Data Pribadi yang Bocor Diduga Kuat Identik dengan Data BPJS Kesehatan
Dugaan kebocoran data pribadi peserta jaminan sosial kesehatan semakin menguat. Pemerintah diharapkan bersikap transparan mulai proses investigasi sampai penanganan penyelesaian kasus.
Oleh
MEDIANA
·5 menit baca
JAKARTA, KOMPAS — Menanggapi viral dugaan kebocoran data pribadi 279 juta penduduk Indonesia, Kementerian Komunikasi dan Informatika terus melakukan investigasi. Sampel data pribadi yang beredar telah diinvestigasi sejak Kamis 20 Mei 2021. Kementerian menemukan bahwa sampel data diduga kuat identik dengan data Badan Penyelenggara Jaminan Sosial Kesehatan.
Juru Bicara Kementerian Komunikasi dan Informatika (Kemkominfo) Dedy Permadi, Jumat (21/5/2021), menyampaikan hal tersebut. Berdasarkan hasil investigasi sementara Kemkominfo, akun bernama Kotz menjual data pribadi di Raid Forums. Akun Kotz merupakan pembeli dan penjual data pribadi atau reseller. Data sampel yang ditemukan tidak berjumlah satu juta seperti klaim penjual, melainkan berjumlah 100.002 data.
”Dugaan kuat kami, sampel data identik dengan data milik Badan Penyelenggara Jaminan Sosial (BPJS) Kesehatan. Hal ini didasarkan pada adanya data nomor kartu, kode kantor, data keluarga/data tanggungan, serta status pembayaran yang identik dengan data kebutuhan jaminan sosial kesehatan,” ujarnya.
Kementerian Kominfo sudah memanggil jajaran direksi BPJS Kesehatan sebagai pengelola data pribadi yang diduga kuat bocor. Pemanggilan itu untuk proses investigasi secara lebih mendalam sesuai amanat Peraturan Pemerintah (PP) Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik dan Peraturan Menkominfo Nomor 20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik.
Mengacu dua peraturan itu, penyelenggara sistem elektronik yang sistemnya mengalami gangguan serius akibat kegagalan perlindungan data pribadi wajib melaporkan dalam kesempatan pertama kepada Kementerian Kominfo dan pihak berwenang lain. Selain itu, penyelenggara sistem elektronik juga wajib untuk menyampaikan pemberitahuan secara tertulis kepada pemilik data pribadi bahwa terjadi kegagalan perlindungan data pribadi.
Dedy menyampaikan, untuk mengantisipasi penyebaran data pribadi lebih luas, Kementerian Kominfo berupaya memutus akses terhadap tautan untuk mengunduh data pribadi tersebut. Dia menyebutkan tiga tautan yang teridentifikasi jadi tempat pendistribusian, dua di antaranya telah berhasil diputus aksesnya.
Chairman Lembaga Riset Siber Communication and Information System Security Research Center (CISSRec) Pratama Persadha menyampaikan, data pribadi dari file yang bocor dapat digunakan oleh pelaku kejahatan, seperti melakukan serangan rekayasa sosial (social engineering) atau phising yang ditargetkan. Pelaku kejahatan dapat menggabungkan informasi yang ditemukan dalam file CSV yang bocor dengan bentuk pelanggaran data pribadi lainnya untuk membuat profil terperinci dari calon korban mereka, seperti data dari kebocoran perusahaan perdagangan secara elektronik atau e-dagang.
Menurut dia, pemerintah sudah saatnya mewajibkan pengujian sistem dan tes penetrasi atau simulasi serangan kejahatan siber secara berkala kepada seluruh sistem layanan lembaga pemerintah. Instansi pemerintah seharusnya bekerja sama dengan Badan Siber dan Sandi Negara (BSSN) guna melakukan audit digital forensik sehingga bisa diketahui potensi celah keamanan siber.
