Data eHAC Bocor: Puncak Gunung Es Lemahnya Jaminan Hak Digital

Oleh: Irwan Syambudi - 2 September 2021
Dibaca Normal 4 menit
Kebocoran data eHAC menunjukkan pemerintah mengelola data pribadi warga secara sembarangan dan tidak memperhatikan aspek keamanan.
tirto.id - Dugaan kebocoran data pribadi jutaan pengguna aplikasi Electronic Health Alert Card atau eHAC milik Kementerian Kesehatan menambah catatan buruk soal jaminan keamanan data di Indonesia. Kasus ini dianggap menunjukkan adanya fenomena gunung es tentang lemahnya jaminan hak digital warga.

Dugaan kebocoran data eHAC pertama kali diungkapkan oleh Noam Rotem dan Ran Locar, tim peneliti dari Vpnmentor. Vpnmentor menyebut sebagai layanan pro bono yang berusaha membantu komunitas online mempertahankan diri dari ancaman dunia maya sambil mendidik organisasi tentang melindungi data penggunanya.

Dalam sebuah laporannya mereka mengemukakan telah menemukan adanya kebocoran data pada aplikasi eHAC yang digunakan sebagai 'test and trace' bagi orang-orang yang masuk ke Indonesia untuk memastikan mereka tidak membawa virus.

Vpnmentor memaparkan kebocoran data ini mengekspos seluruh infrastruktur di sekitar eHAC, termasuk catatan pribadi dari rumah sakit dan pejabat Indonesia yang menggunakan aplikasi tersebut. Vpnmentor juga menunjukkan data-data pribadi yang bocor tersebut mulai dari nomor identitas, telepon, serta detail mengenai hasil tes COVID-19 dan sejumlah tempat yang dikunjungi.

Tim peneliti Vpnmentor mengaku telah menyampaikan terkait kebocoran data itu kepada pengelola eHAC dalam hal ini Kementerian Kesehatan. “Kami menghubungi berbagai pihak yang bertanggung jawab atas eHAC untuk memberi tahu mereka tentang kerentanan dan menyarankan cara untuk mengamankan sistem mereka,” tulis tim peneliti Vpnmentor.

Sekretaris Jenderal Southeast Asia Freedom of Expression Network (SAFEnet) Anton Muhajir mengatakan kebocoran data eHAC ini telah menunjukkan masih lemahnya pemerintah dalam mengamankan data-data pribadi warga.

“Ini hanya puncak gunung es dari kurangnya kemampuan negara dalam menjamin hak-hak digital warga, termasuk hak atas rasa aman,” kata Anton, Rabu (1/9/2021).

Ia menyebut ini sebagai fenomena gunung es yang berarti bahwa persoalan keamanan data lebih besar yang tidak terungkap atau tidak terlihat di permukaan. Sebab, kebocoran data ini merupakan peristiwa yang terus berulang.

“Sebelumnya juga sudah pernah terjadi kebocoran data pengguna BPJS Kesehatan dan KPU. Kalau mengacu pada pemantauan kami pada 2020, pemerintah merupakan pihak paling banyak mengalami serangan digital,” ujarnya.



Kebocoran data ini disebutnya sebagai ancaman nyata terhadap privasi warga negara. Data mereka dapat diperjualbelikan, sehingga seseorang tidak lagi punya kedaulatan atas data dan kehidupan pribadinya karena rentan disalahgunakan.

Oleh karena itu, ia meminta agar “pemerintah meminta maaf atas kejadian kebocoran data pada platform mereka yang terus berulang,” ujarnya.

Selanjutnya harus mengaudit semua layanan mereka, terutama yang menyimpan data-data pribadi warganya. Kemudian meningkatkan keamanan platform mereka, termasuk menjamin mekanisme terbuka di mana publik juga bisa mengawasinya.

Untuk itu, kata Anton, “pemerintah harus segera mengesahkan Undang-Undang Perlindungan Data Pribadi sebagai landasan hukum bahwa warga bisa mendapat jaminan perlindungan data-data pribadinya."

Respons Pemerintah

Kepala Biro Komunikasi dan Pelayanan Masyarakat Kementerian Kesehatan Widyawati dalam konferensi pers yang disiarkan melalui YouTube Kemenkes, Selasa (31/8/2021) mengatakan bahwa kebocoran data eHAC baru dugaan.

"Ini adalah baru dugaan kebocoran. Karena sebuah insiden kebocoran baru 100 persen bisa dikatakan bocor jika sudah ada hasil audit digital forensik," kata Widyawati.



Kepala Pusat Data dan Informasi Kemenkes Anas Ma'ruf dalam kesempatan yang sama mengatakan dugaan kebocoran data pada aplikasi eHAC kemungkinan disebabkan adanya kebocoran pada pihak mitra pemerintah.

“Dugaan kebocoran data eHAC yang lama diakibatkan kemungkinan adanya dugaan kebocoran di pihak mitra dan ini sudah diketahui oleh pemerintah,” kata Anas.

Anas mengatakan pemerintah sudah melakukan tindakan pencegahan serta melakukan upaya lebih lanjut dengan Kementerian Komunikasi dan Informatika (Kemenkominfo) serta pihak berwajib. Hal ini sebagai amanat dari Peraturan Pemerintah (PP) Nomor 71 Tahun 2019. Penyelenggaraan Sistem dan Transaksi Elektronik.

Sebagai langkah mitigas atas adanya dugaan kebocoran data ini, kata Anas, eHAC yang lama sudah dinonaktifkan. Sementara eHAC yang baru tetap dilakukan dan terintegrasi atau berada dalam aplikasi PeduliLindungi.

