Adapun penyebab kebocoran data umumnya disebabkan oleh tiga faktor utama, yaitu kesalahan manusia, serangan malware, dan manipulasi psikologis (social engineering).
Dalam lingkup organisasi, kebocoran data sangat dipengaruhi oleh tingkat keamanan siber yang dimiliki. Laporan Cyber Risk Index (CRI) menunjukkan bahwa sekitar 81 persen perusahaan di Indonesia berpotensi mengalami kebocoran data. Sedangkan data Global Cybersecurity Index (GCI) tahun 2021 lalu menunjukkan tingkat keamanan siber Indonesia hanya menduduki peringkat 5 dari 10 negara ASEAN.
Rentannya kebocoran data yang terjadi di korporasi dan instansi di Indonesia tidak terlepas dari tiga aspek utama. Pertama, regulasi ketahanan siber yang masih belum optimal. Kedua, Sumber Daya Manusia (SDM) yang kurang mumpuni. Dan ketiga, teknologi keamanan digital yang tidak kompetibel.
Untuk aspek pertama terkait regulasi ketahanan siber saat ini di Indonesia hanya satu Undang-Undang yang menaungi yaitu UU ITE. Sedangkan Undang-Undang Perlindungan Data Pribadi serta Undang-Undang Keamanan dan Ketahanan Siber masih berupa rancangan yang belum siap pakai. Sehingga perlu adanya percepatan terkait hal ini.
Sedangkan mengenai aspek SDM memang masih terus menjadi persoalan dari banyak korporasi khususnya dalam hal memperoleh tenaga ahli di bidang keamanan siber. Perusahaan global khususnya di Hongkong dan Asia Tengara sekitar 71 persen diantaranya mengaku kesulitan untuk merekrut tenaga ahli berkualifikasi khusus di bidang keamanan siber.
Dan untuk aspek ketiga yakni perihal teknologi keamanan digital yang kompetibel masih belum banyak dimiliki oleh korporasi dalam negeri.Jangankan untuk hal itu, penggunaan software bajakan saja masih menjamur di kalangan korporasi. Bahkan tahun 2017 yang lalu Indonesia menduduki peringkat kedua negara pengguna software bajakan di kawasan Asia Pasifik dengan prosentase 83%.
Padahal penggunaan software non lisensi ini sangat berisiko menyebabkan hadirnya serangan malware. Menurut Microsoft, 8 dari 9 komputer yang menggunakan software bajakan telah terjangkit malware.
Anggaran Keamanan Siber
Berkaitan dengan aspek kedua dan ketiga bukan tidak mungkin hal ini turut dipengaruhi oleh minimnya alokasi anggaran yang diperuntukkan pada keamanan siber. Menurut Budi Raharjo, Chairman Indonesia Computer Emergency Response Team (ID-CERT) jumlah anggaran keamanan siber di instansi ataupun korporasi masih berkisar 10 persen saja. Itupun 10 persen dari anggaran IT, bukan dari anggaran secara keseluruhan.
Untuk lingkup anggaran keamanan siber Indonesia sebagai sebuah negara pun pada tahun 2018 yang lalu jumlahnya baru mencapai 0.02 persen dari GDP. Dan untuk tahun 2022 ini nilai anggaran untuk keamanan siber "hanya" sekitar 554.6 miliar saja. Tidak berbeda jauh dengan anggaran yang dialokasikan oleh Bank BCA yang mencapai 500 miliar. Padahal perbandingannya ini adalah negara dan bank swasta.