Lagi, Kebocoran Data Terjadi Tanpa Kejelasan Solusi
BSSN perlu menginvestigasi kebocoran data pada aplikasi e-HAC Kemenkes. BSSN juga diharapkan dapat memberikan rekomendasi sistem keamanan yang andal dalam pengelolaan sistem informasi kesehatan di Indonesia.
JAKARTA, KOMPAS – Kebocoran demi kebocoran terus terjadi terhadap data pribadi warga negara. Terbaru, data warga yang disimpan dalam aplikasi e-HAC Kementerian Kesehatan bocor. Polisi tengah mengadakan penyelidikan terhadap kebocoran data ini. Kendati demikian, solusi jangka panjang terhadap kebocoran data dengan pembentukan Undang-Undang Perlindungan Data Pribadi belum menemui titik terang.
Data dalam aplikasi e-HAC yang dikelola Kementerian Kesehatan (Kemenkes) diketahui bocor, Selasa (31/8/2021). Sebuah situs pengulas perangkat lunak VPN, vpnMentor, memublikasikan temuan kebocoran pada bank data (database) e-HAC yang pertama kali diketahui pada 15 Juli 2021.
VpnMentor mengklaim telah berusaha menginformasikan kepada Kemenkes pada 21 dan 26 Juli 2021, tetapi tidak ditanggapi. Tindak lanjut dan penanggulangan kebocoran data yang dimaksud baru dilakukan sebulan setelahnya.
VpnMentor mengklaim telah berusaha menginformasikan kepada Kemenkes pada 21 dan 26 Juli 2021, tetapi tidak ditanggapi. Tindak lanjut dan penanggulangan kebocoran data yang dimaksud baru dilakukan sebulan setelahnya, yakni pada 24 Agustus 2021, ketika vpnMentor menginformasikan temuan itu ke Badan Siber dan Sandi Negara (BSSN).
Dalam laporannya, vpnMentor menjelaskan, kebocoran data aplikasi e-HAC terjadi karena pengembang gagal mengimplementasikan protokol privasi data yang memadai. Tak hanya data dari subyek individu, kebocoran ini juga mengungkap infrastruktur aplikasi secara keseluruhan, termasuk rekaman pribadi berbagai rumah sakit dan pejabat yang menggunakan e-HAC.
Baca Juga: Data 2 Juta Nasabah Bocor, BRI Life Telusuri Jejak Digital
Adapun ruang lingkup data pribadi yang bocor mencakup data hasil tes Covid-19, akun e-HAC, rumah sakit, data pribadi pengguna (nomor induk kependudukan atau NIK, paspor, nama lengkap, nomor telepon, tanggal lahir, jenis kelamin, alamat, dan nama orangtua), serta data petugas pengelola e-HAC.
Merespons kebocoran ini, Kepala Pusat Data dan Informasi Kemenkes Anas Ma’ruf, Selasa (31/8/2021), menyampaikan bahwa kebocoran data terjadi pada aplikasi e-HAC lama, yang sudah tidak digunakan lagi sejak 2 Juli 2021. Aplikasi e-HAC yang saat ini digunakan masyarakat telah terintegrasi dengan Sistem Informasi Satu Data Covid-19 PeduliLindungi yang terdapat pada Pusat Data Nasional. Sistem tersebut tidak terpengaruh insiden kebocoran yang dimaksud, pengamanannya pun didukung penuh oleh Kementerian Komunikasi dan Informatika serta Badan Siber dan Sandi Negara (BSSN).
Pembuktian kebocoran data, kata Anas, dapat disimpulkan setelah dilakukan audit digital forensik. Pihaknya menduga, kebocoran data di e-HAC lama terjadi akibat kebocoran sistem pihak ketiga. ”Kemenkes saat ini sudah melakukan tindakan yang diperlukan untuk mencegah meluasnya dampak kebocoran data tersebut. Upaya pelaporan yang akan ditindaklanjuti dengan penyelidikan oleh pihak berwajib," kata dia.
Baca Juga: Sengkarut Data Pribadi
Dihubungi terpisah, Kepala Divisi Humas Polri Inspektur Jenderal Raden Prabowo Argo Yuwono, Rabu (1/9/2021), mengatakan, saat ini Direktorat Tindak Pidana Siber Badan Reserse Kriminal Polri tengah menyelidiki dugaan kebocoran data tersebut. Akan tetapi, ia belum bisa menjelaskan perkembangan penyelidikan karena para petugas masih bekerja di lapangan.
Sementara itu, Kompas juga menghubungi Direktur Tindak Pidana Siber Bareskrim Polri Brigadir Jenderal (Pol) Asep Edi Suheri untuk mengonfirmasi perihal penyedilikan. Hingga Selasa siang, ia tidak menjawab.
Kebocoran terjadi berulang-ulang, baik melalui institusi publik maupun privat, seperti sistem Badan Penyelenggara Jaminan Sosial (BPJS) Kesehatan, BRI Life, Tokopedia, dan Bukalapak. Semua terjadi beruturut-turut, mayoritas belum terungkap, dan belum ada kejelasan solusi jangka panjang.
Solusi jangka panjang
Kebocoran data pribadi warga bukan kali ini saja terjadi. Sebelumnya kebocoran terjadi berulang-ulang, baik melalui institusi publik maupun privat, seperti sistem Badan Penyelenggara Jaminan Sosial (BPJS) Kesehatan, BRI Life, Tokopedia, dan Bukalapak. Semua terjadi beruturut-turut, mayoritas belum terungkap, dan belum ada kejelasan solusi jangka panjang dalam menyelesaikan persoalan ini.
