Menkominfo Klaim Penanganan Kebocoran Data BPJS Sudah Sesuai Aturan
Kebocoran data pribadi warga tak cukup ditangani dengan serangkaian penyelidikan yang dilakukan pemerintah. Kehadiran Undang-Undang Perlindungan Data Pribadi kian mendesak untuk mencegah pencurian data pribadi terulang.
Oleh
Kurnia Yunita Rahayu
·4 menit baca
JAKARTA, KOMPAS — Menteri Komunikasi dan Informatika Johnny G Plate mengklaim penanganan dugaan kebocoran data peserta Badan Penyelenggara Jaminan Sosial Kesehatan sudah sesuai dengan peraturan yang berlaku. Kementerian Komunikasi dan Informatika telah memanggil sejumlah pihak untuk menginvestigasi kebocoran data bersama Badan Siber dan Sandi Nasional dan Kepolisian Negara Republik Indonesia.
Saat dihubungi dari Jakarta, Jumat (18/6/2021), Johnny mengatakan, Kementerian Komunikasi dan Informatika (Kemenkominfo) telah mengikuti peraturan perundang-undangan yang berlaku dalam menangani kasus kebocoran data Badan Penyelenggara Jaminan Sosial (BPJS) Kesehatan pada Mei lalu, di antaranya dengan memanggil dan meminta BPJS Kesehatan memberikan data serta informasi yang dibutuhkan untuk keperluan investigasi. Investigasi yang dimaksud dilakukan bersama Badan Siber dan Sandi Negara (BSSN) dan Polri.
”Kemenkominfo dengan tegas juga meminta BPJS Kesehatan melakukan audit forensik yang dilakukan oleh auditor dengan kapasitas dan sertifikasi global agar proses investigasi secara menyeluruh, independen, dan profesional dapat dilakukan,” kata Johnny.
Pada Mei lalu, kebocoran data pribadi warga kembali terjadi. Sampel data pribadi yang diduga kuat identik dengan data pribadi yang dikelola Badan Penyelenggara Jaminan Sosial (BPJS) Kesehatan dijual akun bernama Kotz di situs forum peretas, Raids Forum.
Johny menjelaskan, dalam Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik, BSSN bertugas menyusun ketentuan kewajiban pembuatan dokumen elektronik, rekam cadang elektronik, dan pengamanan sistem elektronik dari serangan siber. Adapun Polri bertugas dalam penyelidikan, penyidikan, dan penahanan tindak pidana dalam Undang-Undang Nomor 19 Tahun 2016 tentang Informasi dan Transaksi Elektronik (ITE).
”Polri juga sedang bekerja untuk mengungkap pelaku pembocoran data pribadi dan selalu meng-update kepada masyarakat,” ujarnya.
Johnny meminta masyarakat untuk bersabar menunggu hasil investigasi kebocoran data tersebut. Sebab, audit forensik yang tengah dilakukan membutuhkan waktu dan kehati-hatian sesuai ketentuan perundang-undangan.
Sebelumnya, kelompok masyarakat sipil pemerhati hak sipil dan teknologi, Periksa Data, berencana menggugat Kemenkominfo, BPJS Kesehatan, dan BSSN. Ketiga lembaga itu diduga melakukan perbuatan melanggar hukum dalam menangani kebocoran data BPJS Kesehatan. Sebelum melayangkan gugatan, Periksa Data mengirimkan kajiannya kepada tiga institusi tersebut sebagai upaya administratif.
Pegiat Periksa Data, Ari Sembiring, mengatakan, gugatan itu didasarkan pada pandangan bahwa Kemenkominfo, BSSN, dan BPJS Kesehatan telah melanggar sejumlah asas tata kelola data (data governance) dan tata kelola pemerintahan yang baik (data governance).
Dalam pengelolaan data, terdapat sejumlah indikasi bahwa sistem keamanan siber pengelola data tidak dibuat secara optimal. Adapun dari segi pengelolaan pemerintahan, institusi tersebut dinilai lalai dan tidak terbuka. Salah satunya, hingga saat ini, belum ada pernyataan bahwa kebocoran data itu benar-benar terjadi.
Hingga berita ini diturunkan, Kompas telah meminta penjelasan dari Direktur Utama BPJS Kesehatan Ali Ghufron Mukti dan Kepala Humas BPJS Kesehatan M Iqbal Anas, tetapi keduanya tidak memberikan jawaban.
Evaluasi sistem keamanan
Ancaman kejahatan siber, salah satunya peretasan data pribadi, terjadi berulang dalam beberapa waktu terakhir. Selain terjadi pada BPJS Kesehatan Mei lalu, data penduduk yang diduga milik empat dinas kependudukan dan pencatatan sipil juga dipasarkan di situs forum peretas Raids Forum pada Juni 2021.
Berdasarkan catatan Direktorat Tindak Pidana Siber Badan Reserse Kriminal Polri, sepanjang Januari-Juni 2020 ada 39 kasus pencurian data atau identitas yang dilaporkan. Pada Januari-Desember 2019, terdapat 143 kasus yang dilaporkan. Adapun sepanjang 2018, masyarakat melaporkan 88 kasus.
Johnny mengatakan, di tengah ancaman kejahatan siber dan unethical hacking (peretasan) yang terus terjadi dan berkembang secara teknologi, Kemenkominfo tegas meminta seluruh penyelenggara sistem elektronik (PSE) untuk memastikan pengelolaan sistem keamanan dan sumber daya manusia yang optimal. Hal itu harus dilakukan dengan membuat tata kelola perlindungan data pribadi secara menyeluruh, mutakhir, dan profesional.
Perlu pula evaluasi, peningkatan kualitas, dan pembaruan teknologi keamanan siber secara berkala untuk mengantisipasi kejahatan siber terkini. Selain itu, peningkatan mutu sumber daya manusia mutlak dilakukan secara serius agar pengamanan siber dan perlindungan data pribadi bisa dilakukan pihak yang mumpuni.
Johnny menambahkan, kewaspadaan terhadap perkembangan kejahatan siber bukan hanya untuk PSE. Masyarakat juga harus waspada dengan meningkatkan literasi keamanan siber di lingkup masing-masing.
Ketua Forum Keamanan Siber Indonesia (Indonesia Cyber Security Forum/ICSF) Ardi Sutedja menilai, desain infrastruktur keamanan siber Indonesia masih lemah, baik pada institusi swasta maupun pemerintah. Perancangan sistem keamanan siber umumnya tidak melibatkan pihak yang kompeten karena melalui penunjukan langsung yang belum tentu memperhatikan soal kompetensi.
Selama ini, transformasi digital yang dilakukan sebatas memperbarui perangkat. Persoalan sistem keamanan belum menjadi prioritas. Antisipasi kebocoran data juga belum menjadi perhatian.
Menurut Ardi, diperlukan ketentuan hukum yang tegas untuk menuntut tanggung jawab PSE yang mengelola data pribadi masyarakat dan mendapatkan keuntungan dari sana. Salah satunya dengan segera mengesahkan Rancangan Undang-Undang Perlindungan Data Pribadi yang sudah diinisiasi sejak 20 tahun lalu, tetapi belum terwujud hingga saat ini.