Beranda
Nasional
Internasional
Metro
Daerah
Lifestyle
Sports
Ekonomi Bisnis
Teknologi
Sains
Otomotif
Edukasi
Kalam
GenSINDO
Infografis
Video
Foto
Indeks
Data Pribadi Bocor, Masyarakat Jadi Sasaran Kejahatan
loading...
Kebocoran data pribadi dikhawatirkan mendorong terjadinya kejahatan siber. FOTO/WIN CAHYONO
A
A
A
JAKARTA - Kebocoran data pribadi penduduk Indonesia yang diduga berasal dari Badan Pelayanan Penyelenggaraan Jaminan Sosial (BPJS) Kesehatan tak bisa dianggap remeh. Pasalnya, masyarakat yang menjadi korban akan rawan menjadi target kejahatan.
Terungkapnya kebocoran terjadi pada 12 Mei lalu, saat data pribadi penduduk Indonesia ditawarkan di Raid Forums. Penjual yang menggunakan nama Kotz memberikan satu juta data sampel dari 279 juta yang diklaim dipegangnya. Penjualan ini baru ramai di jagat maya, terutama Twitter pada 20 Mei 2021. Sontak saja, masyarakat langsung mempertanyakan keamanan data pribadinya yang dipegang kementerian/lembaga, dan pihak swasta.
Di tengah simpang siur mengenai sumber data itu, juru bicara Kementerian Komunikasi dan Informatika Dedy Permadi menyatakan berdasarkan penelusuran pihaknya, data identik dengan milik BPJS Kesehatan. Namun, data sampel yang ditawarkan tidak sampai satu juta seperti klaim Kotz. Kominfo menyebut datanya berjumlah 100.002.
BPJS Kesehatan sendiri telah melaporkan kasus ini ke Bareskrim Polri. “Mengingat adanya dugaan pelanggaran hukum yang dilakukan pihak tidak bertanggung jawab dan merugikan BPJS Kesehatan secara materil maupun immaterial,” ucap Dirut BPJS Kesehatan Ali Ghufron Mukti dalam konferensi pers pada Selasa (25/5/2021).
Namun, Ali belum mengakui secara terbuka apakah data yang diperjualkan beli milik lembaganya atau bukan. Ali masih menggunakan kata “menyerupai” data BPJS Kesehatan. Ali menerangkan pihaknya juga telah berkoordinasi dengan sejumlah lembaga, seperti Kominfo, Badan Siber dan Sandi Negara (BSSN), Kementerian Koordinator Politik, Hukum, dan Keamanan (Kemenkopolhukam), dan Kementerian Koordinator Pembangunan Manusia dan Kebudayaan (PMK) untuk mengusut kasus dugaan kebocoran data pribadi penduduk Indonesia ini.
Mantan Wakil Menteri Kesehatan itu menjelaskan selama ini tata kelola teknologi informasi (TI) dan data di BPJS Kesehatan telah sesuai standar peraturan perundang-undangan. Selain itu, BPJS Kesehatan bekerja sama dengan BSSN dan kementerian pertahanan (Kemhan) dalam mengembangkan dan mengimplementasikan keamanan data yang sesuai ISO 2000-27001.
“Sudah terverifikasi dan mengimplementasikancontrol objective for information technologyserta menjalankansecurity operation center(SOC) yang bekerja selama 24 jam dalam 7 hari untuk melakukan pengamatan jika ada hal-hal yang mencurigakan. Sistem keamanan teknologi informasi di BPJS juga telah berlapis-lapis,” tuturnya.
Namun, menurut lulusan Universitas Gadjah Mada (UGM) itu, masih dimungkinkan terjadinya peretasan. Peristiwa serupa memang kerap terjadi, baik lembaga negara maupun swasta di dalam dan luar negeri. Pada Mei tahun lalu, 13 juta data pengguna Bukalapak dijual di sebuah forum daring.
Selain melakukan penelusuran jejak digital, BPJS Kesehatan langsung melakukan mitigasi terhadap kemungkinan gangguan keamanan dalam proses pelayanan dan administrasi. “Perlu kami tekankan, BPJS tidak pernah memberikan data pribadi kepada pihak-pihak yang tidak bertanggung jawab,” tegas Ali.