Direktur Eksekutif Lembaga Studi dan Advokasi Masyarakat (Elsam) Wahyudi Djafar mengatakan, solusi jangka panjang untuk memutus mata rantai kebocoran data pribadi adalah mempercepat pengesahan Rancangan Undang-undang (RUU) Perlindungan Data Pribadi. ”Akselerasi ini penting mengingat banyaknya insiden terkait dengan eksploitasi data pribadi, yang juga kian memperlihatkan pentingnya pembentukan otoritas pengawas yang independen, guna menjamin efektivitas implementasi dan penegakan UU PDP nantinya,” ujarnya.
Baca Juga: Pakar Duga Data Pribadi Sebagian Penduduk yang Terekspos Kian Lengkap
Wahyudi yang tergabung dengan Koalisi Advokasi Perlindungan Data Pribadi menambahkan, koalisi juga mendorong seluruh pihak terkait untuk bergerak menuntaskan persoalan ini. Badan Siber dan Sandi Negara (BSSN), Misalnya, perlu menginvestigasi secara mendalam insiden keamanan ini. BSSN juga diharapkan dapat memberikan rekomendasi sistem keamanan yang andal dalam pengelolaan sistem informasi kesehatan di Indonesia.
Adapun Kementerian Komunikasi dan Informatika perlu mengoptimalkan regulasi dan prosedur yang diatur di dalam PP No 71 Tahun 2019 dan Permenkominfo No 20 Tahun 2016, Optimalisasi yang dimaksud terkait dengan pengambilan langkah dan tindakan terhadap pengendali dan pemroses data selaku penyelenggara sistem dan transaksi elektronik dalam memitigasi dan memulihkan subyek data yang terimbas kebocoran.
“Kementerian Kesehatan dan pihak terkait lainnya juga diminta mengevaluasi sekaligus meningkatkan kebijakan internal terkait pelindungan data, juga audit keamanan secara berkala, untuk memastikan kepatuhan dengan prinsip-prinsip pelindungan data pribadi dan keamanan siber,” ujar Wahyudi.
Baca Juga: DPR-Pemerintah Dinilai Lambat Merespons Kebocoran Data Pribadi
Beda persepsi
Dalam diskusi media di Kompleks Parlemen, Jakarta, anggota Komisi I DPR dari Fraksi Partai Persatuan Pembangunan (PPP) Muhammad Iqbal mengatakan, pengesahan RUU PDP adalah solusi jangka panjang untuk mengatasi kebocoran data pribadi. Namun, masih ada kendala berupa perbedaan persepsi antara pemerintah dan DPR terkait dengan sifat otoritas atau lembaga pengawas PDP.
”Dalam setiap pembahasan RUU itu terjadi perbedaan pandangan antara DPR dan pemerintah. Tetapi, biasanya perbedaan pandangan itu kalau semangatnya sama, ujungnya sama, demi kepentingan negara, masyarakat saya kira ada titik temunya. Mungkin ada perbedaan pandangan yang saya kira hanya satu saja yaitu pembentukan otorisasi Dewas PDP,” ujarnya.
Mayoritas fraksi di Komisi I menginginkan agar terbentuk lembaga pengawas perlindungan data pribadi yang independen dan bertanggung jawab langsung kepada presiden.
Iqbal mengatakan, mayoritas fraksi di Komisi I menginginkan agar terbentuk lembaga pengawas perlindungan data pribadi yang independen dan bertanggung jawab langsung kepada presiden. Namun, pemerintah menginginkan lembaga itu di bawah kementerian Kominfo. Sampai saat ini, belum ada lagi penjadwalan pembahasan RUU PDP di Komisi I DPR.
Sementara itu, anggota Komisi I DPR dari Fraksi Nasdem M Farhan mengatakan, pembentukan lembaga pengawas yang independen akan memerlukan waktu lama, dan anggaran yang tidak murah. Sementara itu, kebocoran data memerlukan penanganan cepat. Oleh karena itu, fraksinya menilai pendapat pemerintah yang menginginkan agar lembaga pengawas PDP ada di bawah pemerintahan merupakan jalan keluar tercepat dalam mengatasi persoalan data di Indonesia.
”Yang paling realistis ialah yang ditawarkan oleh pemerintah. Lembaga tersebut langsung bekerja di bawah Kominfo. Langsung karena sumber daya sudah ada, anggaran juga enggak besar. Sebab, anggarannya masuk ke dalam Kominfo. Kominfo dalam 2 tahun terakhir mengalami kenaikan anggaran luar biasa, karena memang itu dibutuhkan, dan kita senang melihatnya,” kata Farhan yang berasal dari partai yang sama dengan Menkominfo Johnny G Plate.
Menurut Farhan, keberadaan badan itu sebaiknya disepakati lebih dulu, kemudian dievaluasi dalam prosesnya. Sebab, jika menunggu suatu badan independen memerlukan waktu sekitar 3-5 tahun untuk benar-benar efektif dalam beroperasi. ”Selama lembaga itu enggak efektif, percuma juga kita sekarang ribut-ribut punya undang-undang dan bicara soal pencegahan kebocoran data serta perlindungan data pribadi,” ujarnya.
Sebelumnya, dalam pernyataan resmi, Ketua DPR Puan Maharani menegaskan komitmen lembaganya untuk menuntaskan RUU PDP. Namun, DPR berpandangan agar lembaga itu bersifat independen dan berada di bawah presiden langsung. Dengan demikian, peranan lembaga itu akan lebih kuat dalam mengawal berlakunya UU PDP.