BPJS Kesehatan: Data ratusan juta peserta diduga bocor – ‘Otomatis yang dirugikan masyarakat’, kata pakar

52 menit yang lalu Sumber gambar, Jaap Arriens/NurPhoto via Getty Images Kasus kebocoran data karakter untuk kesekian kalinya semakin menunjukkan urgensi penetapan program undang-undang perlindungan data karakter, menurut pakar digital forensik Ruby Alamsyah.

bpjs-kesehatan-data-ratusan-juta-peserta-diduga-bocor-otomatis-yang-dirugikan-masyarakat-kata-pakar-14

Sumber gambar, Jaap Arriens/NurPhoto via Getty Images

Kasus kebocoran data karakter untuk kesekian kalinya semakin menunjukkan urgensi penetapan dasar undang-undang perlindungan data awak, menurut pakar digital forensik Ruby Alamsyah.

Ruby mengungkapkan peretasan petunjuk bisa dialami tak hanya oleh masyarakat, namun pula instansi pemerintah maupun swasta. Apalagi, tren kebocoran data selama tiga tahun final “cukup mengkhawatirkan”.

“Sampai zaman ini tidak ada [UU PDP] sehingga otomatis yang dirugikan 100% pengguna atau masyarakat itu sendiri, sedangkan pemegang data serta pemroses data, yaitu institusi pemerintah dan industri swasta, mereka tidak memiliki risiko yang terlalu tinggi, ” jelas Ruby kepada kuli BBC News Indonesia, Ayomi Amindoni, Jumat (21/05).

Baca juga:

Data sekitar 279 juta warga Indonesia – termasuk mereka dengan sudah meninggal dunia awut-awutan diduga diretas dan dijual di forum daring. Bukti itu diduga berasal sebab badan penyelenggara layanan kesehatan, BPJS Kesehatan.

Di Jumat (21/05), Kementerian Kominfo melakukan pemanggilan terhadap Pengurus BPJS Kesehatan sebagai manajer data pribadi yang diduga bocor untuk proses pendalaman secara lebih mendalam.

Pemerintah Indonesia telah melayani berbagai langkah antisipatif buat mencegah penyebaran data lebih luas dengan mengajukan pemutusan akses terhadap tautan untuk mengunduh data pribadi itu.

Ada ‘nama penanggung’ dan ‘nomor kartu’

Kabar peretasan data pribadi warga Indonesia yang masif itu viral di media sosial sejak Kamis (20/05) pagi, dengan sejumlah warganet menyatakan kekhawatiran akan perlindungan bahan pribadinya.

Data karakter 279 juta orang tersebut dijual senilai oleh pengguna forum berbagi database RaidForums dengan akun ‘Kotz’, yang menyebut data tersebut tercatat data penduduk yang telah meninggal.

“Ada utama juta contoh data gratis untuk diuji, ” katanya dalam unggahan pada Rabu (12/05)

Ia menambahkan bahan tersebut termasuk mereka yang sudah meninggal dunia. Mengenai saat ini jumlah populasi Indonesia sebanyak 273 juta penduduk.

“Sebanyak 20 juta memiliki foto pesonal, ” kata pengguna tersebut.

Sumber gambar, RaidForums

Teguh Aprianto, konsultan kebahagiaan siber dan pendiri Ethical Hacker Indonesia menyebut di akun Twitternya bahwa pelaku peretas memang mengaku bahwa “data tersebut bersumber sejak BPJS Kesehatan”.

Dari sampel data gratis yang diteliti oleh pakar digital forensik Ruby Alamsyah, ia menyuarakan ada dugaan kecenderungan bukti itu mengandung informasi karakter peserta jaminan layanan kesehatan tubuh.

Menurutnya, hal itu dibuktikan dengan adanya informasi tentang apa yang dia sebut sebagai “nama penanggung” dan “nomor kartu” bagaikan formulir jaminan kesehatan yang dikelola BPJS Kesehatan.

“Nomor kartu yang terisi ataupun terlihat di sana, nomor kartu semuanya memiliki 13 digit nomor, yang mana tiga depan nilai pertama adalah nol. Kebetulan noka (nomor kartu) 13 digit dan tiga nilai depan nol semua tersebut mirip dengan instansi pemerintah yang mengelola data asuransi masyarakat, yaitu BPJS, ” jelas Ruby.