Ketua Dewan Pengawas BPJS Kesehatan Achmad Yurianto melihat gangguan terhadap pengelolaan data BPJS Kesehatan merupakan bagian dari ancaman keamanan nasional.
“Dewan Pengawas meminta direksi segera menyiapkan rencana kontingensi dengan pendekatanbusiness continuity managementguna meminimalisir dampak yang terjadi dan memulihkan keamanan data peserta,” tegasnya.
Pendiri Drone Emprit dan Media Kernels Indonesia, Ismail Fahmi, dan pengamat keamanan siber Pratama Dahlian Persadha mengatakan dalam dunia teknologi informasi (TI) mengingatkan data digital selalu menjadi incaran pihak yang tidak bertanggung jawab. Apalagi, peluang kebocoran selalu ada.
Ismail Fahmi menyebut, ada tiga aspek yang harus diperhatikan dalam pengelolaan data digital, yakni teknologi, sumber daya manusia (SDM), dan prosesnya.
“Jadi tiga hal ini harus berjalan dengan benar,” ucapnya saat dihubungi Koran SINDO, Rabu (26/5/2021).
Dari sisi teknologi, Ismail menerangkan harus dilihat apakah alat-alat dan software yang digunakan selalu di-update atau tidak. Kemudian, SDM yang mengelola ini harus mumpuni dalam pengelolaan keamanan data. Ketiga, proses dalam pengelolaan ini harus rigid dan selalu ada pengecekan berkala, entah setiap hari atau mingguan.
“Atau setiap adasoftware upgradeitu enggak lama biasanya ada kebocoran. Hacker menemukan lobang. Setiapsoftwaresuatu saat akan ditemukan lobang keamanannya. Makanya, harus selalu di-upgrade terus. Ini ada enggak proses yang memastikan bahwa ada kebocoran atau tidak,” paparnya.
Lulusan Institut Teknologi Bandung (ITB) itu menyatakan kebocoran data itu bisa dimanapun, entah lewat teknologi web karena software-nya masih versi lama. Dia menyebut software besutan perusahaan Ti terkemuka, seperti Microsoft, Apple, Google, dan open source dunia suatu saat akan ditemukan titik lemah.
“Harus segera ditutup (celah kebocoran). Bisa juga, kita enggak tahu proses di dalam (lembaga). (mungkin) ada orang yang membocorkan, kita enggak tahu. Dugaan saya (kasus BPJS Kesehatan) kebocoran dari software yang pintu masuk ada lobangnya. Tapi enggak tahu, makanya harus diinvestigasi,” tuturnya.
Dalam kasus BPJS Kesehatan ini tak main-main karena penjual mengaku memiliki 279 juta data pribadi orang Indonesia. Ismail mengungkapkan jika benar sebanyak itu, tentu membutuhkan waktu lama bagi hacker untuk menyedot data sebanyak itu. Bisa puluhan sampai berjam-jam untuk mengambil data itu. Bisa pula,hackermengambil secara mencicil selama dia tidak terdeteksi.
Ismail menyatakan, jika sistem keamananya baik, pada saat ada upaya pembobolan data itu akan ada semacam peringatan.
“Itu dari sisi teknologi, memungkinkan adawarningatau enggak. Kalau enggak ada warning, teknologinya yang terpasang belum bagus. Kemudian, orang atausecurity-nya lagi jaga atau tidak,” tegasnya.
Bagi orang awam pertanyaan selanjutnya adalah betapaberani dan terbukanya pembobol menawarkan data itu di dunia maya. Dia mengungkapkan parahackeritu sudah mempunyai forum yang aman bagi mereka. Mereka bisa bebas menawarkan data yang dibobol dengan menggunakan akun anonim. “Jual-beli kalau pakai bitcoin, itu enggak tahu beli ke siapa,” katanya.
Pratama Dahlian Persadha mengingatkan bahwa akan sangat berbahaya bila benar data ini bocor. Karena datanya valid dan bisa digunakan sebagai bahan baku kejahatan digital, terutama perbankan. Dari data ini, pelaku bisa membuat KTP palsu kemudian menjebol rekening korban,” ujarnya kepada Koran SINDO.