Direktur Eksekutif Lembaga Studi dan Advokasi Masyarakat (ELSAM) Wahyudi Djafar, mengemukakan pendapatnya saat dihubungi terpisah. Menurut dia, BPJS Kesehatan mengumpulkan data pribadi legal karena diperintahkan oleh Undang-Undang (UU) Nomor 40 Tahun 2004 tentang Sistem Jaminan Sosial Nasional dan UU Nomor 24 Tahun 2011 tentang Badan Penyelenggara Jaminan Sosial. Mengacu pada dua UU itu, dia menilai keduanya tidak secara detail dan spesifk mengatur tentang perlindungan data pribadi warga yang dikumpulkan.
Langkah investasi serius perlu terus dilakukan. BPJS Kesehatan termasuk bagian dari sistem penyelenggara sistem elektronik, tetapi Wahyudi mengkhawatirkan sudahkah BPJS Kesehatan terdaftar dan tersertifikasi sebagai penyelenggara sistem elektronik. Kalaupun BPJS Kesehatan sudah terdaftar dan tersertifikasi, keamanan siber lembaga itu semestinya tunduk pada ketentuan BSSN.
”BSSN bisa turut melakukan proses investigasi secara mendalam atas terjadinya insiden ini, lalu memberikan rekomendasi penggunaan sistem keamanan yang andal dalam pemanfaatan data kependudukan oleh BPJS Kesehatan sebagai bagian dari keamanan sistem pemerintahan berbasis elektronik. Kemkominfo bisa terus meminta BPJS Kesehatan untuk terus melakukan investigasi data pribadi yang terdampak,” ujarnya.
Dari sisi integritas data pribadi, hasil investigasi instansi-instansi tersebut harus bisa dapat mengetahui sudah ada tidaknya penyalahgunaan data. Sementara dari aspek ketersediaan data, hasil investigasi seharusnya bisa menemukan apakah data pribadi yang bocor itu ada yang sudah dikuasai pihak asing atau belum.
Kejadian kebocoran data pribadi yang diduga kuat data jaminan sosial kesehatan semakin menunjukkan perlunya sistem keamanan siber diubah. Terkait Nomor Induk Kependudukan (NIK), misalnya. Wahyudi mengatakan, NIK digunakan sebagai super akun, termasuk layanan jaminan sosial kesehatan. Ketika integritas NIK tidak bisa lagi dikontrol jaminan keamanannya, NIK semestinya sudah tidak dipakai lagi.
ELSAM mengidentifikasi setidaknya terdapat 46 UU sektoral yang materinya terkait dengan data pribadi, mulai dari sektor kependudukan, kesehatan, sampai keuangan. Namun, berbagai regulasi sektoral tersebut cenderung belum ada rumusan definisi data pribadi, jenis data pribadi yang seragam dan memadai, serta materinya belum selaras dengan prinsip-prinsip perlindungan data pribadi.
Dia lantas mencontohkan UU Nomor 24 Tahun 2013 tentang Perubahan Atas UU Nomor 23 Tahun 2006 tentang Administrasi Kependudukan. Dalam UU ini, data pribadi yang harus dilindungi dan dirahasiakan hanya data pribadi yang masuk kualifikasi data pribadi bersifat sensitif, yaitu data kondisi fisik dan mental, tanda tangan, retina mata, sidik jari, dan aib seseorang. Sementara ada 31 elemen data kependudukan yang secara konsep masuk data pribadi harus dilindungi dan dirahasiakan malah dimudahkan untuk diakses.
”Kesadaran lembaga (pemerintah) terhadap jenis data pribadi yang harus dilindungi dan dirahasiakan masih rendah. Namun, aneka layanan publik, bukan hanya instansi pemerintah yang dimandatkan UU, suka sekali mengumpulkan data pribadi baik berwujud hardcopy maupun softcopy dan sering kali tidak berhubungan langsung dengan layanan itu. Ketika ada kebocoran data pribadi, seperti kasus viral kemarin, potensi dampaknya menjadi besar,” imbuh Wahyudi.
Direktur Utama BPJS Kesehatan Ali Gufron Mukti saat dikonfirmasi menyampaikan, pihaknya masih bekerja keras untuk mendapat kepastian dan segala sesuatu yang berkaitan dengan investigasi.