Menunjuk pada kategori dan konten data yang bocor, semacam nama tertanggung, nomor NPWP, tanggal lahir, nomor handphone dan lain-lain, Ruby kemudian membandingkan dengan kategori dengan ada pada sistem daring BPJS.

“Itu kita compare , datanya sama, sehingga kuat diduga memeang data tersebut merupakan data instansi pemerintah dengan menaungi terkait asuransi kesehatan tubuh masyarakat, yaitu BPJS, ” ungkapnya.

Sumber tulisan, Miguel Candela/SOPA Images/LightRocket via Getty I

Lebih tinggi, Ruby menjelaskan bahwa pihaknya kemudian mencoba melakukan analisa secara acak data yang ada dalam sampel tersebut dengan data yang tersedia di internet.

Masukan tersebut, kata Ruby, “cukup banyak yang valid”.

“Dari beberapa parameter yang kita analisa tadi, kita menduga memang cukup tumbuh kita menduga ini keterangan yang dikelola oleh BPJS, ” tegas Ruby.

Dugaan bahwa data itu berasal dari BPJS Kesehatan tubuh dikonfirmasi oleh Kementerian Kominfo, yang menemukan bahwa sampel data diduga kuat sebangun dengan data BPJS Kesehatan tubuh.

“Hal tersebut berdasar pada data Noka (Nomor Kartu), Kode Kantor, Keterangan Keluarga/Data Tanggungan, dan status Pembayaran yang identik dengan data BPJS Kesehatan, ” ujar Juru Bicara Kementerian Kominfo, Dedy Permadi, dalam Jumat (21/05).

Ia menambahkan, pihaknya telah menyelenggarakan berbagai langkah antisipatif untuk mencegah penyebaran data lebih luas dengan mengajukan pemutusan akses terhadap tautan buat mengunduh data pribadi tersebut.

“Terdapat 3 tautan yang terindetifikasi yakni bayfiles. com, mega. nz, serta anonfiles. com. Sampai zaman ini tautan di bayfiles. com dan mega. nz telah dilakukan takedown, sedangkan anonfiles. com masih tetap diupayakan untuk pemutusan kanal segera, ” jelas Dedy.

Direksi BPJS Kesehatan tubuh dipanggil

Dijelaskan Dedy, Kementerian Kominfo melakukan pemanggilan terhadap Direksi BPJS Kesehatan sebagai pengelola data pribadi yang diduga bocor buat proses investigasi secara lebih mendalam sesuai amanat PP 71 tahun 2019.

Regulasi tentang Penyelenggaraan Sistem serta Transaksi Elektronik (PP PSTE) dan Peraturan Menkominfo No. 20 Tahun 2016 tentang Perlindungan Data Pribadi pada Sistem Elektronik mewajibkan pemangku sistem elektronik (PSE) dengan sistem elektroniknya mengalami kekacauan serius akibat kegagalan pelestarian data pribadi untuk melaporkan dalam kesempatan pertama pada Kementerian Kominfo dan bagian berwenang lain.

Sumber gambar, Jaap Arriens/NurPhoto via Getty Images

Selain itu, PSE juga wajib buat menyampaikan pemberitahuan secara tertulis kepada pemilik data awak, dalam hal diketahui kalau terjadi kegagalan perlindungan petunjuk pribadi.

Sebelumnya, BPJS Kesehatan menegaskan bahwa instansi itu “konsisten memastikan keamanan masukan peserta BPJS Kesehatan dilindungi sebaik-baiknya”.

“Dengan big data kompleks yang tersimpan di server kami, ana memiliki sistem pengamanan bukti yang ketat dan berlapis sebagai upaya menjamin kerahasiaan data tersebut, termasuk pada dalamnya data peserta JKN-KIS, ” tegas BPJS Kesehatan tubuh dalam keterangan tertulisnya.

Adapun, per Mei 2021 terdapat 222, 4 juta penduduk Indonesia yang terdaftar sebagai peserta BPJS Kesehatan tubuh.

Tren kebocoran bukti mengkhawatirkan

Ruby mengucapkan di saat Indonesia medium berjuang untuk memiliki peraturan perlindungan data pribadi dengan sedang dibahas di DPR, tren kebocoran data di dalam tiga tahun terakhir “cukup mengkhawatirkan”.

“Mengapa trennya terus meningkat, ini karena kita belum punya Undang-Undang PDP (perlindungan data pribadi), lalu kalau nanti UNDANG-UNDANG PDP jadi tapi data pribadi masyarakat sudah terlanjut terekspos semua, yang bersetuju dilindungi apa lagi nantinya?, ” ujarnya.

