Disclaimer: Artikel ini berisi panduan umum keamanan siber untuk UMKM. Contoh kasus disebutkan berdasarkan pemberitaan publik. Untuk audit menyeluruh atau insiden aktif, konsultasikan dengan praktisi cybersecurity bersertifikat dan, jika menyangkut tindak pidana, laporkan ke aparat berwenang sesuai UU PDP dan UU ITE.

Pemilik usaha kecil di Indonesia paling sering menyebut satu hal saat ditanya soal keamanan siber: hacker dari luar. Bayangan film tentang sosok bertudung di depan layar hitam. Padahal data terbaru menunjukkan musuh yang paling menyakitkan justru duduk di meja sebelah — atau baru saja resign minggu lalu.

Indonesia Cyber Security Forum (ICSF) lewat ketuanya, Ardi Sutedja, sudah mewanti-wanti sejak akhir 2025 bahwa insider threat alias ancaman orang dalam akan menjadi salah satu isu krusial sepanjang 2026. Sementara itu, Badan Siber dan Sandi Negara (BSSN) mencatat Indonesia menghadapi sekitar 170 serangan siber per detik, dan UMKM kini termasuk kelompok yang paling rentan karena sistem keamanannya seringkali masih seadanya. Kombinasi dua hal ini berbahaya untuk usaha berskala kecil-menengah: ancaman dari luar makin agresif, sementara pintu dari dalam dibiarkan terbuka lebar.

Apa Itu Insider Threat?

Insider threat adalah ancaman keamanan yang berasal dari orang yang punya akses sah ke sistem, data, atau fasilitas perusahaan. Bisa karyawan aktif, mantan karyawan, magang, freelancer, vendor IT, sampai konsultan akuntan yang Anda beri akses ke laporan keuangan. Mereka tidak perlu meretas apa pun karena pintu sudah dibukakan sendiri oleh pemilik usaha.

Yang sering luput dari perhatian: insider threat tidak selalu bermotif jahat. Mayoritas insiden justru terjadi karena kelalaian, bukan niat buruk. Karyawan yang menyimpan file pelanggan di Google Drive pribadi supaya bisa kerja dari kafe, admin sosial media yang tetap login dari HP lamanya setelah ganti perangkat, atau freelancer desainer yang masih punya akses ke Canva tim padahal proyek sudah selesai tiga bulan lalu — semua adalah celah yang sama berbahayanya dengan pelaku yang sengaja mencuri data.

Empat Jenis Pelaku Orang Dalam yang Wajib UMKM Kenali

1. Karyawan Ceroboh (Negligent Insider)

Tipe paling umum dan paling sering disepelekan. Contoh: kasir toko online yang menempel password sistem POS di monitor pakai sticky note, atau admin gudang yang share screen di Zoom sambil tab WhatsApp menampilkan kode OTP transfer. Mereka tidak punya niat jahat, tapi efeknya bisa sama destruktifnya dengan serangan eksternal.

2. Akun Dibajak (Compromised Insider)

Karyawan yang akunnya dikuasai pihak luar — biasanya lewat phishing, password lemah, atau pemakaian Wi-Fi publik tanpa VPN. Dari sudut pandang sistem, aktivitas yang dilakukan terlihat seperti karyawan asli karena memang login dengan kredensial yang benar. Inilah kenapa sekadar punya firewall tidak cukup; perlu monitoring perilaku yang tidak wajar.

3. Karyawan Jahat (Malicious Insider)

Yang sengaja merugikan perusahaan. Motifnya bermacam-macam: dendam pribadi karena merasa diperlakukan tidak adil, tekanan ekonomi, suap dari kompetitor, atau ingin bawa "buku kontak pelanggan" ke perusahaan baru. Skenario ini lebih jarang terjadi tapi dampak finansialnya biasanya jauh lebih besar dibanding tipe lain.

4. Pihak Ketiga (Third-Party Insider)

Vendor jasa IT, akuntan luar, agensi digital, atau freelancer yang sempat diberi akses ke sistem. Banyak UMKM lupa mencabut akses ini setelah proyek selesai. Risikonya berlipat karena pihak ketiga biasanya juga mengelola banyak klien lain — jika sistem mereka jebol, data Anda ikut bocor lewat pintu samping.

