Kasus kebocoran data yang diperjualbelikan di Indonesia semakin mengkhawatirkan. Baru-baru ini terjadi lagi kasus serupa dimana terduga BPJS Kesehatan mengalami kebocoran data yang di unggah oleh akun bernama Kotz yang memberikan akses download secara gratis untuk file sebesar 240 Mb yang berisi 1.000.0002 data pribadi masyarakat Indonesia. Kebocoran data file BPJS tersebut dibagikan sejak 12 Mei 2021, yang mana oleh akun Kotz ini diklaim mempunyai lebih dari 270 juta data lainnya yang dijual seharga $6.000 dollar AS. Kasus seperti ini menimbulkan keresahan pada masyarakat sehingga memunculkan pertanyaan, masih amankah data kita? Dan upaya apa yang perlu dilakukan untuk mencegah hal ini terulang kembali?
Kebocoran data di Indonesia
Berdasarkan riset platform manajemen media sosial HootSuite dan agensi marketing sosial We Are Social bertajuk Global Digital Reports 2020, yang dirilis akhir Januari lalu, sudah lebih dari setengah jumlah populasi, yaitu sebesar 64 persen penduduk Indonesia terkoneksi dengan internet.[1] Pertumbuhan ini juga mengiringi angka kejahatan yang memanfaatkan dunia digital.
Pada laporan tahunan Pusat Operasi Keamanan Siber (Pusopskamsinas) 2020 menunjukkan adanya peningkatan tren malware serta insiden data breach menjadi topik besar di Indonesia selama tahun 2020, sejak bocornya 91 juta data berupa identitas pengguna salah satu e-commerce terbesar di Indonesia yakni Tokopedia pada Mei 2020 lalu.[2]
Sebelum kasus kebocoran data yang diperoleh dari data BPJS kesehatan, beberapa kasus data di Indonesia juga terkuak dari pengguna Tokopedia yang terjadi pada bulan Mei 2020 lalu. Kemudian, pada bulan Agustus 2020, firma keamanan siber asal Amerika serikat menyebut bahwa data pribadi milik 890.000 nasabah kredit plus bocor dan dijual di situs gelap. Lalu pada bulan November 2020, terungkap adanya 5,8 juta data pengguna RedDoorz yang dijual seharga 2.000 dollar AS di Raid forums.
Kebocoran Data BPJS
Kasus kebocoran data kali ini jumlahnya tidak main-main. Diduga, data milik 279 juta penduduk di Indonesia bocor dan dijual di forum online Raid Forums. Penjual merupakan anggota forum online Raid Forums dengan nama akun “Kotz”. Di dalam deskripsinya, penjual mengatakan bahwa data tersebut berisi NIK, nomor ponsel, e-mail, alamat, dan gaji. Data tersebut termasuk data penduduk yang telah meninggal dunia. Dari data 279 juta orang tersebut, 20 juta di antaranya disebut memuat foto pribadi. Adapun data tersebut dijual dengan harga 0,15 bitcoin yang jika dikonversi ke rupiah sekitar Rp 81,6 juta.[3]
Menindaklanjuti hal tersebut, Badan Reserse Kriminal (Bareskrim) Polri melalui Direktorat Tindak Pidana Siber memangil Dirut BPJS Kesehatan Ali Ghufron Mukti pada Senin (24/5) guna penyelidikan dugaan kebocoran 279 juta data pribadi.[4] Atas kejadian ini, Kemenkominfo menemukan ada kebocoran 100.002 data pengguna BPJS Kesehatan dari klaim 1 juta data pribadi WNI setelah melakukan pencocokan data pada Jumat (21/05) dini hari sebagaimana disampaikan oleh Juru Bicara Kemenkominfo Dedy Permadi.[5]
Direktur Utama Badan Penyelenggara Jaminan Sosial (BPJS) Kesehatan Ali Ghufron Mukti mengatakan, pihaknya melaporkan kasus penawaran data di forum daring kepada Badan Reserse Kriminal (Bareskrim) Kepolisian Negara Republik Indonesia (Polri). Laporan ini menindaklanjuti dugaan kemiripan data peserta BPJS Kesehatan yang disebarkan pihak tidak bertanggung jawab. “Selama ini kami telah melakukan upaya maksimal untuk melindungi data peserta melalui penerapan tata kelola teknologi informasi dan tata kelola data sesuai ketentuan dan standar serta peraturan perundang-undangan yang berlaku,” ujarnya, Selasa (25/5).[6] Ghufron menambahkan BPJS Kesehatan juga telah berkoordinasi dengan pihak-pihak terkait untuk memastikan kebenaran berita tersebut, serta mengambil langkah-langkah yang diperlukan.
Adapun jumlah peserta yang saat ini sudah mencapai 222 juta jiwa, data yang dimiliki oleh BPJS Kesehatan tentu sangat besar menjadikan dalam pengelolaan datanya memanfaatkan teknologi cloud system untuk menyimpan data-data dan teknologi Artificial Intelligence untuk menganalisis data yang masuk sehingga bentuk data yang dimiliki bukan hanya data mentah tetapi data yang telah dikelola dan dianalisis dengan baik setiap harinya oleh sistem.[7] Dalam hal ini, BPJS Kesehatan bekerjasama layanan anak usaha PT Telkom Indonesia Tbk (Persero), Telkomsigma, untuk layanan data center yang mana mengimplementasikan sistem keamanan data yang sesuai dengan standar ISO 27001 (certified), Control Objectives for Information Technologies (COBIT) serta mengoperasionalkan Security Operation Center (SOC) yang bekerja 24 jam 7 hari.[8]
Masih amankah data kita?
