2.79 亿 BP 健康数据泄露,调查情况如何?

JAKARTA - Kebocoran 279 juta data penduduk Indonesia di forum internet membuat geger seluruh elemen bangsa. Data pribadi yang bocor itu muncul dalam format tabel Excel dan dijual disebuah daring, Raid Forums. 

Pihak penjual data itu adalah sebuah akun bernama Kotz. Kotz adalah reseller data pribadi itu.

Konsumen akan dirugikan apabila benar datanya diperjualbelikan dan diretas. Atas kebocoran ini, DPR RI bersuara keras bakal memanggil stakeholder terkait yang bertanggungjawab. Mulai BPJS Kesehatan, Kepolisian hingga Kementerian Komunikasi dan Informatika. 

Selain itu, ada dorongan untuk mengesahkan RUU Perlindungan Data Pribadi. Lantas, bagaimana penyelesaian kasus kebocoran data ini?

 

DPR RI 

Anggota Komisi IX DPR Saleh Partaonan Daulay mengaku terkejut ada data penduduk yang terdaftar di BPJS Kesehatan tersebar dan diperjualbelikan lewat media media sosial. 

"Mestinya dijaga kerahasiaannya oleh lembaga di negara kita seperti BPJS. Ini jangan sampai bocor keluar," ujar Saleh di Sekretariat DPP PAN, Kebayoran Baru. Jakarta Selatan, Jumat 21 Mei.

Setahunya dalam paparan ke komisi IX DPR, BPJS Kesehatan sejak beberapa tahun terakhir mengatakan bahwa sistem komputerisasi yang mereka miliki adalah sistem komputerisasi yang sangat aman. Sehingga data yang ada semestinya terpelihara dengan benar dan tidak bocor keluar. 

"Karena itu nanti kami akan mengusulkan bagaimana agar BPJS kesehatan memberikan keterangan secara khusus pada komisi IX terkait dengan kebocoran ini," kata Saleh.

Ketua Fraksi PAN di DPR itu mengatakan, pihaknya bakal mempertanyakan 3 hal soal kebocoran data tersebut. 

"Pertama, yang perlu dilihat data itu bocornya kenapa, itu perlu kita tanyakan. Kemudian kedua, apa dampak dari kebocoran itu terhadap pelayanan. Ketiga, kira-kira apa bahayanya kebocoran itu bagi kita semua," jelas Saleh.

Menurutnya, ketiga hal tersebut penting untuk dipertanyakan lantaran data peserta BPJS Kesehatan sudah hampir 210 juta warga negara terdaftar. 

"Kalau semuanya bocor datanya ke orang kan, waduh bahaya! Jadi kita lihat bagaimana dampaknya keseriusan terkait itu," jelas Saleh.

Saleh menambahkan, dari ketiga pertanyaan itu nantinya Komisi IX DPR akan mendorong pengusutan kebocoran data tersebut. Bila perlu dilakukan audit digital forensik yang bekerjasama dengan Badan Siber dan Sandi Negara.

"Tentu kita akan mengupayakan akan diusut mengapa ini bisa bocor. Diantaranya pada ujungnya dilakukan audit pada kebocoran itu," ungkap Saleh.

Sementara, Anggota Komisi VIII DPR PKS DPR RI Bukhori Yusuf menegaskan, data pribadi adalah hak asasi yang harus dijaga sebagaimana dinyatakan dalam UUD 1945. Dalam Pasal 28 G ayat (1) UUD 1945 disebutkan, setiap orang berhak atas perlindungan diri pribadi, serta berhak atas rasa aman dan perlindungan dari ancaman ketakutan untuk berbuat atau tidak berbuat sesuatu yang merupakan hak asasi.

Menurutnya, kebocoran data pribadi tersebut tidak bisa sebatas dimaknai sebagai insiden personal yang menimpa warga negara. 

"Ini adalah wujud ancaman siber (cyber threat) terhadap national interest kita, mengingat kebocoran data tersebut ditengarai menimpa salah satu badan negara dan berpotensi menimbulkan kerugian sistemik dalam jumlah yang signifikan,” ujar Bukhori, Jumat, 21 Mei.

