Tim Reaksi Cepat (TRACE) adalah kolektif organisasi dan individu yang memberikan dukungan terhadap kelompok masyarakat sipil yang mengalami insiden keamanan digital, terutama ketika melakukan pekerjaan-pekerjaannya untuk kepentingan publik. Dukungan TRACE termasuk pada penyelidikan terhadap insiden, pemulihan aset-aset digital, serta pelaporan terhadap platform.
Untuk kegiatan-kegiatan tersebut, TRACE akan berhubungan dengan data-data sensitif baik secara internal maupun ketika menangani insiden. Oleh karena itu, perlu adanya kebijakan tertulis tentang bagaimana pengelolaan informasi oleh TRACE itu, baik oleh sesama anggota maupun saat bekerja sama dengan pihak lain.
1. Klasifikasi Informasi
Data yang dikelola TRACE terbagi menjadi tiga dengan penjelasan sebagai berikut:
- TERBUKA : informasi yang tidak sensitif dan bisa disebarluaskan secara bebas dalam bentuk dan situasi apapun. Informasi itu bisa saja telah dipublikasikan atau akan segera dipublikasikan dalam bentuk apapun.
- KONFIDENSIAL : informasi yang sensitif hanya untuk disebarluaskan sesama anggota TRACE atau anggota tim yang sedang menangani sebuah insiden. Penyebaran informasi menggunakan saluran terenkripsi dan tidak boleh disebarkan keluar TRACE.
- TERBATAS : informasi yang terbatas untuk sejumlah anggota TRACE atau anggota tim yang sedang menangani sebuah insiden, tetapi bisa dibagi kepada pihak ketiga yang terkait dengan insiden yang sedang ditangani.
Pewarnaan Informasi
| Warna | Jenis Informasi | Ruang Lingkup | Contoh |
|---|---|---|---|
| Merah | Terbatas | Tim Penanganan | Aduan serangan, identitas pelapor, credential login, apa lagi? |
| Kuning | Konfidensial | Anggota TRACE | Laporan penanganan insiden, kebijakan internal, dokumentasi rapat, dll. |
| Hijau | Publik | Siapa saja | Tulisan, referensi, laporan publik, jaringan TRACE, dll. |
2. Perlindungan Data
Informasi publik bisa didistribusikan secara luas dalam berbagai bentuk, seperti wesbite, media sosial, dan lain-lain. Informasi akan dilindungi dari kemungkinan serangan agar tetap bisa diakses dengan aman oleh publik dan dicadangkan secara berkala.
Informasi konfidensial disimpan di platform yang hanya bisa diakses oleh anggota TRACE dan dibagi secara terbatas kepada pihak lain sesuai keperluan. Akses terhadap data ini terlindungi oleh kata kunci dan 2FA jika diperlukan. Informasi ini juga tersimpan di dalam perangkat yang terenkripsi penuh dan ditransmisikan menggunakan saluran terenkripsi.
Informasi terbatas hanya tersimpan di platform yang menggunakan password dan 2FA jika memungkinkan maupun perangkat yang terenkripsi penuh. Informasi ini hanya dikirimkan menggunakan saluran komunikasi yang terenkripsi dari ujung ke ujung.
3. Penyebarluasan Informasi
Informasi yang tidak boleh dibagi adalah informasi yang secara spesifik ditujukan pada satu dua orang saja sebagai penerima. Informasi bisa diberikan kepada pihak berwajib di Indonesia jika ada permintaan, tetapi tidak bisa dengan serta merta diberikan. TRACE akan menempuh cara-cara legal untuk melindungi informasi tersebut, termasuk melalui proses di pengadilan jika diperlukan.
4. Akses terhadap Informasi
Permintaan secara hukum oleh pihak berwenang, komunikasi dengan pihak tepercaya, dan informasi lain yang masuk akan dikategorikan sebagai TERBATAS bagi orang tertentu dan diberikan hanya sesuai kebutuhan, sampai dia menjadi konfidensial.