Berkaca dari kasus kebocoran data diatas, keamanan dunia siber Indonesia secara khususnya perlindungan terhadap data pribadi WNI masih tergolong lemah. Hal ini perlu menjadi perhatian khusus dalam upaya peningkatan keamanan siber di Indonesia. Bila melihat dari 5 aspek bidang kerja keamanan siber GCI yakni pertama Legal (hukum), Technical, Organizational, Capacity Building dan Cooperation.[9]
Dalam hal ini secara hukum masih terdapat kendala pada framework keamanan siber di Indonesia karena Indonesia belum memiliki Undang-Undang (UU) baik yang menjadi Strategi Kemananan Siber Nasional serta UU yang melindung data pribadi konsumen yang mana selama ini secara nyata terlihat bahwa penegak hukum masih kesulitan untuk menerapkan sanksi tegas yang sifatnya pidana kepada oknum yang membocorkan data ataupun yang menyalahgunakannya. Sehingga penting untuk mengesahkan segera RUU perlindungan data pribadi sebagai upaya perlindungan bagi masyarakat sebagai stakeholders media sosial dan teknologi digital.
Adapun dukungan teknis yang dilakukan untuk menghindari pelaku peretasan sebaiknya mulai saat ini semua instansi di bawah pemerintah wajib bekerja sama dengan Badan Siber dan Sandi Negara (BSSN) untuk melakukan audit digital forensic guna menutupi celah sistem keamanan siber. Sebagaiamana diihat pada kasus BPJS Kesehatan yang telah menerapkan sistem keamanan teknologi informasi berlapis-lapis sesuai dengan sistem pengamanan sesuai standar yang berlaku, namun masih dimungkinkan terjadinya peretasan atau dalam hal ini kebocoran.
Selain itu Pemerintah juga wajib melakukan pengujian sistem atau Penetration Test (Pentest) secara berkala kepada seluruh sistem lembaga pemerintahan sebagaimana yang terjadi pada layanan BPJS Kesehatan yang dalam pengelolaan datanya ini melibatkan lembaga milik pemerintah lainnya. Ini merupakan langkah preventif perwujudan mitigasi sehingga dari awal dapat ditemukan kelemahan ataupun celah yang harus diperbaiki segera.
Yang tak kalah pentingnya ialah koordinasi dan kerjasama antara pembuat kebijakan baik pemerintah dan juga pihak swasta untuk secara bersama-sama melakukan penguatan sistem dan peningkatan kesadaran literasi digital masyarakat Indonesia, mengingat Indonesia masih dianggap rawan akan peretasan karena memang kesadaran keamanan siber masih sangat rendah. Pada prinsipnya, data pribadi memang menjadi incaran banyak orang. Sangat berbahaya bila data yang dihimpun mengalami kebocoran, mengingat data yang valid dan bisa digunakan sebagai bahan baku kejahatan berbasis digital, sehingga diperlukan komitmen dari seluruh lapisan masyarakat Indonesia untuk secara Bersama menjaga keamanan data.
[1] Ayi Achmad Hidayah & Shila Ezerli, “Kasus kebocoran data semakin banyak, belanja daring paling rentan” Loxal data, 13 Agustus 2020, Retrived From: https://lokadata.id/artikel/kasus-kebocoran-data-semakin-banyak-belanja-daring-paling-rentan
[2]Andi Shalini, “RI Masih Rentan, Ini Sederet Kebocoran Data Fantastis di 2020”, CNBC Indonesia, 6 Maret 2021 https://www.cnbcindonesia.com/tech/20210306135457-37-228290/ri-masih-rentan-ini-sederet-kebocoran-data-fantastis-di-2020
[3]Kompas, Kronologi Kasus Kebocoran Data WNI, Dijual 0,15 Bitcoin hingga Pemanggilan Direksi BPJS, 22 Mei 2021, https://tekno.kompas.com/read/2021/05/22/09450057/kronologi-kasus-kebocoran-data-wni-dijual-0-15-bitcoin-hingga-pemanggilan?page=all
[4] Kompas TV, Bareskrim Polri Panggil Dirut BPJS Kesehatan Terkait Kasus Kebocoran Data Pribadi Hari Ini, 24 Mei 2021, Retrived From: https://www.kompas.tv/article/176817/bareskrim-polri-panggil-dirut-bpjs-kesehatan-terkait-kasus-kebocoran-data-pribadi-hari-ini
[5] Kompas TV, “Lebih dari 100 Ribu Data WNI Bocor, Kominfo Panggil Direksi BPJS Kesehatan”, 21 Mei 2021, https://www.youtube.com/watch?v=3xT6vIuXKGM
[6] Kompas.Com,“BPJS Kesehatan Laporkan Kasus Kebocoran Data ke Bareskrim Polri”, 25 Mei 2021, https://nasional.kompas.com/read/2021/05/25/21535611/bpjs-kesehatan-laporkan-kasus-kebocoran-data-ke-bareskrim-polri?page=all
[7] BPJS Kesehatan, “Media Info BPJS Kesehatan Edisi 88”, https://bpjs-kesehatan.go.id/bpjs/dmdocuments/2391c687e3ea823ba430a3f0f5d78de9.pdf
[8]CNN Indonesesia,”BPJS Kesehatan Gerak Cepat Tangani Dugaan Data Bocor’, 26 Mei 2021, https://www.cnnindonesia.com/ekonomi/20210526023006-83-646968/bpjs-kesehatan-gerak-cepat-tangani-dugaan-data-bocor
[9] ITU. 2017. Global Cybersecurity Index 2017. International Telecommunication Unit.