Karenanya, politikus PKS itu meminta kepolisian mengusut tuntas pihak yang sengaja membocorkan dan memperjualbelikan data pribadi tersebut. Sebab, kata dia, kejadian itu berpotensi menimbulkan kerugian yang signifikan dari aspek materil maupun imateril.

“Dari segi materil, bisa kita cermati bahwa banyak terjadi penyalahgunaan data untuk transaksi fiktif, misalnya pinjaman online yang mengakibatkan kerugian bagi pihak yang datanya dicuri. Tidak hanya itu, dari segi imateril, sangat jelas bahwa kebocoran data ini membuat kita was-was," katanya.

[/read_more]

DPD RI

Ketua Komite I DPD RI Fachrul Razi meminta seluruh pihak terkait untuk bertanggung jawab atas bocornya 279 juta identitas kependudukan warga Indonesia.

Terlebih, data penduduk Indonesia yang diduga bocor itu diperjual-belikan dalam sebuah forum. Dimana, mencakup nomor KTP, gaji, nomor telepon, alamat dan email, bahkan data orang yang sudah meninggal juga terdapat di dalamnya. 

"Data pribadi harusnya terlindungi, tidak mudah tersebar apa lagi diperjualbelikan" ujar Fachrul, Jumat, 21 Mei.

Senator asal Aceh itu mengingatkan, bahwa Era digital seperti sekarang ini data kependudukan sangatlah vital. Sehingga harus dijaga kerahasiaannya karena dapat disalahgunakan oleh pihak yang tidak bertanggung jawab. 

"Pemilik data pribadi adalah individu yang padanya melekat data perseorangan tertentu. Setiap penyelenggara sistem elektronik harus mempunyai aturan internal perlindungan data pribadi untuk melaksanakan proses," jelasnya.

Terkait masalah ini, Fachrul pun menilai sudah saatnya pemerintah mengedepankan pengesahan Rancangan Undang-Undang Perlindungan Data Pribadi (RUU PDP).

"Harus segera disahkan RUU ini, mengingat RUU PDP ini penting untuk perlindungan data pribadi kita. Ini harus dipastikan," tegasnya.

Alumni Politik Universitas Indonesia ini menambahkan, setiap penyelenggara sistem elektronik harus menyusun aturan internal perlindungan data pribadi sebagai bentuk tindakan pencegahan untuk menghindari terjadinya kegagalan dalam perlindungan data pribadi yang dikelolanya. Perolehan dan pengumpulan data pribadi oleh penyelenggara sistem elektronik wajib berdasarkan persetujuan atau berdasarkan ketentuan peraturan perundang-undangan.

"Undang-Undang Perlindungan Data Pribadi (UU PDP), yang saat ini masih berupa rancangan undang-undang, ditargetkan bisa selesai awal tahun depan," ungkapnya.

Menurut Fachrul, RUU PDP ini perlu untuk menjamin kepentingan nasional. Namun tidak terbatas kepada kedaulatan negara dan perlindungan terhadap data pribadi milik warga negara, Undang-Undang Perlindungan Data Pribadi juga akan mengatur hak dan kewajiban pemilik data dan individu atau lembaga yang mengumpulkan dan memproses data.

"Melalui regulasi ini, akan ditetapkan data protection officer atau pengawas perlindungan data pribadi," tandasnya.

Untuk diketahui, Rancangan Undang-Undang Perlindungan Data Pribadi saat ini masih dalam proses politik di DPR. 

RUU tersebut masuk ke tahap pembahasan di DPR sejak September lalu. Semula, undang-undang ini ditargetkan selesai pada November tahun ini. 

Pakar Keamanan Siber

Pakar keamanan siber Pratama Persadha mengatakan dalam file yang didownload tersebut ada data NOKA atau nomor kartu BPJS kesehatan. Menurut klaim pelaku, dirinya mempunyai data file sebanyak 272.788.202 juta penduduk.

Namun, Pratama menilai aneh bila akun Kotz mengaku mempunyai 270 juta lebih data serupa, padahal anggota BPJS kesehatan sendiri di akhir 2020 adalah 222 juta.