Ada beragam cara pelaku kejahatan untuk memanfaatkan data pribadi ini. Salah satunya, phishing yang ditargetkan atau serangan rekayasa sosial (social engineering). “Walaupun di dalam file tidak ditemukan data yang sangat sensitif, seperti detail kartu kredit. Namun, dengan beberapa data pribadi yang ada, pelaku kejahatan dunia maya sudah cukup untuk menyebabkan kerusakan dan ancaman nyata,” tuturnya.
Masalah beberapa kebocoran data pribadi, seperti BPJS Kesehatan, ini sudah terjadi beberapa kali terjadi. Pratama menyatakan sebelum pemilik layanan, baik swasta maupun negara, mengamankan data pribadi, masyarakat harus lebih dulu melakukannya sendiri. Misalnya, membuat password yang kuat dan mengaktifkantwo factor authentication. Kemudian, pasang anti virus di setiap gawai, tidak menggunakan wifi gratisan, dan jangan membuka link yang tidak dikenal.
Jika data bocor dari pihak penyelenggaraan sistem dan transaksi elektronik (PSTE), menurutnya, masyarakat sebagai korban tidak bisa berbuat apa-apa. “Prinsipnya, saat data disetor ke PSTE atau instansi pemerintah, kita hanya bisa berharap data aman. Masalah di Indonesia, tidak ada UU yang melindungi data masyarakat, baikonlinemaupunoffline. Karena itu, UU Perlindungan Data Pribadi (PDP) sangat ditunggu kehadirannya,” paparnya.
Dalam pandangannya, PSTE itu seharusnya bertanggung jawab penuh dan wajib dikenakan sanksi berat apabila ditemukan kelalaian yang mengakibatkan kebocoran data pribadi. Ismail Fahmi mengungkapkan salah satu poin krusial UU PDP terkait pertanggungjawaban perusahaan yang menghimpun dan mengelola data masyarakat. Kalau data bocor, perusahaan tidak bisa dituntut. “Itu merugikan kita,” tegasnya.
Menurut Pratama, RUU PDP ini harus mempunyai semangat seperti UU General Data Protection Regulation (GDPR) di Eropa. Isinya, melindungi data warga Uni Eropa di negara manapun. UU PDP harus juga bisa melindungi data masyarakat Indonesia yang dihimpun di luar Tanah Air.
“Sehingga bila ada data warga Indonesia yang disalahgunakan oleh aplikasi dengan server di luar negeri, warga yang mempunyai data tersebut bisa melakukan tuntutan sesuai UU PDP. Pemerintah tidak boleh hanya menunggu dan melihat saja. Akan tetapi, secara proaktif mengaturnya sebelum korban siber berjatuhan semakin banyak,” pungkasnya.
Terkait regulasi perlindungan data pribadi, Anggota Komisi I DPR Effendi Simbolon mengakui bahwa DPR melalui Komisi I tengah membahas Rancangn Undang-Undang (RUU) Perlindungan Data Pribadi dengan catatan apabila drafnya sudah disetorkan oleh pemerintah. Hanya saja, kata Effendi, sejauh ini pemerintah masih melakukan finalisasi antar Kementerian dan lembaga.
"Kami tanya terus setiap kali ada rapat dengan Kemenkominfo, mereka katanya masih finalisasi antara departemen. Kami desak terus supaya lebih cepat," ucapnya.
Effendi menegaskan, sejauh ini Indonesia belum memiliki payung hukum komplit terkait perlindungan data pribadi masyarakat. Padahal negara tetangga seperti Malaysia, Vietnam, dan Singapura sudah memiliki aturan yang komplet. Bahkan, Eropa sudah lebih maju dalam menyelesaikan permasalahan ini.
"Kita sudah punya UU ITE tapi belum cukup melihat canggihnya teknologi yang sekarang ini sehingga tentu perlu payung hukum yang efektif," tambahnya.
Dia pun meminta segenap pihak dalam hal ini Kementerian Komunikasi dan Informatika (Kemenkominfo) mengambil sikap tegas untuk mengusut kasus kebocoran data yang baru-baru ini terjari.
