Data Pasien COVID-19 di Kemenkes Bocor, Pengamat Siber: Hadiah Awal Tahun

JAKARTA - Jagat dunia maya kembali dihebohkan dengan peristiwa kebocoran data sebanyak 6 juta pasien COVID-19 yang berada di server Kementerian Kesehatan (Kemenkes), dan ini merupakan hadiah awal tahun yang kurang menyenangkan.

Pernyataan itu disampaikan oleh Pakar Keamanan Siber, Alfons Tanujaya, menurutnya peristiwa ini seperti nasi yang sudah menjadi bubur, tidak ada yang bisa dilakukan lagi, selain lebih tanggung jawab ke depannya.

"Kembali kita mendapatkan “hadiah” tahun baru yang kurang menyenangkan. Kalau data sudah bocor, menghukum pengelola data tidak ada membatalkan data yang bocor. Ibaratnya nasi sudah menjadi bubur, data yang sudah bocor tidak bisa dibatalkan dan akan selalu bocor," ungkap Alfons dalam keterangan yang diterima VOI, Jumat, 7 Desember.

Namun, kata Alfons jika pengelola data bisa berempati menempatkan dirinya sebagai pemilik data dan apa yang dia harapkan kalau data medis yang bocor tersebut adalah data medis dirinya, orang tuanya, teman atau kerabatnya. Tentu ia bisa lebih hati-hati mengelola tanggung jawab yang besar ini supaya hal yang sama tidak terulang lagi.

"Setidaknya pengelola data harus berusaha mencegah dampak negatif dari eksploitasi data yang bocor ini dan secara proaktif mencegah eksploitasi terhadap data yang bocor ini," ujar Alfons.

Alfons menjelaskan, data medis yang bocor bisa disalahgunakan dan mengakibatkan kerugian yang besar bagi pemiliknya.

Jika pasien yang mengalami kebocoran data mengidap penyakit atau kondisi medis tertentu yang sifatnya rahasia dan jika diketahui oleh publik akan mengakibatkan dirinya dijauhi atau diberhentikan dari pekerjaannya, tentu hal ini akan sangat merugikan. Atau foto medis pasien yang tidak pantas dilihat lalu disebarkan akan memberikan dampak psikologis yang berat bagi pasien.

720GB Data Pasien, Ronsen, USG, Video medis, dan data pribadi Pasien dijual di forum pic.twitter.com/71s3XWRo10

— Dean (@Dynbnyy) January 6, 2022

"Ini hanya sedikit resiko sehubungan dengan rekam medis yang bocor dan tidak terhitung data pribadi seperti nomor telepon dan data kependudukan yang bocor dan jelas akan menjadi sasaran eksploitasi," jelas Alfons.

Menurut Alfons, pemegang KTP Indonesia sebenarnya sudah menjadi korban kebocoran data yang masif terindikasi dari banyaknya penyalahgunaan data kependudukan untuk kepentingan jahat.

Seperti membuka rekening bodong untuk menampung hasil kejahatan, menggunakan KTP Aspal (KTP palsu dengan data asli) untuk mendapatkan keuntungan finansial seperti mendapatkan bantuan sosial dari pemerintah, penyalahgunaan data kependudukan untuk kepentingan lain seperti aktivasi kartu SIM Pra Bayar, sampai gangguan telemarketer atau teror debt collector yang menyalahgunakan database yang seharusnya tidak boleh dibagikan sembarangan.

"Karena sering dan maraknya hal ini terjadi, hal ini dianggap sebagai suatu hal yang wajar. Padahal ini adalah hal yang tidak wajar melainkan kurang ajar dan melanggar hukum," ucap Alfons.

"Sehubungan dengan insiden ini (kebocoran data Kemenkes), sebenarnya bisa menjadi pembelajaran dari pengelola data penting. Pengamanan data tidak hanya cukup dilakukan dari sisi perlindungan terhadap penyanderaan data dengan mengenkripsi (ransomware) dimana antisipasi ransomware adalah backup data penting yang terpisah dari database utama atau menggunakan Vaksin Protect yang dapat mengembalikan data sekalipun berhasil di enkripsi ransomware," imbuhnya.

Tetapi lebih jauh lagi, dikatakan Alfons, data penting juga harus dilindungi dari aksi extortionware, dimana jika korbannya tetap tidak mau membayar karena memiliki backup data, maka data yang berhasil diretas diancam untuk disebarkan ke publik jika pengelola data tidak membayar uang tebusan yang diminta.

"Karena itulah langkah antisipasi yang tepat harus dilakukan seperti mengenkripsi database sensitif di server sehingga sekalipun berhasil diretas tetap tidak akan bisa dibuka atau mengimplementasikan DLP Data Loss Prevention," tutur Alfons.

Diwartakan sebelumnya, sebanyak 6 juta data pasien rumah sakit di Indonesia berhasil diretas oleh pelaku yang belum diketahui identitasnya, data yang diduga berisi pasien COVID-19 tersebut kemudian ia jual di Raid Forums secara online.

Menurut unggahan akun Twitter @Dynbnyy yang pertama kali mengetahui hal ini, data pasien itu diambil dari server pusat Kemenkes dengan total 720 GB.

Data tersebut meliputi data pribadi, rontgen, USG, hingga video medis pasien. Pelaku juga dikabarkan memberikan bukti sampel data medis elektrokardiografi, laboratorium, dan radiologi.

Pelaku peretasan mengaku menjual data ini hanya untuk satu atau dua orang saja dalam bentuk mata uang kripto seperti Bitcoin senilai 150.000 dolar AS atau setara Rp2,15 miliar.