Kenapa UMKM Jadi Sasaran Empuk

Survei publik beberapa tahun terakhir konsisten menunjukkan hanya sekitar 18 persen UMKM Indonesia yang benar-benar berinvestasi pada keamanan siber. Sisanya mengandalkan asumsi "ah, usaha kecil, siapa juga yang mau iseng meretas". Asumsi yang salah, karena UMKM justru menyumbang lebih dari 60 persen Produk Domestik Bruto Indonesia dan menyimpan data pelanggan, supplier, dan transaksi yang sama bernilainya dengan perusahaan besar di mata pelaku kejahatan siber.

Beberapa karakteristik UMKM yang membuat insider threat lebih mudah terjadi:

  • Akses satu untuk semua. Pemilik sering memberi akses admin penuh ke 1-2 orang kepercayaan tanpa segmentasi peran.
  • Tidak ada proses offboarding. Karyawan resign hari Jumat, hari Senin akun email kantor masih aktif, password WiFi belum diganti, dan kunci toko fisik masih di tangannya.
  • Password dipakai bersama. Akun Instagram bisnis, marketplace, dan banking sering diakses banyak orang dari satu password yang sama.
  • Logging minimal. Tidak ada catatan siapa membuka file pelanggan jam berapa, siapa mengekspor laporan, dan dari perangkat mana.
  • Tidak ada NDA atau kontrak yang menyebut data secara eksplisit. Saat masalah muncul, posisi hukum pemilik usaha lemah.

Contoh Nyata dari Lapangan Indonesia

Beberapa kasus yang sempat masuk pemberitaan dan relevan untuk UMKM merenungkannya:

Kasus Hi Pin di Surabaya. Mantan karyawan sebuah perusahaan produksi kopi divonis bersalah karena terbukti membawa racikan rahasia perusahaan lamanya ke bisnis barunya. Ini contoh klasik pencurian rahasia dagang oleh insider. Untuk UMKM kuliner, "racikan" bisa berarti resep, formula, sampai daftar supplier dengan harga negosiasi khusus.

Programmer startup membocorkan source code. Beberapa kasus dilaporkan media tentang programmer senior yang membawa kode sumber rahasia ke kompetitor setelah resign, demi mendapatkan posisi baru yang lebih menarik. Untuk agensi digital atau startup UMKM yang produknya berupa software, ini bisa menghancurkan keunggulan kompetitif yang dibangun bertahun-tahun.

Kasus Bjorka. Polisi menangkap seorang berusia 22 tahun di Minahasa, Sulawesi Utara, pada 23 September 2025. Yang menarik dari pemberitaan: data yang dia jual tidak semuanya hasil meretas — sebagian diperoleh karena bocoran orang dalam dari berbagai instansi. Ini menggambarkan ekonomi gelap di mana orang dalam menjadi pemasok pertama, lalu dijajakan ulang oleh aktor lain.

Kebocoran data Pertamina Training & Consulting. Kasus ini melibatkan kebocoran sekitar 163 ribu data pelamar kerja lengkap dengan KTP, kartu keluarga, dan ijazah. Banyak insiden semacam ini berakar pada server file HR atau ATS (applicant tracking system) yang aksesnya tidak rapi — sebuah pola yang juga sering terjadi di UMKM yang menggunakan Google Drive bersama untuk menyimpan dokumen lamaran.

Tujuh Langkah Pencegahan Tanpa Anggaran Besar

Kabar baiknya: 80 persen risiko insider threat untuk UMKM bisa diturunkan dengan kebijakan dan kebiasaan, tanpa harus beli software mahal. Berikut langkah konkret yang bisa diterapkan minggu ini juga.

1. Petakan Siapa Punya Akses ke Apa

Luangkan 2 jam membuat tabel sederhana di Spreadsheet: kolom nama karyawan, kolom sistem (email, marketplace, bank online, social media, drive, POS), kolom level akses (lihat saja / edit / admin penuh). Banyak pemilik UMKM kaget saat mengisi tabel ini dan baru sadar ada freelancer yang sudah enam bulan tidak aktif tapi masih punya akses admin ke akun Instagram.