"Menurut saya untuk kasus seperti ini bukan baru terjadi saat ini saja, kita di komisi I sudah sering sekali rapat membahas permasalahan ini dan mencari jalan keluarnya bersama. Bahkan, saya mempertanyakan proses tindak lanjut dari pencurian data yang sengaja dilakukan oleh pihak yang tidak bertanggung jawab melalui situs online," kata politikus fraksi PDIP itu.
Terungkapnya kebocoran terjadi pada 12 Mei lalu, saat data pribadi penduduk Indonesia ditawarkan di Raid Forums. Penjual yang menggunakan nama Kotz memberikan satu juta data sampel dari 279 juta yang diklaim dipegangnya. Penjualan ini baru ramai di jagat maya, terutama Twitter pada 20 Mei 2021. Sontak saja, masyarakat langsung mempertanyakan keamanan data pribadinya yang dipegang kementerian/lembaga, dan pihak swasta.
Di tengah simpang siur mengenai sumber data itu, juru bicara Kementerian Komunikasi dan Informatika Dedy Permadi menyatakan berdasarkan penelusuran pihaknya, data identik dengan milik BPJS Kesehatan. Namun, data sampel yang ditawarkan tidak sampai satu juta seperti klaim Kotz. Kominfo menyebut datanya berjumlah 100.002.
BPJS Kesehatan sendiri telah melaporkan kasus ini ke Bareskrim Polri. “Mengingat adanya dugaan pelanggaran hukum yang dilakukan pihak tidak bertanggung jawab dan merugikan BPJS Kesehatan secara materil maupun immaterial,” ucap Dirut BPJS Kesehatan Ali Ghufron Mukti dalam konferensi pers pada Selasa (25/5/2021).
Namun, Ali belum mengakui secara terbuka apakah data yang diperjualkan beli milik lembaganya atau bukan. Ali masih menggunakan kata “menyerupai” data BPJS Kesehatan. Ali menerangkan pihaknya juga telah berkoordinasi dengan sejumlah lembaga, seperti Kominfo, Badan Siber dan Sandi Negara (BSSN), Kementerian Koordinator Politik, Hukum, dan Keamanan (Kemenkopolhukam), dan Kementerian Koordinator Pembangunan Manusia dan Kebudayaan (PMK) untuk mengusut kasus dugaan kebocoran data pribadi penduduk Indonesia ini.
Mantan Wakil Menteri Kesehatan itu menjelaskan selama ini tata kelola teknologi informasi (TI) dan data di BPJS Kesehatan telah sesuai standar peraturan perundang-undangan. Selain itu, BPJS Kesehatan bekerja sama dengan BSSN dan kementerian pertahanan (Kemhan) dalam mengembangkan dan mengimplementasikan keamanan data yang sesuai ISO 2000-27001.
“Sudah terverifikasi dan mengimplementasikancontrol objective for information technologyserta menjalankansecurity operation center(SOC) yang bekerja selama 24 jam dalam 7 hari untuk melakukan pengamatan jika ada hal-hal yang mencurigakan. Sistem keamanan teknologi informasi di BPJS juga telah berlapis-lapis,” tuturnya.
Namun, menurut lulusan Universitas Gadjah Mada (UGM) itu, masih dimungkinkan terjadinya peretasan. Peristiwa serupa memang kerap terjadi, baik lembaga negara maupun swasta di dalam dan luar negeri. Pada Mei tahun lalu, 13 juta data pengguna Bukalapak dijual di sebuah forum daring.
Selain melakukan penelusuran jejak digital, BPJS Kesehatan langsung melakukan mitigasi terhadap kemungkinan gangguan keamanan dalam proses pelayanan dan administrasi. “Perlu kami tekankan, BPJS tidak pernah memberikan data pribadi kepada pihak-pihak yang tidak bertanggung jawab,” tegas Ali.
Ketua Dewan Pengawas BPJS Kesehatan Achmad Yurianto melihat gangguan terhadap pengelolaan data BPJS Kesehatan merupakan bagian dari ancaman keamanan nasional.
“Dewan Pengawas meminta direksi segera menyiapkan rencana kontingensi dengan pendekatanbusiness continuity managementguna meminimalisir dampak yang terjadi dan memulihkan keamanan data peserta,” tegasnya.