Informasi yang dimasukkan sebagai KONFIDENSIAL bisa menjadi terbuka untuk publik setelah semua informasi sensitif pada data tersebut telah dihlangkan. Jika informasi bersifat KONFIDENSIAL telah diterbitkan, maka secara otomatis dia menjadi informasi TERBUKA.
5. Kerja sama dengan Pihak Lain
Kebijakan ini mengatur proses bagi anggota TRACE untuk bekerja sama dengan pihak lain secara formal maupun informal.
- Kerja Sama Sesama Anggota TRACE: Setiap anggota TRACE berhak untuk membagi informasi yang masuk kategori PUBLIK terhadap pihak manapun dalam bentuk apapun.
- Kerja Sama untuk Kasus Tertentu: Jika salah satu atau beberapa anggota TRACE mempertimbangkan bahwa cara terbaik untuk membantu pelapor adalah dengan melibatkan anggota TRACE lain, maka informasi itu otomatis masuk kategori KONFIDENSIAL atau TERBATAS.
6. Masa Berlaku
Semua informasi yang dibagi secara internal oleh TRACE akan disimpan di server milik anggota TRACE.
Semua informasi dalam infrastruktur TRACE, termasuk informasi ancaman, permintaan dari klien dan mitra, dan dokumentasi internal, disimpan selama diperlukan di server TRACE, untuk tujuan berbagi informasi dan penyampaian layanan, dan untuk mematuhi hukum, termasuk pencegahan tindak pidana dan penegakan tuntutan hukum perdata.
Semua informasi dalam infrastruktur TRACE, kecuali informasi publik yang tidak sensitif dan tidak termasuk data pribadi apa pun, disimpan di platform yang dilindungi kata sandi dan di perangkat kerja dengan enkripsi disk penuh. Jenis informasi ini hanya ditransfer melalui saluran komunikasi terenkripsi ujung ke ujung. Ini adalah standar minimum yang berlaku dan, karena mereka juga terus berkembang, dapat berubah di masa depan.
Dalam hal pelanggaran data pribadi yang mungkin mengakibatkan risiko terhadap hak dan kebebasan subjek data, TRACE akan memberi tahu subjek data tanpa penundaan yang tidak semestinya dan juga memberi tahu otoritas pengawas berwenang, tanpa penundaan yang tidak semestinya dan jika memungkinkan, tidak selambat-lambatnya 24 jam setelah mengetahui pelanggaran tersebut.
Dalam mengatasi pelanggaran keamanan data, TRACE harus mengambil langkah-langkah untuk mengurangi kerusakan, menyelidiki, melakukan tindakan perbaikan dan mematuhi persyaratan peraturan untuk keamanan informasi.
7. Penghancuran Data
Dokumen FisikPencetakan harus dibatasi seminimal mungkin. Dokumen tercetak harus disimpan hanya selama diperlukan dan disarankan untuk tidak melewati batas dengan kertas cetak rahasia atau terbatas.
Dokumen fisik kertas yang berisi informasi RAHASIA dan TERBATAS harus dihancurkan dengan dibakar atau dipotong.
Perangkat PenyimpananHard drive, USB thumb drive, dan perangkat penyimpanan portabel lain yang berisi informasi RAHASIA atau TERBATAS harus dihapus dengan aman dengan satu kali proses pembersihan sebelum dibuang. CD tulis sekali harus dipecah menjadi beberapa bagian atau dihancurkan di mesin penghancur kertas sebelum dibuang.
Data DigitalFile digital yang mengandung informasi RAHASIA harus dapat dengan mudah dihapus, sedangkan untuk data TERBATAS minimal harus dilakukan satu kali proses kliring atas file tersebut.
8. Perangkat Kerja
Semua anggota TRACE memastikan bahwa perangkat yang mereka gunakan untuk mengakses informasi dilindungi dengan enkripsi disk penuh dan digunakan sesuai dengan penilaian yang baik, dengan pembaruan rutin sistem dan perangkat lunak serta tindakan lain untuk mencegah infeksi atau akses tidak sah ke sistem dan akun.
9. Penutup
Kebijakan ini dapat diubah selama pertemuan tahunan TRACE. Perubahan akan diajukan terlebih dahulu ke saluran komunikasi grup dan didiskusikan selama pertemuan.