tirto.id - Direktorat Tindak Pidana Siber Bareskrim Polri masih mengusut kebocoran data BPJS Kesehatan. Penyidik telah memeriksa saksi dan mengirimkan permohonan penggeledahan.
"Telah dilakukan pemeriksaan terhadap 14 saksi (yakni) satu saksi pelapor, lima (pegawai) BPJS, tiga (pegawai) BSSN, lima vendor," kata Kabag Penum Divisi Humas Polri Kombes Pol Ahmad Ramadhan, dalam keterangan tertulis, Jumat (25/6/2021).
Polisi juga telah mengirimkan Permohonan Penerbitan Izin Khusus Sita Geledah ke Pengadilan Negeri Surabaya terkait dengan lokasi server DRC BPJS Kesehatan di Kantor PT SIGMA di Surabaya. Ahmad melanjutkan, kepolisian juga melakukan penyidikan daring perihal alamat dompet mata uang kripto yang diduga milik pelaku.
"Telah ditemukan profil yang diduga sebagai pelaku dari RaidForums," terang Ramadhan. Pada 8-10 Juni 2021, polisi menggeledah kantor BPJS Kesehatan di Jakarta Pusat, guna menyelidiki servernya. Tim Forensik Siber Bareskrim juga telah melihat langsung basis data lembaga tersebut.
Lantas, dalam perkara ini penyidik juga telah menerima data dari PT S berupa laporan hasil uji penetrasi serta menyita dan menganalisis dua laptop. Tiga rencana tindak lanjut kepolisian, yakni:
Pertama, berkoordinasi kembali dengan pihak BPJS Kesehatan ihwal verifikasi data sampel dari pelaku bernama Kotz. Kedua, memeriksa saksi dari bagian MASTI, UKPF, MDI atau SPPTI BPJS Kesehatan berdasarkan hasil analisis dari barang bukti yang disita. Ketiga, mengajukan MLA terkait IP address HP iPhone yang menggunakan username Kotz ke ISP di Hongkong dan terkait transaksi cryptocurrency lain yang diduga dilakukan oleh Kotz.
Data warga yang bocor itu dijual di forum-forum internet. Kasus ini ramai dibicarakan mulai 20 Mei 2021. Terduga peretas menyebutkan ada 1 juta data sampel gratis untuk diuji dan 20 juta data terdapat foto pribadi. Data yang diklaim peretas berisi nomor KTP, nomor telepon, gaji, alamat surel, dan alamat rumah. Akun @Br__AM memperlihatkan tangkapan layar diskusi jual-beli data.
Disebutkan bahwa harga yang ditawarkan sebesar 0.15 bitcoin. "Source BPJS Kesehatan and they sell it for 0.15 BTC, around 6K USD," tulis akun tersebut. Menurut Juru Bicara Badan Siber dan Sandi Nasional Anton Setiawan, saat ini BSSN masih menunggu hasil penyelidikan dan verifikasi dari tim BPJS Kesehatan. Dia juga sempat mengatakan indikasi terkuat kasus ini adalah "akses ilegal oleh threat actor" yang dilakukan "dari luar negeri."
Masalah data bukan baru kali ini saja menerpa BPJS Kesehatan. Pada periode 2014-2020, amburadulnya data BPJS Kesehatan selalu defisit. Masalah utamanya sistem data BPJS kesehatan yang amburadul, dari mulai data kepesertaan, sinkronisasi data dengan rumah sakit hingga sistem verifikasi data klaim. Per 17 Maret 2021 saja BPJS Kesehatan masih defisit Rp6,36 triliun.
Saking amburadulnya, sistem BPJS kesehatan pernah meloloskan klaim kehamilan pada pasien laki-laki. Direktur Eksekutif BPJS Watch Timboel Siregar menjelaskan, kasus kebocoran data harus ditangani serius karena sangat berbahaya bagi Indonesia bila data rakyat Indonesia dan data medis bisa dimiliki pihak lain.
Data-data yang dikelola oleh BPJS Kesehatan sangat beragam dan rinci, sebut saja nama, alamat, tempat tanggal lahir, NIK, nama keluarga dalam satu KK, upah bagi peserta Penerima upah, nomor rekening bagi peserta bukan penerima upah, hingga sidik jari.
“Tidak hanya itu, BPJS Kesehatan pun mengelola data kesehatan peserta JKN maupun fasilitas Kesehatan yang bekerja sama dengan BPJS Kesehatan, dari masyarakat sipil maupun militer. Data-data tersebut tentunya sangat rahasia, yang harus dijaga agar tidak berpindah ke pihak lain,” kata dia kepada Tirto, Senin (24/5/2021).
Penulis: Adi Briantika
Editor: Maya Saputri