Anas menjamin eHAC yang baru dan terintegrasi dengan PeduliLindungi itu telah dijaga keamanan datanya. Data tersebut semuanya satu paket dengan seluruh informasi tentang pengendalian COVID-19 yang ada di Pusat Data Nasional.

“Insfrastrukturnya berada di Pusat Data Nasional dan terjamin keamananya yang didukung oleh kementerian lembaga terkait baik Kemenkominfo maupun Badan Siber dan Sandi Negara,” ujarnya.

Juru Bicara Kemenkominfo Dedy Permadi mengatakan telah dilakukan tindak lanjut terhadap dugaan kebocoran data eHAC tersebut.

"Sebagai tindak lanjut dari pertemuan tersebut, Kementerian Kominfo bersama dengan pihak-pihak terkait akan melanjutkan investigasi lebih mendalam terhadap dugaan insiden kebocoran data pribadi pada aplikasi eHAC,” kata Dedy dalam keterangan tertulis, Selasa (31/8/2021).

Sementara itu, Juru Bicara BSSN Anton Setiawan menyebut bahwa yang terjadi saat ini bukan merupakan kebocoran data melainkan bagian dari proses keamanan siber.

"Kalau dari keamanan siber, kita mengenalnya sebagai threat information sharing di mana pihak yang mempunyai concern soal keamanan siber saling bertukar informasi,” kata Anton saat konferensi pers virtual, Rabu (1/9/2021).

Sehingga ia menegaskan bahwa data pribadi 1,3 juta pengguna eHAC itu disebutnya tidak bocor. Vpnmentor, kata dia, menemukan celah bahwa data di eHAC tersebut bisa diambil dan dimanfaatkan orang lain.

“Kalau tidak ditutup maka celah tersebut bisa digunakan. Tapi saat ini datanya sepengetahuan kami, maka kita akan melakukan tindakan untuk memverifikasi kembali. Tetapi sampai saat ini tidak ada data yang bocor,” katanya.


Sembarangan Kelola Data & Tak Ada Ucapan Maaf

Pendiri komunitas Ethical Hacker Indonesia, Teguh Aprianto mengatakan, kebocoran data eHAC menunjukkan bahwa pemerintah telah mengelola data pribadi warganya dengan sembarangan dan tidak memperhatikan aspek keamanan.

“Mau itu eHAC yang lama atau yang baru, data masyarakat tetap saja sudah bocor. Ini memperlihatkan mereka sembarangan sekali mengelola data pribadi kita semua. Masyarakat dipaksa untuk menggunakan aplikasi milik pemerintah tanpa penjelasan dan jaminan sama sekali. Setelah ada insiden kebocoran data yang mereka lakukan malah cuci tangan tanpa meminta maaf dan bertanggung jawab. Ini memalukan sekali,” kata Teguh kepada reporter Tirto, Rabu (1/9/2021).

Padahal menurutnya kebocoran data itu dapat dicegah, salah satu contoh yang bisa dilakukan adalah dengan dengan mempersiapkan infrastruktur yang baik dan juga menerapkan enkripsi untuk data masyarakat yang disimpan. Jika infrastruktur sudah dibangun dengan sangat baik, maka ketika ada dugaan akses ilegal ada tindakan yang bisa dilakukan untuk mencegah sampai pelaku terlalu jauh.

“Jadi bukan setelah ada kebocoran data baru sibuk begini begitu. Penerapan enkripsi juga sudah diatur oleh Surat Edaran Menkominfo Nomor 3 Tahun 2021 yang mewajibkan Kementerian dan Lembaga menerapkan enkripsi,” kata dia.

Namun pada praktiknya, menurut Teguh, hal itu tidak dilakukan. Padahal jika dilakukan, kemudian ada insiden kebocoran data, maka data yang bocor tidak akan bisa dibaca begitu saja karena dibutuhkan kunci enkripsi untuk membaca data tersebut.



Sekretaris Indonesia Cyber Security Forum (ICSF) Satriyo Wibowo mengatakan pemerintah memang menyebut bahwa tidak ada data yang bocor. Tetapi respons terhadap informasi yang diberikan oleh Vpnmentor ini menurutnya agak terlambat.

Sehingga kemungkinan, data itu bocor atau dimanfaatkan oleh pihak lain itu jadi terbuka, kata dia. Namun demikian, menurutnya memang dibutuhkan audit forensik digital untuk mendeteksi jejak digital pemindahan data.

“Jika memang benar terjadi, fokus komunikasi publik harusnya memberikan informasi kepada pemilik data mengenai data yang tercuri dan memberikan notifikasi kepada pemilik data ,” kata Satriyo kepada reporter Tirto.

Dengan adanya kejadian ini, ia merekomendasikan pemerintah untuk segera mengundangkan UU Perlindungan Data Pribadi yang mengatur bagaimana manajemen perlindungan data pribadi di sektor publik dan privat, manajemen insiden kebocoran data, dan pengaturan pejabat perlindungan data pribadi.

“Dari aturan inilah yang akan memaksa perbaikan perlindungan data pribadi. Ingat, data yang bocor itu juga data pribadi presiden, menteri, DPR, dirjen, dan pejabat-pejabat pemerintahan. Bukan cuma data pribadi rakyat biasa,” katanya.


Baca juga artikel terkait atau tulisan menarik lainnya Irwan Syambudi
(tirto.id - Teknologi)

Reporter: Irwan Syambudi
Penulis: Irwan Syambudi
Editor: Abdul Aziz
DarkLight