Bjorka, peretas yang kerap membocorkan data pribadi, kembali beraksi. Bjorka mengklaim memiliki data pribadi dari BPJS Ketenagakerjaan. Data itu berkapasitas 5 gigabita.
Oleh
DIAN DEWI PURNAMASARI
·3 menit baca
JAKARTA,KOMPAS — Insiden kebocoran data pribadi akibat peretasan diduga kembali terjadi. Kali ini menimpa Badan Penyelenggara Jaminan Sosial atau BPJS Ketenagakerjaan setelah dua tahun lalu, data pribadi yang dikelola BPJS Kesehatan diduga bocor. Atas dugaan kebocoran tersebut, BPJS Ketenagakerjaan kini tengah menginvestigasinya.
Senin (13/3/2023), Mario, pemilik akun Twitter @p4c3n0g3, mengunggah informasi bahwa Bjorka, peretas yang kerap membocorkan data pribadi, kembali beraksi. Bjorka mengklaim memiliki data pribadi dari BPJS Ketenagakerjaan. Data tersebut berkapasitas 5 gigabita (GB) dan berisi nomor induk kependudukan (NIK), nama lengkap, tanggal lahir, alamat nomor ponsel, e-mail, jenis pekerjaan, dan nama perusahaan.
Kebocoran data ini mengingatkan kembali publik dengan insiden kebocoran data di BPJS Kesehatan pada Mei 2021. Akun Kotz membocorkan 279 juta data masyarakat Indonesia di forum daring Raid Forums. Data itu terdiri dari NIK, nomor ponsel, e-mail, alamat, dan gaji.
Kepala Lembaga Riset Keamanan dan Komunikasi (Communication and Information System Security Research/CISSReC) Pratama Persadha saat dihubungi, Selasa (14/3/2023), mengungkapkan, kebocoran 19 juta data di BPJS Ketenagakerjaan itu pertama kali diuanggah di forum situs breached.to oleh Bjorka pada Minggu, 12 Maret 2023 pukul 05.37. Bjorka menjual data berukuran 5 GB senilai 10.000 dollar AS dengan memberikan sampel data gratis sebanyak 100.000.
Pratama mencoba mengunduh data tersebut. Data berisi NIK, nama lengkap, tanggal lahir, kelompok usia, jenis kelamin, alamat, kode pos, nomor ponsel, e-mail, jenis pekerjaan, nama perusahaan, sektor usaha, alamat, dan nama kantor. Pihaknya belum bisa mengecek validitas data karena tidak punya data pembanding.
Namun, saat sampel data nomor ponsel dicek secara acak dengan aplikasi GetContact, nomor menunjukkan nama dari pemilik nomor. Saat NIK dicek melalui aplikasi Dataku, juga cocok dan dimiliki seseorang. ”Berarti sampel data yang diberikan oleh Bjorka merupakan data yang valid,” ujar Pratama.
Ia menilai jalan terbaik untuk mengecek validitas data itu adalah melalui audit dan investigasi digital forensik. Proses audit dan investigasi itu yang bisa memastikan sumber kebocoran data dari mana. Walaupun BJPS telah memiliki pasukan siber Computer Security Insident Respons Team (CSIRT) yang dibentuk pada Februari lalu, peretasan tidak bisa dihindari. Pasca-insiden, yang terpenting adalah respons yang tepat, misalnya perbaikan sumber daya manusia, teknologi, dan evaluasi manajemen keamanan siber.
”jika terus mengalami kebocoran data, akan menggerus kepercayaan publik terhadap BPJS yang jelas akan sangat merugikan,” ujarnya.
Respons yang tepat dan cepat juga dibutuhkan karena data pribadi yang bocor itu bersifat sensitif dan dapat berdampak buruk bagi para korban, misalnya penipuan identitas atau pencurian uang dari rekening bank milik korban.
Investigasi
Dikonfirmasi terpisah, Deputi Bidang Komunikasi BPJS Ketenagakerjaan Oni Marbun mengatakan, pihaknya sudah berkoordinasi untuk menginvestigasi insiden peretasan 19 data BPJS Ketenagakerjaan.
Investigasi meliputi verifikasi validitas data peserta yang disebarkan di internet. Mereka juga akan melakukan langkah pencegahan dengan menguatkan sistem keamanan teknologi informasi terhadap potensi gangguan data dengan meningkatkan proteksi dan ketahanan sistem keamanan digital.
”Sebagai bentuk tanggung jawab kami sebagai pengelola data peserta, kami menindaklanjuti kabar ini secara serius. Dari proses investigasi sementara, kebocoran data bukan berasal dari BPJS Ketenagakerjaan. Perkembangan lebih lanjut akan kami laporkan kepada publik secara berkala,” kata Oni melalui keterangan tertulis.
Meskipun Indonesia telah memiliki payung hukum Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (PDP), regulasi itu masih membutuhkan waktu dua tahun sebelum berlaku efektif. Komisi Perlindungan Data Pribadi juga belum terbentuk sehingga penyelenggara sistem elektronik yang mengalami insiden kebocoran data masih bisa mengelak. Namun, jika sudah ada otoritas pengawas PDP, investigasi bisa langsung dilakukan atas permintaan masyarakat sebagai pihak yang dirugikan.
”Ini juga menjadi momentum untuk menyegerakan lahirnya Komisi Perlindungan Data Pribadi yang bertugas menegakkan UU PDP di Indonesia. Jika melihat insiden kebocoran data yang terus-menerus, pembentukan komisi bisa dipercepat,” kata Pratama.
Shevierra Damadiyah dari Koalisi Advokasi Perlindungan Data Pribadi berpandangan, masa transisi dua tahun setelah UU PDP disahkan seharusnya tidak membuat kewajiban pengendali dan pemroses data lengah terhadap kewajiban pelindungan data pribadi. Pengendali data tetap harus mengupayakan pelindungan data pribadi sebaik dan sesegera mungkin.
Menurut dia, insiden kebocoran data pribadi di BPJS Ketenagakerjaan masuk dalam pelanggaran Pasal 46 UU PDP. Di aturan itu disebut bahwa kewajiban BPJS Ketenagakerjaan adalah melakukan perekaman terhadap seluruh kegiatan pemrosesan data pribadi, melakukan penilaian dampak PDP, melindungi dan memastikan keamanan data pribadi, dan mencegah data pribadi diakses secara ilegal.
”Jika merujuk pada rezim UU PDP, jika BPJS Ketenagakerjaan belum melaksanakan kewajiban di atas, mereka bisa dikenai sanksi. Namun, sayangnya sanksi itu belum efektif karena masih ada masa transisi dua tahun,” jelasnya.
Meskipun demikian, sudah ada Peraturan Menkominfo Nomor 20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik, UU Informasi dan Transaksi Elektronik yang bisa dipakai untuk memaksimalkan upaya menjaga keamanan siber. Dengan demikian, hak subyek data bisa diamankan dengan optimal oleh pengendali data.
Pasca-insiden, BPJS Ketenagakerjaan juga harus berkoordinasi dengan Kemenkominfo dan BSSN untuk proses investigasi dan audit digital forensik untuk menelusuri penyebab kebocoran data. Mereka juga wajib meningkatkan pengamanan untuk melindungi hak-hak subyek data.
Hingga berita ini diturunkan, baik pihak BSSN maupun Kemenkominfo belum memberikan komentar terkait langkah apa yang dilakukan terhadap insiden kebocoran 19 juta data di BPJS Ketenagakerjaan.