2. Terapkan Prinsip "Akses Seminimum Mungkin"

Karyawan customer service tidak butuh akses ke laporan keuangan. Admin gudang tidak butuh akses ke akun bank. Setiap orang hanya diberi akses ke yang benar-benar dibutuhkan untuk pekerjaannya. Prinsip ini namanya least privilege, dan sudah jadi standar internasional sejak lama. Untuk Google Workspace dan Microsoft 365 versi bisnis, fitur peran (role) sudah tersedia bawaan.

3. Aktifkan Two-Factor Authentication (2FA) di Semua Akun Kritis

Akun yang wajib pakai 2FA: email kantor, marketplace seller center (Tokopedia, Shopee, TikTok Shop), Meta Business Suite, Google Ads, mobile banking bisnis, dan akses admin website. Gunakan aplikasi authenticator (Google Authenticator, Authy) daripada SMS karena SMS rawan SIM swap. Bank Indonesia dan OJK sudah berkali-kali mengingatkan masyarakat tentang risiko ini.

4. Buat SOP Onboarding dan Offboarding Tertulis

Saat karyawan masuk: catat semua akun dan kredensial yang diberikan dalam dokumen yang ditandatangani. Saat karyawan keluar (resign, kontrak habis, atau dipecat): jalankan checklist offboarding di hari yang sama. Minimal mencabut akses email, marketplace, social media, drive, dan group WhatsApp internal. Ganti password Wi-Fi kantor. Tarik perangkat kantor jika dipinjamkan. Audit ulang data yang sempat diunduh.

5. Pisahkan Akun Pribadi dan Akun Kantor

Larang keras menggunakan email pribadi untuk urusan kerja, terutama untuk mengirim file pelanggan atau menerima notifikasi sistem. Berikan email kantor sederhana (Google Workspace mulai sekitar Rp 90 ribu per pengguna per bulan) supaya kontrol tetap di tangan pemilik usaha jika sewaktu-waktu karyawan keluar.

6. Bikin NDA dan Klausul Data di Kontrak Kerja

Mintalah bantuan paralegal atau notaris untuk menyiapkan template Non-Disclosure Agreement (NDA) dan klausul kerahasiaan data yang merujuk pada UU 27/2022 tentang Pelindungan Data Pribadi (UU PDP). Biaya sekali bikin template biasanya jauh lebih murah dibanding biaya litigasi jika nantinya ada kebocoran. Pastikan ditandatangani di hari pertama karyawan masuk, bukan setelah ada masalah.

7. Lakukan Pelatihan Kesadaran Siber Rutin

Cukup 30 menit setiap kuartal. Materinya tidak perlu teknis: cara mengenali phishing, mengapa password tidak boleh dishare di WhatsApp grup, mengapa file pelanggan tidak boleh diunduh ke laptop pribadi, dan apa yang harus dilakukan jika lupa logout di komputer warnet. Sumber materi gratis bisa diambil dari situs BSSN (bssn.go.id) dan Kominfo (sekarang Komdigi) yang sering merilis bahan edukasi publik.

Checklist Offboarding 24 Jam: Templat Siap Pakai

Print atau simpan di pinned chat WhatsApp tim HR / pemilik usaha. Setiap kali ada karyawan keluar, jalankan semua poin ini dalam 24 jam:

  1. Nonaktifkan email kantor (forward ke supervisor selama 30 hari, lalu hapus).
  2. Cabut akses Google Workspace / Microsoft 365.
  3. Hapus akun dari Tokopedia Seller Center, Shopee Seller Center, TikTok Shop, marketplace lain.
  4. Cabut akses admin / editor dari Meta Business Suite, akun Instagram, TikTok, YouTube bisnis.
  5. Hapus dari Canva tim, dari group Notion / Trello / ClickUp.
  6. Cabut akses Google Ads, Meta Ads, TikTok Ads — termasuk hapus dari Business Manager.
  7. Ganti password Wi-Fi kantor dan SSID jika diperlukan.
  8. Cabut akses fisik: kunci gerbang, kartu akses, password CCTV.
  9. Hapus dari group WhatsApp internal, mailing list, dan dashboard CRM.
  10. Audit log: cek apakah ada export data, transfer file, atau akses tidak wajar dalam 30 hari terakhir.
  11. Konfirmasi pengembalian perangkat kantor (laptop, HP, hard disk).
  12. Ingatkan kembali isi NDA secara tertulis lewat email keluar resmi.

