnya prosedur Mitigasi, jika terserang. Jika ada backup maka insiden recovery/ mitigasi dapat dikendalikan & tidak fatal.
- Awareness Cyber Security yg lemahdari SDM PDN atau BSI yang dengan mudah melalui Sosial Engineering & Phishing oleh si Hacker untuk mendapatkan credential & password untuk penetrasi masuk kedalam Server PDN/BSI.
- Continous monitoring & detectiontidak dilakukan atau tidak berfungsi. Misalnya dng peralatan IDS(Intrusion Detection Systems). Sehingga hacker pertama pentrasi masuk 18 Juni & melakukan lateral movement bersliweran didalam sistem 2 hari; Zero day nya baru 20 Juni, ketika aplikasi seperti imigrasi tidak bisa di akses. Semestinya jika Continous monitoring & detection berjalan baik, maka hacker sudah dapat ditemukan tanggal 19 Sept misalnya, before damage is done & musibah fatal 20 Juni dapat dicegah.