“Dari nomor BPJS Kesehatan yang ada di file bila dicek online ternyata datanya benar sama dengan nama yang ada di file. Jadi memang kemungkinan besar data tersebut berasal dari BPJS Kesehatan,” jelasnya.

Chairman lembaga riset siber CISSReC (Communication & Information System Security Research Center) ini, menyebutkan, data dari file yang bocor dapat digunakan oleh pelaku kejahatan dengan melakukan phishing yang ditargetkan atau jenis serangan rekayasa sosial (Sosial Engineering).

"Walaupun didalam file tidak ditemukan data yang sangat sensitif seperti detail kartu kredit namun dengan beberapa data pribadi yang ada, bagi pelaku penjahat dunia maya sudah cukup untuk menyebabkan kerusakan dan ancaman nyata,” terang Pratama.

Lebih lanjut, Pratama menjelaskan, pelaku kejahatan dapat menggabungkan informasi yang ditemukan dalam file CSV yang bocor dengan pelanggaran data lain untuk membuat profil terperinci dari calon korban mereka seperti data dari kebocoran Tokopedia, Bhinneka, Bukalapak dan lainnya.

Dengan informasi seperti itu, kata dia, pelaku kejahatan dapat melakukan serangan phising dan social engineering yang jauh lebih meyakinkan bagi para korbannya.

“Yang jelas tidak ada sistem yang 100% aman dari ancaman peretasan maupun bentuk serangan siber lainnya. Karena sadar akan hal tersebut, maka perlu dibuat sistem yang terbaik dan dijalankan oleh orang-orang terbaik dan berkompeten agar selalu bisa melakukan pengamanan dengan standar yang tinggi,” jelas Pratama.

Pratama menambahkan, kejadian semacam ini harusnya tidak terjadi pada data yang dihimpun oleh negara. 

"Sebaiknya, mulai saat ini seluruh instansi pemerintah wajib bekerjasama dengan BSSN untuk melakukan audit digital forensic dan mengetahui lubang-lubang keamanan mana saja yang ada," katanya.

Paling penting, sambung dia, dibutuhkan UU PDP yang isinya tegas dan ketat seperti di eropa. Ini menjadi faktor utama, banyak peretasan besar di tanah air yang menyasar pencurian data pribadi.

Yayasan Lembaga Konsumen Indonesia (YLKI)

Ketua Pengurus Harian Yayasan Lembaga Konsumen Indonesia (YLKI) Sudaryatmo meminta BPJS Kesehatan untuk buka suara soal data yang diduga bocor dan diperjualbelikan. Hal ini penting untuk memberikan rasa aman bagi pemilik data.

"Lembaga yang mengumpulkan data dan diduga bocor harus memberikan klarifikasi ke publik. Karena ini masih simpang siur juga berapa data yang bocor," kata Sudaryatmo saat dihubungi VOI, Jumat, 21 Mei.

Selain itu, BPJS Kesehatan juga diminta untuk memberi akses pada masyarakat untuk memeriksa apakah data mereka ikut bocor dan diperjualbelikan. "Baru kalau bocor ya minta masyarakat untuk mengganti PIN akses," tegasnya.

Sudaryatmo mengatakan masyarakat memang bisa menggugat kebocoran data itu jika terbukti dan menimbulkan kerugian. Hanya saja, hal ini akan sulit dilakukan karena harus diketahui secara pasti dari mana data tersebut bocor.

"Bocornya data itu dari mana, karena mereka tentu bekerja sama dengan banyak lembaga. Ini masih harus dipelajari, termasuk bentuk kerja samanya bagaimana dan seberapa besar pihak yang kerja sama bisa mengakses data," jelasnya.

"Tentunya kan tidak semua data bisa diakses. Nah, ketika ada kerja sama dengan pihak ketiga itu harus dipastikan mereka punya sistem perlindungan data yang bisa menjamin dan ini semua harus dibuka," imbuh Sudaryatmo.

Dengan adanya kejadian semacam ini, dirinya juga berharap masyarakat makin memperhatikan data pribadi milik mereka sebelum menyerahkan ke pihak tertentu. Termasuk, menanyakan bagaimana cara sebuah lembaga atau perusahaan menjaga data tersebut.