Pendiri Drone Emprit dan Media Kernels Indonesia, Ismail Fahmi, dan pengamat keamanan siber Pratama Dahlian Persadha mengatakan dalam dunia teknologi informasi (TI) mengingatkan data digital selalu menjadi incaran pihak yang tidak bertanggung jawab. Apalagi, peluang kebocoran selalu ada.
Ismail Fahmi menyebut, ada tiga aspek yang harus diperhatikan dalam pengelolaan data digital, yakni teknologi, sumber daya manusia (SDM), dan prosesnya.
“Jadi tiga hal ini harus berjalan dengan benar,” ucapnya saat dihubungi Koran SINDO, Rabu (26/5/2021).
Dari sisi teknologi, Ismail menerangkan harus dilihat apakah alat-alat dan software yang digunakan selalu di-update atau tidak. Kemudian, SDM yang mengelola ini harus mumpuni dalam pengelolaan keamanan data. Ketiga, proses dalam pengelolaan ini harus rigid dan selalu ada pengecekan berkala, entah setiap hari atau mingguan.
“Atau setiap adasoftware upgradeitu enggak lama biasanya ada kebocoran. Hacker menemukan lobang. Setiapsoftwaresuatu saat akan ditemukan lobang keamanannya. Makanya, harus selalu di-upgrade terus. Ini ada enggak proses yang memastikan bahwa ada kebocoran atau tidak,” paparnya.
Lulusan Institut Teknologi Bandung (ITB) itu menyatakan kebocoran data itu bisa dimanapun, entah lewat teknologi web karena software-nya masih versi lama. Dia menyebut software besutan perusahaan Ti terkemuka, seperti Microsoft, Apple, Google, dan open source dunia suatu saat akan ditemukan titik lemah.
“Harus segera ditutup (celah kebocoran). Bisa juga, kita enggak tahu proses di dalam (lembaga). (mungkin) ada orang yang membocorkan, kita enggak tahu. Dugaan saya (kasus BPJS Kesehatan) kebocoran dari software yang pintu masuk ada lobangnya. Tapi enggak tahu, makanya harus diinvestigasi,” tuturnya.
Dalam kasus BPJS Kesehatan ini tak main-main karena penjual mengaku memiliki 279 juta data pribadi orang Indonesia. Ismail mengungkapkan jika benar sebanyak itu, tentu membutuhkan waktu lama bagi hacker untuk menyedot data sebanyak itu. Bisa puluhan sampai berjam-jam untuk mengambil data itu. Bisa pula,hackermengambil secara mencicil selama dia tidak terdeteksi.
Ismail menyatakan, jika sistem keamananya baik, pada saat ada upaya pembobolan data itu akan ada semacam peringatan.
“Itu dari sisi teknologi, memungkinkan adawarningatau enggak. Kalau enggak ada warning, teknologinya yang terpasang belum bagus. Kemudian, orang atausecurity-nya lagi jaga atau tidak,” tegasnya.
Bagi orang awam pertanyaan selanjutnya adalah betapaberani dan terbukanya pembobol menawarkan data itu di dunia maya. Dia mengungkapkan parahackeritu sudah mempunyai forum yang aman bagi mereka. Mereka bisa bebas menawarkan data yang dibobol dengan menggunakan akun anonim. “Jual-beli kalau pakai bitcoin, itu enggak tahu beli ke siapa,” katanya.
Pratama Dahlian Persadha mengingatkan bahwa akan sangat berbahaya bila benar data ini bocor. Karena datanya valid dan bisa digunakan sebagai bahan baku kejahatan digital, terutama perbankan. Dari data ini, pelaku bisa membuat KTP palsu kemudian menjebol rekening korban,” ujarnya kepada Koran SINDO.
Ada beragam cara pelaku kejahatan untuk memanfaatkan data pribadi ini. Salah satunya, phishing yang ditargetkan atau serangan rekayasa sosial (social engineering). “Walaupun di dalam file tidak ditemukan data yang sangat sensitif, seperti detail kartu kredit. Namun, dengan beberapa data pribadi yang ada, pelaku kejahatan dunia maya sudah cukup untuk menyebabkan kerusakan dan ancaman nyata,” tuturnya.
