BPJS Kesehatan: Data ratusan juta peserta diduga bocor - 'Otomatis yang dirugikan masyarakat', kata pakar

peretas

Sumber gambar, Jaap Arriens/NurPhoto via Getty Images

Kasus kebocoran data pribadi untuk kesekian kalinya semakin menunjukkan urgensi penetapan rancangan undang-undang perlindungan data pribadi, menurut pakar digital forensik Ruby Alamsyah.

Ruby mengungkapkan peretasan data bisa dialami tak hanya oleh masyarakat, namun juga instansi pemerintah maupun swasta. Apalagi, tren kebocoran data selama tiga tahun terakhir "cukup mengkhawatirkan".

"Sampai saat ini tidak ada [UU PDP] sehingga otomatis yang dirugikan 100% pengguna atau masyarakat itu sendiri, sedangkan pemegang data dan pemroses data, yaitu instansi pemerintah dan industri swasta, mereka tidak memiliki risiko yang terlalu tinggi," jelas Ruby kepada wartawan BBC News Indonesia, Ayomi Amindoni, Jumat (21/05).

Baca juga:

Data sekitar 279 juta warga Indonesia - termasuk mereka yang sudah meninggal dunia - diduga diretas dan dijual di forum daring. Data itu diduga berasal dari badan penyelenggara layanan kesehatan, BPJS Kesehatan.

Pada Jumat (21/05), Kementerian Kominfo melakukan pemanggilan terhadap Direksi BPJS Kesehatan sebagai pengelola data pribadi yang diduga bocor untuk proses investigasi secara lebih mendalam.

Pemerintah Indonesia telah melakukan berbagai langkah antisipatif untuk mencegah penyebaran data lebih luas dengan mengajukan pemutusan akses terhadap tautan untuk mengunduh data pribadi tersebut.

Ada 'nama penanggung' dan 'nomor kartu'

Kabar peretasan data pribadi penduduk Indonesia yang masif tersebut viral di media sosial sejak Kamis (20/05) pagi, dengan sejumlah warganet menyatakan kekhawatiran akan perlindungan data pribadinya.

Data pribadi 279 juta orang tersebut dijual senilai oleh pengguna forum berbagi database RaidForums dengan akun 'Kotz', yang menyebut data tersebut termasuk data penduduk yang sudah meninggal.

"Ada satu juta contoh data gratis untuk diuji," katanya dalam unggahan pada Rabu (12/05)

Ia menambahkan data tersebut termasuk mereka yang sudah meninggal dunia. Adapun saat ini jumlah populasi Indonesia sebanyak 273 juta penduduk.

"Sebanyak 20 juta memiliki foto pesonal," kata pengguna tersebut.

Sumber gambar, RaidForums

Keterangan gambar,

Unggahan pemilik akun bernama kotz di forum berbagai database RaidForums

Teguh Aprianto, konsultan keamanan siber dan pendiri Ethical Hacker Indonesia menyebut di akun Twitternya bahwa pelaku peretas memang mengaku bahwa "data tersebut bersumber dari BPJS Kesehatan".

Lewati Podcast dan lanjutkan membaca
Podcast
Investigasi: Skandal Adopsi

Investigasi untuk menyibak tabir adopsi ilegal dari Indonesia ke Belanda di masa lalu

Episode

Akhir dari Podcast

Dari sampel data gratis yang diteliti oleh pakar digital forensik Ruby Alamsyah, ia menyebut ada dugaan kecenderungan data itu mengandung informasi pribadi peserta jaminan layanan kesehatan.

Menurutnya, hal itu dibuktikan dengan adanya informasi tentang apa yang ia sebut sebagai "nama penanggung" dan "nomor kartu" seperti formulir jaminan kesehatan yang dikelola BPJS Kesehatan.

"Nomor kartu yang terisi ataupun terlihat di sana, nomor kartu semuanya memiliki 13 digit nomor, yang mana tiga depan angka pertama adalah nol. Kebetulan noka (nomor kartu) 13 digit dan tiga angka depan nol semua itu mirip dengan instansi pemerintah yang mengelola data asuransi masyarakat, yaitu BPJS," jelas Ruby.

Merujuk pada kategori dan konten data yang bocor, seperti nama tertanggung, nomor NPWP, tanggal lahir, nomor handphone dan lain-lain, Ruby kemudian membandingkan dengan kategori yang ada pada sistem daring BPJS.

