Ilustrasi, sumber foto: Istimewa
Diamond QQ - Praktisi keamanan siber dari CISReC, Pratama D. Persadha mendesak agar Kementerian Kesehatan meminta maaf kepada masyarakat setelah bocornya 1,3 juta data pengguna Electronic Health Alert Card (e-HAC). Ia menilai respons Kemenkes yang mendorong warga berpindah ke aplikasi e-HAC baru tak dapat menghapus fakta bahwa sudah terjadi kebocoran data pribadi.
Walaupun disebut oleh Kemenkes sebagai data lama juga tak bisa dipungkiri data-data yang sudah bocor itu merupakan data valid.
"Ada 1,3 juta data yang bocor itu kan tidak hanya valid tetapi juga lengkap. Mulai dari hasil tes COVID-19, data pribadi penumpang penerbangan hingga ke staf e-HAC. Kalau sampai data-data ini dimanfaatkan oleh orang-orang yang tidak bertanggung jawab, yang rugi siapa? Kan masyarakat lagi. Lalu, Kemenkes bisa apa, ya gak bisa ngapa-ngapain," kata Pratama kepada media pada Kamis (2/9/2021).
Ia pun menambahkan sebanyak 1,3 juta data yang bocor itu tidak dapat ditarik lagi. "Harusnya Kemenkes bijak meminta maaf lah ke masyarakat karena sistemnya gak kuat sehingga terjadi upaya peretasan atau kebocoran ini," tambahnya.
Pernyataan serupa juga disampaikan oleh praktis keamanan siber lainnya dari PT Vaksincom, Alfons Tanujaya. Menurutnya, dengan mendorong warga supaya berpindah menggunakan aplikasi e-HAC yang baru di PeduliLindungi tidak menyelesaikan masalah.
"Mungkin Kemenkes ingin menyampaikan bahwa perlindungan data di PeduliLindungi sudah lebih baik. Tetapi, tetap tak menutupi fakta waktu dulu saat belum diintegrasikan di PeduliLindungi, datanya bocor," kata Alfons ketika dihubungi wartawan pada 31 Agustus 2021 lalu.
Ia meminta agar Kemenkes tidak membuat pernyataan yang menyesatkan masyarakat. Justru, harus ditelusuri apakah ada dampak dari kebocoran data tersebut.
Namun, Alfons menilai kebocoran data kali ini tergolong sangat fatal. Mengapa?
Vendor Kemenkes simpan data pengguna e-HAC di server hosting tanpa dienkripsi
Menurut Alfons, peristiwa kebocoran data kali ini tergolong sangat ceroboh dan parah. Karena, vendor yang dipekerjakan Kemenkes menyimpan data pengguna aplikasi e-HAC di server internet. Konsekuensinya, jika server itu dapat diretas, maka secara otomatis peretas bisa memperoleh dengan mudah mengambil data pengguna aplikasi e-HAC.
"Ini membuktikan data itu tidak dilindungi dengan baik bahkan dienkripsi," ujar Alfons.
Bahkan, data yang terekspos sampai ke akun admin pengelola e-HAC. Ia kemudian merinci kesalahan fatal lainnya yang dilakukan oleh vendor yang dipekerjakan oleh Kemenkes.
"Pertama, menaruh data pribadi di server hosting saja sudah salah. Itu tidak boleh. Tetapi, ini malah ditaruh di sana dan tidak diberi perlindungan maksimal. Kalaupun ditaruh di sana (server hosting) harus dienkripsi. Itulah sebabnya bobolnya data kali ini kami katakan sangat parah," paparnya.
Ia menambahkan bisa saja data pengguna e-HAC yang sempat disimpan di server hosting itu sudah disalin oleh pihak yang memiliki niat jahat. Ia mewanti-wanti besar kemungkinan 1,3 juta data itu sudah dicuri dan dijual di dark web seperti yang terjadi pada peristiwa data pengguna BPJS Kesehatan.
"Kami berharap masih belum ada yang menyalin data itu," katanya.
Alfons menyebutkan bahwa tim peneliti vpnMentor, Noam Rotem dan Ran Locar masih memiliki niat baik dengan menghubungi tim Kemenkes. Tetapi, notifikasi yang mereka sampaikan justru tak memperoleh tanggapan apa-apa dari Kemenkes.
Bocornya data e-HAC berpotensi membahayakan keselamatan masyarakat saat pandemi
Alfons juga mewanti-wanti kebocoran data kali ini sangat berdampak karena berpotensi membahayakan keselamatan masyarakat. Jika data tersebut jatuh ke tangan pihak yang memiliki niat jahat, maka mereka dapat mengubah data hasil tes COVID-19 yang diunggah di aplikasi tersebut.
"Misalnya pihak tertentu itu iseng dan mengubah hasil tes COVID-19, seharusnya ia dinyatakan positif COVID-19 tetapi karena datanya bocor lalu diubah dan dinyatakan negatif COVID-19. Kan, orang ini bisa tetap berkeliaran, matilah kita," katanya.
"Sebaliknya, kalau orang yang sebenarnya hasil tes COVID-19 negatif tetapi dinyatakan positif, maka dia kasihan. Aktivitasnya jadi terbatas dan gak bisa ke mana-mana," ujarnya.
Kemenkes yang mengelola data tersebut wajib melindungi dan memiliki standar tertentu terhadap perlindungan data. "Idealnya sebelum mereka diberikan pengelolaan data, institusi itu sudah melewati berbagai pelatihan dan ada sertifikasi," katanya.
Ia menyarankan pemerintah untuk lebih serius dan memberikan prioritas lebih banyak dalam pengelolaan data publik. Alfons pun sepakat bila Undang-Undang Perlindungan Data Pribadi (PDP) harus secepatnya disahkan. Sebab, UU itu bisa menjerat pejabat yang mengelola data meski mereka tidak terlibat secara langsung.
"Karena adanya UU itu, para pejabat tadi jadi aware adanya ancaman (pembobolan data) karena mereka pun juga bisa terancam masuk penjara meski tanggung jawab penuh berada di bagian teknologi informasi (TI)," ujarnya.
Salah satu prioritas itu bisa ditunjukkan dengan menambahkan anggaran untuk bisa melindungi data identitas pribadi publik. Sedangkan, saat ini karena belum dinilai sebagai prioritas, maka anggarannya pun minim.
BSSN minta semua institusi pengelola data ikuti aturan soal perlindungan data
Sementara, juru bicara Badan Siber dan Sandi Negara (BSSN), Anton Setiawan menyebutkan bahwa instansi tempatnya bekerja sudah membuat dua aturan untuk mencegah terjadinya kebocoran data pribadi. Aturan pertama yakni Peraturan BSSN nomor 8 tahun 2020 mengenai sistem keamanan informasi. Aturan kedua, yaitu Peraturan BSSN nomor 4 tahun 2021 terkait prosedur keamanan sistem pemerintahan berbasis elektronik.
"Tapi, panduan ini baru berguna bila diikuti. Ini kerja keras BSSN untuk semua kementerian. Meski kami merupakan institusi yang lahir paling bungsu," ujar Anton kepada media pada hari ini.
Ia pun berharap dengan adanya peristiwa ini dan dorong dari komunitas keamanan siber dapat menyadarkan instansi pemerintah agar melakukan introspeksi diri. "Kemudian, mereka mulai memperkuat sistem keamanan pengelolaan datanya," ujar dia.
0 Comments