Sebab, masyarakat sebenarnya punya hak untuk menanyakan keamanan dari data pribadi yang mereka serahkan. "Jadi sebelum menyerahkan data pada pihak lain mereka berhak bertanya," ungkap Sudaryatmo.

Kepolisian RI

Polri menegaskan bakal menyelidiki persoalan 279 juta data warga Indonesia yang bocor dan diperjualbelikan. Kasus ini ditangani Direktorat Tindak Pidana Siber. 

"Sejak isu bergulir saya sudah perintahkan Dirtipidsiber untuk melakukan penyelidikan hal tersebut," kata Kabareskrim Polri Komjen Agus Andrianto kepada VOI, Jumat, 21 Mei.

Tahap awal dilakukan dengan merampungkan hal administrasi. Jika sudah rampung, proses penyelidikan akan langsung dilakukan.

"Sedang dipersiapkan mindik (administrasi penyidikan) untuk legalitas pelaksanaan anggota di lapangan," kata dia.

Sambil menunggu tahap awal rampung, Komjen Agus mengatakan beberapa instansi terkait sudah lebih dulu menangani kasus ini. Nantinya Polri akan terlibat dan membantu pengungkapan perkara tersebut.

"Saat ini dari Kominfo, Kependudukan dan BPJS sedang mendalami hal kebocoran tersebut," ujar Kabareskrim.

Hasil Investigasi Kominfo 

Kementerian Komunikasi dan Informasi (Kominfo) telah melakukan investigasi terkait dugaan kebocoran 279 juta data pribadi penduduk Indonesia yang diduga sebagai pendaftar BPJS Kesehatan.

Dari perkembangan sampel data pribadi sejak 20 Mei, ditemukan bahwa akun bernama Kotz menjual data pribadi di Raid Forums.

"Akun Kotz sendiri merupakan pembeli dan penjual data pribadi atau reseller," ujar Juru Bicara Kementerian Kominfo Dedy Permadi dalam keterangannya, Jumat, 21 Mei.

Dari temuan, Dedy mengungkapkan, data sampel tidak berjumlah 1 juta seperti klaim penjual. Namun berjumlah 100.002 data. 

Sampel data tersebut diduga kuat identik dengan data BPJS Kesehatan dilihat struktur data yang terdiri dari nomor kartu, kode kantor, data keluarga/data Tanggungan, dan status pembayaran.

"Identik dengan data BPJS Kesehatan," katanya.

Dedy mengatakan, Kominfo telah melakukan berbagai langkah antisipatif untuk mencegah penyebaran data lebih luas dengan mengajukan pemutusan akses terhadap tautan untuk mengunduh data pribadi tersebut.

"Terdapat 3 tautan yang terindetifikasi yakni bayfiles.com, mega.nz, dan anonfiles.com. Sampai saat ini tautan di bayfiles.com dan mega.nz telah dilakukan takedown, sedangkan anonfiles.com masih terus diupayakan untuk pemutusan akses segera," kata Dedy.

Dedy menuturkan, Kominfo juga sudah memanggil Direksi BPJS Kesehatan sebagai pengelola data pribadi yang diduga bocor, hari ini, Jumat, 21 Mei.

"Pemanggilan ini guna keperluan proses investigasi secara lebih mendalam sesuai amanat Peraturan Pemerintah Nomor 71 Tahun 2019," jelasnya.

Sesuai dengan Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PP PSTE) dan Peraturan Menkominfo No. 20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik, PSE (Penyelenggara Sistem Elektronik) yang sistem elektroniknya mengalami gangguan serius akibat kegagalan perlindungan data pribadi wajib untuk melaporkan dalam kesempatan pertama kepada Kementerian Kominfo dan pihak berwenang lain.

Selain itu, kata dia, PSE juga wajib untuk menyampaikan pemberitahuan secara tertulis kepada pemilik data pribadi.

"Dalam hal diketahui bahwa terjadi kegagalan perlindungan data pribadi," tandas Dedy Permadi.