Kalau Insiden Sudah Terjadi: SOP Respons UMKM

Jika curiga ada data yang sudah dibawa keluar atau disalahgunakan oleh orang dalam, jangan panik dan jangan langsung konfrontasi. Berikut urutan tindakan yang lebih aman:

  1. Amankan bukti dulu. Screenshot log, simpan kronologi, jangan hapus file yang mencurigakan. Bukti digital butuh chain of custody yang bersih untuk bisa berguna di proses hukum.
  2. Batasi akses orang yang dicurigai. Cabut akses ke sistem dan ganti password akun bersama, tapi jangan menuduh sebelum bukti kuat.
  3. Konsultasi praktisi cybersecurity dan paralegal. UMKM bisa mulai dari komunitas seperti Indonesia Cyber Security Forum (ICSF) atau praktisi independen bersertifikat (CISSP, CEH, atau sertifikasi BNSP bidang siber).
  4. Penuhi kewajiban notifikasi UU PDP. Jika data pribadi pelanggan terdampak, UU PDP mengatur kewajiban memberitahu subjek data dan otoritas dalam batas waktu tertentu. Pelajari pasal terkait atau minta panduan praktisi hukum data.
  5. Laporkan ke aparat jika ada unsur pidana. Polri punya unit khusus siber. UU ITE mengatur tindak pidana akses ilegal, penyalahgunaan, dan distribusi data tanpa izin.
  6. Lakukan post-incident review. Setelah insiden mereda, jadwalkan rapat internal untuk merevisi SOP supaya celah serupa tidak terulang.

Membangun Budaya, Bukan Sekadar Aturan

Faktor manusia adalah penentu paling besar dalam keamanan siber UMKM, dan budaya kerja yang sehat lebih ampuh dibanding kebijakan paling tebal sekalipun. Beberapa hal yang ikut menurunkan risiko orang dalam tanpa terasa seperti polisi internal:

  • Bayar gaji tepat waktu. Karyawan stres finansial lebih rentan terhadap tawaran suap.
  • Buka kanal pengaduan internal. Banyak insiden bisa dicegah jika karyawan punya tempat aman untuk mengeluh sebelum frustrasi memuncak.
  • Apresiasi yang lapor celah keamanan. Beri reward kecil untuk karyawan yang menemukan masalah keamanan dan melapor, bukan menutupinya.
  • Treat exit interview seriously. Wawancara keluar yang dilakukan dengan baik sering memberi sinyal awal niat buruk atau ketidakpuasan yang sebelumnya tidak terdeteksi.

Ringkasan untuk Pemilik UMKM yang Sibuk

Insider threat bukan ancaman teoretis. Di tengah lonjakan serangan siber yang menyentuh ratusan kali per detik di Indonesia, pintu yang paling sering dilupakan justru ada di dalam — dipegang oleh orang yang Anda kenal namanya. Tiga hal yang bisa dilakukan minggu ini juga:

  1. Buat daftar siapa punya akses ke apa, lalu pangkas akses yang tidak perlu.
  2. Aktifkan 2FA di semua akun email, marketplace, dan banking bisnis.
  3. Tulis checklist offboarding satu halaman dan pin di WhatsApp tim HR.

Tiga hal itu gratis, butuh 3-4 jam total, dan menutup lebih dari setengah celah insider threat yang biasanya jadi pintu masuk insiden besar. Sisanya bisa diperbaiki bertahap seiring usaha tumbuh.

Pada akhirnya, keamanan siber UMKM bukan soal teknologi mahal. Ini soal kebiasaan kecil yang konsisten dilakukan oleh pemilik dan timnya. Sama seperti mengunci pintu toko sebelum pulang — sederhana, tapi tidak boleh lupa.

Butuh bantuan audit akses dan menyiapkan SOP offboarding khusus untuk UMKM Anda? Tim Wardigi siap diajak diskusi untuk membantu UMKM Indonesia membangun pertahanan dasar tanpa anggaran besar.