Tersebut bukan kali pertama peretasan data dialami oleh instansi pemerintah dan swasta.

Sumber gambar, Antara Foto/Fauzan

“Bayangkan, kami sudah mempunyai seluruh data-data kebocoran sebetulnya, dan kita analisa, jika semakin banyak field-field bahan pribadi masyarakat terekspose. Khayalkan kalau data-data kebocoran dengan pernah terjadi ini di- combine , dijadikan satu. ”

“Lama kelamaan kebocoran data pribadi masyarakat ini bisa menjadi suatu data pribadi yang sempurna ujung-ujungnya kalau ini tetap terjadi, ” katanya.

Sumber gambar, Bukalapak

RUU PDP mengatur sanksi dam yang besar terhadap instansi yang gagal melindungi petunjuk penggunanya, sayangnya hingga saat ini rancangan regulasi itu belum disahkan.

“Melihat daripada tren itu semua, dan kita belum memiliki undang-undang perlindungan data pribadi, terkesan industri swasta maupun institusi pemerintah tidak terlalu betul-betul untuk mengamankan data penggunanya dikarenakan belum ada sistem yang mengatur perlindungan bahan pribadi tersebut yang mendesak mereka harus serius, karena tidak aturannya, ” jelas Ruby.

“Setelah ada UU PDP lah itu baru melek karena khawatir di UU PDP belakang sanksi-sanksi cukup besar. Jika saat ini sama seluruhnya tidak ada, sehingga otamatis yang dirugikan 100% adalah hanya pengguna atau umum itu sendiri, ” jelasnya kemudian.

Adapun, pembicaraan Rancangan Undang-Undang tentang Pelestarian Data Pribadi (RUU PDP) akan dilanjutkan oleh DPR tahun ini. RUU itu masuk dalam agenda Rencana Legislasi Nasional (Prolegnas) Preferensi 2021.

RUU ini hendak menjadi dasar hukum bagi upaya perlindungan data karakter warga negara dari segala bentuk penyalahgunaan dan kegiatan lainnya yang merugikan pemilik data tersebut.

Apa dengan semestinya dilakukan untuk menyembunyikan data pribadi?

Secara kondisi tidak ada regulasi yang memberikan perlindungan di data pribadi, Ruby mengungkapkan mau tidak mau “masyarakat harus sadar akan keamanan datanya sendiri”.

“Itu sangat disayangkan padahal di sini konteksnya adalah kebocoran tersebut terjadi di sebuah instansi, bukan dari kelompok, ” katanya.

“Kalau data pribadi bocor kekar, itu bukan salah pengguna, itu salah penyimpan dan pemroses data tadi.

Bagaimanapun, ia menyarankan warga untuk “benar-benar hati” masa mengekspose data pribadinya di aktivitas apapun yang dikerjakan di internet.

Sumber gambar, Getty Images

Pemakai bisa meningkatkan kesadaran bakal keamanan teknologi tadi secara berbagai cara, salah satunya menggunakan password yang tidak mudah ditebak orang, alias tidak ada merujuk dalam data pribadi.

Selain itu, merubah password secara berkala juga harus dilakukan, kata Ruby. Ia serupa menyarakan pengguna untuk tidak menggunakan password yang serupa untuk seluruh platform dan memasang metode otentifikasi dua sarung (two-factor authentication).

“Itu bisa menyembunyikan data pribadi masing-masing pengguna. Tapi kalau kejadian seolah-olah kemarin otomatis pengguna nggak bisa handle (menangani) risiko tersebut karena risiko itu hanya bisa di- handle oleh pengelola data tadi.

Menyusul kebocoran data terbaru, Kementerian Kominfo meminta biar seluruh penyedia platform digital dan pengelola data awak, untuk semakin meningkatkan jalan menjaga keamanan data karakter yang dikelola.

Kementerian Kominfo juga mengajak seluruh bangsa untuk semakin berhati-hati & waspada dalam melindungi keterangan pribadinya dengan tidak membagikan data pribadi kepada pihak-pihak yang tidak berkepentingan dan memastikan syarat dan ketentuan layanan yang digunakan

Selain itu, secara berkala pemimpin password pada akun-akun elektronik yang dimiliki, dan menguatkan sistem keamanan perangkat yang digunakan selalu up to date.