Masalah beberapa kebocoran data pribadi, seperti BPJS Kesehatan, ini sudah terjadi beberapa kali terjadi. Pratama menyatakan sebelum pemilik layanan, baik swasta maupun negara, mengamankan data pribadi, masyarakat harus lebih dulu melakukannya sendiri. Misalnya, membuat password yang kuat dan mengaktifkantwo factor authentication. Kemudian, pasang anti virus di setiap gawai, tidak menggunakan wifi gratisan, dan jangan membuka link yang tidak dikenal.
Jika data bocor dari pihak penyelenggaraan sistem dan transaksi elektronik (PSTE), menurutnya, masyarakat sebagai korban tidak bisa berbuat apa-apa. “Prinsipnya, saat data disetor ke PSTE atau instansi pemerintah, kita hanya bisa berharap data aman. Masalah di Indonesia, tidak ada UU yang melindungi data masyarakat, baikonlinemaupunoffline. Karena itu, UU Perlindungan Data Pribadi (PDP) sangat ditunggu kehadirannya,” paparnya.
Dalam pandangannya, PSTE itu seharusnya bertanggung jawab penuh dan wajib dikenakan sanksi berat apabila ditemukan kelalaian yang mengakibatkan kebocoran data pribadi. Ismail Fahmi mengungkapkan salah satu poin krusial UU PDP terkait pertanggungjawaban perusahaan yang menghimpun dan mengelola data masyarakat. Kalau data bocor, perusahaan tidak bisa dituntut. “Itu merugikan kita,” tegasnya.
Menurut Pratama, RUU PDP ini harus mempunyai semangat seperti UU General Data Protection Regulation (GDPR) di Eropa. Isinya, melindungi data warga Uni Eropa di negara manapun. UU PDP harus juga bisa melindungi data masyarakat Indonesia yang dihimpun di luar Tanah Air.
“Sehingga bila ada data warga Indonesia yang disalahgunakan oleh aplikasi dengan server di luar negeri, warga yang mempunyai data tersebut bisa melakukan tuntutan sesuai UU PDP. Pemerintah tidak boleh hanya menunggu dan melihat saja. Akan tetapi, secara proaktif mengaturnya sebelum korban siber berjatuhan semakin banyak,” pungkasnya.
Terkait regulasi perlindungan data pribadi, Anggota Komisi I DPR Effendi Simbolon mengakui bahwa DPR melalui Komisi I tengah membahas Rancangn Undang-Undang (RUU) Perlindungan Data Pribadi dengan catatan apabila drafnya sudah disetorkan oleh pemerintah. Hanya saja, kata Effendi, sejauh ini pemerintah masih melakukan finalisasi antar Kementerian dan lembaga.
"Kami tanya terus setiap kali ada rapat dengan Kemenkominfo, mereka katanya masih finalisasi antara departemen. Kami desak terus supaya lebih cepat," ucapnya.
Effendi menegaskan, sejauh ini Indonesia belum memiliki payung hukum komplit terkait perlindungan data pribadi masyarakat. Padahal negara tetangga seperti Malaysia, Vietnam, dan Singapura sudah memiliki aturan yang komplet. Bahkan, Eropa sudah lebih maju dalam menyelesaikan permasalahan ini.
"Kita sudah punya UU ITE tapi belum cukup melihat canggihnya teknologi yang sekarang ini sehingga tentu perlu payung hukum yang efektif," tambahnya.
Dia pun meminta segenap pihak dalam hal ini Kementerian Komunikasi dan Informatika (Kemenkominfo) mengambil sikap tegas untuk mengusut kasus kebocoran data yang baru-baru ini terjari.
"Menurut saya untuk kasus seperti ini bukan baru terjadi saat ini saja, kita di komisi I sudah sering sekali rapat membahas permasalahan ini dan mencari jalan keluarnya bersama. Bahkan, saya mempertanyakan proses tindak lanjut dari pencurian data yang sengaja dilakukan oleh pihak yang tidak bertanggung jawab melalui situs online," kata politikus fraksi PDIP itu.
(ynt)
Explore More