Sampel data pribadi warga yang dijual di Raids Forum, diduga kuat identik dengan data pribadi yang dikelola BPJS Kesehatan. Kebocoran data pribadi bukan kali pertama. RUU Perlindungan Data Pribadi mendesak disahkan.
Oleh
TIM KOMPAS
·3 menit baca
JAKARTA, KOMPAS - Sampel data pribadi warga yang dijual akun bernama Kotz di situs forum peretas, Raids Forum, diduga kuat identik dengan data pribadi yang dikelola Badan Penyelenggara Jaminan Sosial atau BPJS Kesehatan. Kotz mengklaim sampel data tersebut bagian dari 279 juta data penduduk Indonesia yang dimilikinya.
Kebocoran data pribadi ini bukan kasus pertama. Selama dua tahun terakhir ada kasus serupa lainnya, seperti dugaan bocornya data pribadi yang
dikelola Tokopedia, Bhinneka.com, Kreditplus, RedDoorz, dan Komisi Pemilihan Umum.
Agar kebocoran data pribadi ini tak terus berulang, pemerintah perlu mewajibkan adanya pengujian sistem dan tes simulasi serangan kejahatan siber secara berkala untuk sistem di lembaga pemerintah. Rancangan Undang-Undang Perlindungan Data Pribadi (RUU PDP) yang tengah dibahas juga mendesak disahkan untuk memperkuat pengamanan data pribadi warga. Hal ini karena data pribadi yang bocor dapat digunakan untuk kejahatan.
Menteri Komunikasi dan Informatika Johnny G Plate, kepada Kompas, Jumat (21/5/2021), mengatakan, pihaknya telah menginvestigasi sampel data pribadi yang beredar sejak Kamis (20/5) di Raids Forum. Dari investigasi ditemukan bahwa data sampel yang ditemukan tak berjumlah 1 juta seperti klaim penjual, yaitu Kotz, tetapi hanya 100.002 data pribadi.
Selain itu, ditemukan pula sampel data itu diduga kuat identik dengan data pribadi yang dikelola BPJS Kesehatan. Hal tersebut didasarkan pada data nomor kartu, kode kantor, data keluarga/data tanggungan, dan status pembayaran yang identik dengan data BPJS Kesehatan.
Terkait hal itu, Kementerian Komunikasi dan Informatika (Kemenkominfo) telah memanggil Direksi BPJS Kesehatan pada Jumat untuk proses investigasi yang lebih mendalam. Dari pertemuan itu diambil tiga kesimpulan. Pertama, BPJS segera memastikan dan menguji ulang data pribadi yang diduga bocor. Kedua, investigasi ini oleh tim internal BPJS dan akan selalu dikoordinasikan dengan Kemenkominfo serta Badan Siber dan Sandi Negara (BSSN).
”Ketiga, langkah pengamanan data akan dilakukan oleh BPJS untuk memitigasi risiko kebocoran data pribadi yang lebih luas,” tambah Johnny.
Di luar itu, Kemenkominfo telah mengajukan pemutusan akses terhadap tiga tautan yang menyebarkan data pribadi itu. Dua tautan dapat diputus, sedangkan satu tautan lainnya masih dalam proses.
Secara terpisah, Direktur Utama BPJS Kesehatan Ali Gufron Mukti menyampaikan, pihaknya masih bekerja keras untuk mendapat kepastian dan melakukan segala sesuatu yang berkaitan dengan investigasi.
Chairman Lembaga Riset Siber Communication and Information System Security Research Center Pratama Persadha menyampaikan, data pribadi yang bocor dapat digunakan pelaku kejahatan, antara lain, untuk melakukan serangan rekayasa sosial (social engineering) atau phising, yakni menipu warganet untuk mendapatkan informasi akun surat elektronik atau media sosial.
Karena besarnya bahaya dari kebocoran data pribadi, Pratama mendorong pemerintah mewajibkan pengujian sistem dan tes penetrasi atau simulasi serangan siber secara berkala ke seluruh sistem lembaga pemerintah. Untuk ini, instansi pemerintah seharusnya bekerja sama dengan BSSN guna melakukan audit digital forensik sehingga bisa diketahui adanya celah di keamanan siber.
Kekosongan hukum
Sementara itu, Direktur Eksekutif Lembaga Studi dan Advokasi Masyarakat Wahyudi Djafar mengingatkan pentingnya pemerintah dan DPR untuk segera mengesahkan RUU PDP. RUU ini masih dibahas DPR bersama pemerintah.
Kekosongan hukum perlindungan data pribadi, menurut Wahyudi, telah memunculkan sejumlah permasalahan dalam tata kelola perlindungan data. Hal ini terjadi pada sektor publik, termasuk di dalamnya kementerian/lembaga, ataupun sektor privat.
Ketua Panitia Kerja RUU PDP Abdul Kharis Almasyhari menyadari urgensi dari pengesahan RUU PDP. Namun, pembahasan RUU itu masih belum bisa dilanjutkan karena harus menunggu keputusan perpanjangan pembahasan dari Badan Musyawarah DPR.
Direktur Indonesian Parliamentary Center Ahmad Hanafi mengatakan, kebocoran data pribadi yang terus berulang seharusnya jadi landasan kuat untuk segera mengesahkan RUU PDP. Kebocoran data itu tak boleh dianggap remeh karena dapat mengganggu stabilitas negara. ”Bamus DPR harus segera menetapkan perpanjangan pembahasan RUU PDP,” ujar Hanafi. (SYA/REK/MED)