"Itu kita compare, datanya sama, sehingga kuat diduga memeang data tersebut adalah data instansi pemerintah yang menaungi terkait asuransi kesehatan masyarakat, yaitu BPJS," ungkapnya.

Sumber gambar, Miguel Candela/SOPA Images/LightRocket via Getty I

Lebih lanjut, Ruby menjelaskan bahwa pihaknya kemudian mencoba melakukan analisa secara acak data yang ada dalam sampel itu dengan data yang ada di internet.

Data tersebut, kata Ruby, "cukup banyak yang valid".

"Dari beberapa parameter yang kita analisa tadi, kita menduga memang cukup besar kita menduga ini data yang dikelola oleh BPJS," tegas Ruby.

Dugaan bahwa data itu berasal dari BPJS Kesehatan dikonfirmasi oleh Kementerian Kominfo, yang menemukan bahwa sampel data diduga kuat identik dengan data BPJS Kesehatan.

"Hal tersebut didasarkan pada data Noka (Nomor Kartu), Kode Kantor, Data Keluarga/Data Tanggungan, dan status Pembayaran yang identik dengan data BPJS Kesehatan," ujar Juru Bicara Kementerian Kominfo, Dedy Permadi, pada Jumat (21/05).

Ia menambahkan, pihaknya telah melakukan berbagai langkah antisipatif untuk mencegah penyebaran data lebih luas dengan mengajukan pemutusan akses terhadap tautan untuk mengunduh data pribadi tersebut.

"Terdapat 3 tautan yang terindetifikasi yakni bayfiles.com, mega.nz, dan anonfiles.com. Sampai saat ini tautan di bayfiles.com dan mega.nz telah dilakukan takedown, sedangkan anonfiles.com masih terus diupayakan untuk pemutusan akses segera," jelas Dedy.

Direksi BPJS Kesehatan dipanggil

Dijelaskan Dedy, Kementerian Kominfo melakukan pemanggilan terhadap Direksi BPJS Kesehatan sebagai pengelola data pribadi yang diduga bocor untuk proses investigasi secara lebih mendalam sesuai amanat PP 71 tahun 2019.

Regulasi tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PP PSTE) dan Peraturan Menkominfo No. 20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik mewajibkan penyelenggara sistem elektronik (PSE) yang sistem elektroniknya mengalami gangguan serius akibat kegagalan perlindungan data pribadi untuk melaporkan dalam kesempatan pertama kepada Kementerian Kominfo dan pihak berwenang lain.

Sumber gambar, Jaap Arriens/NurPhoto via Getty Images

Selain itu, PSE juga wajib untuk menyampaikan pemberitahuan secara tertulis kepada pemilik data pribadi, dalam hal diketahui bahwa terjadi kegagalan perlindungan data pribadi.

Sebelumnya, BPJS Kesehatan menegaskan bahwa instansi itu "konsisten memastikan keamanan data peserta BPJS Kesehatan dilindungi sebaik-baiknya".

"Dengan big data kompleks yang tersimpan di server kami, kami memiliki sistem pengamanan data yang ketat dan berlapis sebagai upaya menjamin kerahasiaan data tersebut, termasuk di dalamnya data peserta JKN-KIS," tegas BPJS Kesehatan dalam keterangan tertulisnya.

Adapun, per Mei 2021 terdapat 222,4 juta penduduk Indonesia yang terdaftar sebagai peserta BPJS Kesehatan.

Tren kebocoran data mengkhawatirkan

Ruby mengatakan di saat Indonesia sedang berjuang untuk memiliki undang-undang perlindungan data pribadi yang sedang dibahas di DPR, tren kebocoran data dalam tiga tahun terakhir "cukup mengkhawatirkan".

"Mengapa trennya terus meningkat, ini karena kita belum punya Undang-Undang PDP (perlindungan data pribadi), lalu kalau nanti UU PDP jadi tapi data pribadi masyarakat sudah terlanjut terekspos semua, yang mau dilindungi apa lagi nantinya?," ujarnya.

Ini bukan kali pertama peretasan data dialami oleh instansi pemerintah dan swasta.

Pada Mei tahun lalu, data kependudukan milik sekitar 2,3 juta warga Indonesia yang memuat nomor induk kependudukan (NIK) serta nama dan alamat lengkap, diduga bocor dan dibagikan lewat forum komunitas hacker. Data itu diduga bersumber dari Komisi Pemilihan Umum (KPU).

Sumber gambar, Antara Foto/Fauzan

Keterangan gambar,

Data KPU yang memuat kependudukan milik sekitar 2,3 juta warga Indonesia bocor pada Mei 2020 lalu.

