tirto.id - Data 279 juta penduduk Indonesia bocor. Kejadian ini telah terjadi berkali-kali dan membuktikan lemahnya perlindungan data pribadi di negara ini.
Akun Twitter @nuicemedia menginformasikan hal tersebut pada 20 Mei 2021 pukul 11.19. Terduga peretas menyebutkan ada 1 juta data sampel gratis untuk diuji dan 20 juta data terdapat foto pribadi.
Akun @Br__AM memperlihatkan tangkapan layar diskusi jual-beli data. Disebutkan bahwa harga yang ditawarkan sebesar 0.15 bitcoin. “Source BPJS Kesehatan and they sell it for 0.15 BTC, around 6K USD,” tulis akun tersebut.
Peneliti dan konsultan keamanan siber Teguh Aprianto berpendapat meski disebutkan bahwa data tersebut bersumber dari BPJS Kesehatan, namun bisa jadi pelaku merupakan “pihak eksternal tapi orang lokal.” Ada dua faktor mengapa ia bisa menyimpulkan demikian. Pertama karena tak bisa membedakan antara premi dan gaji; kedua, menggunakan frasa-frasa khas lokal seperti ‘KTP’ alih-alih ‘ID card’.
Bila dalam proses investigasi ditemukan ada penetrasi misalnya mengunduh data dari eksternal, semestinya sistem merekam aktivitas tersebut. “Tapi jika dicek data itu tidak ada, berarti ada indikasi dilakukan oleh internal,” kata Teguh ketika dihubungi reporter Tirto, Jumat (21/5/2021).
Ia merupakan salah satu dari sekian banyak orang yang mengkritik mengapa kebocoran seperti ini terus saja terjadi. “Mereka (pemerintah) tak paham tentang bahayanya [data pribadi bocor]. Sementara menghabiskan uang yang sangat banyak, tapi hasilnya tidak ada,” ujar dia.
Menurutnya ISO 27001--standar Internasional dalam menerapkan sistem manajemen keamanan informasi-- sudah dipenuhi, namun implementasinya kacau, seolah-olah pemenuhan standar cuma untuk keperluan audit semata.
“Standardisasi bukan berdasarkan keperluan. Mereka menerapkan standardisasi untuk mendapatkan sertifikat atau lisensinya saja. Setelah lisensi didapatkan, praktiknya tidak benar-benar dilaksanakan. Kalau benar-benar diterapkan, [kasus] seperti ini minim [terjadi],” jelas Teguh.
Dia menegaskan agar pihak BPJS Kesehatan cepat menginvestigasi kejadian ini guna mengetahui sumber perkara.
Ketua Cissrec Pratama Persadha mengatakantidak ada sistem yang 100 persen aman dari ancaman peretasan maupun bentuk serangan siber lain. Namun tetap saja peristiwa semacam ini seharusnya tidak terjadi pada data yang dihimpun oleh instansi pelat merah seperti BPJS Kesehatan.
Maka perlu dibuat sistem yang terbaik dan dijalankan oleh yang berkompeten agar selalu bisa mengamankan dengan standar tinggi.
Ia lantas merekomendasikan agar seluruh instansi pemerintah bekerja sama dengan Badan Siber dan Sandi Negara (BSSN) untuk melakukan audit digital forensik dan mengetahui apakah ada sistem yang ‘berlubang’. Tujuannya untuk menghindari pencurian data di masa depan.
“Pemerintah juga wajib melakukan pengujian sistem atau penetration test secara berkala kepada seluruh sistem lembaga pemerintahan. Ini sebagai langkah preventif, sehingga dari awal dapat ditemukan kelemahan yang harus segera diperbaiki,” jelas Pratama.
Hal serupa dikatakan oleh Direktur Eksekutif Lembaga Studi dan Advokasi Masyarakat (Elsam) Wahyudi Djafar.
“BPJS Kesehatan dan kementerian terkait mengevaluasi sekaligus meningkatkan kebijakan internal terkait tata kelola perlindungan data dan keamanan data, yang sesuai dengan prinsip-prinsip perlindungan data pribadi dan keamanan siber,” kata dia ketika dihubungi reporter Tirto, Jumat.
Berdasarkan investigasi sejak 20 Mei lalu, Kementerian Komunikasi dan Informatika (Kominfo) memang menyimpulkan bahwa “sampel data diduga kuat identik dengan data BPJS Kesehatan” dari mulai nomor kartu, kode kantor, data keluarga/data tanggungan, dan status pembayaran.
Juru Bicara Kominfo, Dedy Permadi, Jumat, menambahkan bahwa “data sampel yang ditemukan tidak berjumlah 1 juta seperti klaim penjual, tetapi 100.002.” Data itu dijual oleh sebuah akun bernama Kotz yang bertindak sebagai pembeli sekaligus penjual data pribadi (reseller) di sebuah forum daring bernama Reaid Forums. Fail gratis berukuran 240 MB dan telah dibagikan sejak 12 Mei 2021.
Agar tidak meluas, Kominfo telah mengajukan pemutusan akses terhadap tautan untuk mengunduh data pribadi tersebut lewat laman bayfiles.com, mega.nz, dan anonfiles.com. “Tautan di bayfiles.com dan mega.nz telah dilakukan takedown, sedangkan anonfiles.com masih terus diupayakan untuk pemutusan akses segera.”
Dalam mengusut kebocoran, Kominfo akan meminta direksi BPJS Kesehatan untuk memberikan kesaksian. Direksi, kata Dedi, juga diminta untuk menyampaikan pemberitahuan secara tertulis kepada pemilik data pribadi.
Kepala Humas BPJS Kesehatan M. Iqbal Anas Ma'ruf mengklaim “sudah mengerahkan tim khusus untuk sesegera mungkin melacak dan menemukan sumbernya,” kepada wartawan, Jumat.
Meski begitu, dia masih tetap mengklaim BPJS Kesehatan konsisten memastikan keamanan data peserta. Dengan big data kompleks yang tersimpan di server, BPJS Kesehatan memiliki sistem pengamanan data yang ketat dan berlapis, katanya. “Di samping itu, secara rutin kami juga melakukan koordinasi dengan pihak-pihak terkait untuk memberikan perlindungan data yang lebih maksimal.”
Penulis: Riyan Setiawan
Editor: Rio Apinino