Pada 2019, situs jual beli online Bukalapak mengaku telah mendapat serangan dari peretas yang menyebabkan data pribadi 13 juta akun penggunanya bocor.

"Bayangkan, kami sudah memiliki seluruh data-data kebocoran tadi, dan kita analisa, kalau semakin banyak field-field data pribadi masyarakat terekspose. Bayangkan kalau data-data kebocoran yang pernah terjadi ini di-combine, dijadikan satu."

"Lama kelamaan kebocoran data pribadi masyarakat ini bisa menjadi suatu data pribadi yang lengkap ujung-ujungnya kalau ini terus terjadi," katanya.

Sumber gambar, Bukalapak

Keterangan gambar,

Pada 2019, situs jual beli online Bukalapak mengaku telah mendapat serangan dari peretas yang menyebabkan data pribadi 13 juta penggunanya bocor.

RUU PDP mengatur sanksi denda yang besar terhadap instansi yang gagal melindungi data penggunanya, sayangnya hingga kini rancangan regulasi itu belum disahkan.

"Melihat dari tren itu semua, dan kita belum memiliki undang-undang perlindungan data pribadi, terkesan industri swasta maupun instansi pemerintah tidak terlalu serius untuk mengamankan data penggunanya dikarenakan belum ada peraturan yang mengatur perlindungan data pribadi tersebut yang memaksa mereka harus serius, karena tidak aturannya," jelas Ruby.

"Setelah ada UU PDP lah mereka baru melek karena khawatir di UU PDP nanti sanksi-sanksi cukup besar. Kalau saat ini sama sekali tidak ada, sehingga otamatis yang dirugikan 100% adalah hanya pengguna atau masyarakat itu sendiri," jelasnya kemudian.

Adapun, pembahasan Rancangan Undang-Undang tentang Perlindungan Data Pribadi (RUU PDP) akan dilanjutkan oleh DPR tahun ini. RUU tersebut masuk dalam agenda Program Legislasi Nasional (Prolegnas) Prioritas 2021.

RUU ini akan menjadi dasar hukum bagi upaya perlindungan data pribadi warga negara dari segala bentuk penyalahgunaan dan tindakan lainnya yang merugikan pemilik data tersebut.

Apa yang semestinya dilakukan untuk melindungi data pribadi?

Dengan kondisi tidak ada regulasi yang memberikan perlindungan pada data pribadi, Ruby mengungkapkan mau tidak mau "masyarakat harus sadar akan keamanan datanya sendiri".

"Itu sangat disayangkan padahal di sini konteksnya adalah kebocoran tersebut terjadi di sebuah instansi, bukan dari masyarakat," katanya.

"Kalau data pribadi bocor masif, itu bukan salah pengguna, itu salah penyimpan dan pemroses data tadi.

Bagaimanapun, ia menyarankan warga untuk "benar-benar hati" ketika mengekspose data pribadinya dalam aktivitas apapun yang dilakukan di internet.

Sumber gambar, Getty Images

Pengguna bisa meningkatkan kesadaran akan keamanan teknologi tadi dengan berbagai cara, salah satunya menggunakan password yang tidak mudah ditebak orang, alias tidak ada merujuk pada data pribadi.

Selain itu, merubah password secara berkala juga harus dilakukan, kata Ruby. Ia juga menyarakan pengguna untuk tidak menggunakan password yang sama untuk seluruh platform dan mengaktifkan metode otentifikasi dua lapis (two-factor authentication).

"Itu bisa melindungi data pribadi masing-masing pengguna. Tapi kalau kejadian seperti kemarin otomatis pengguna nggak bisa handle (menangani) risiko tersebut karena risiko tersebut hanya bisa di-handle oleh pengelola data tadi.

Menyusul kebocoran data terbaru, Kementerian Kominfo meminta agar seluruh penyedia platform digital dan pengelola data pribadi, untuk semakin meningkatkan upaya menjaga keamanan data pribadi yang dikelola.

Kementerian Kominfo juga mengajak seluruh masyarakat untuk semakin berhati-hati dan waspada dalam melindungi data pribadinya dengan tidak membagikan data pribadi kepada pihak-pihak yang tidak berkepentingan dan memastikan syarat dan ketentuan layanan yang digunakan

Selain itu, secara berkala memperbarui password pada akun-akun elektronik yang dimiliki, dan memastikan sistem keamanan perangkat yang digunakan selalu up to date.