(IslamToday ID) – Pakar digital forensik Ruby Alamsyah menyatakan kasus kebocoran data 279 juta warga yang diduga dari BPJS Kesehatan semakin menunjukkan urgensi penetapan Rancangan Undang-Undang Perlindungan Data Pribadi (RUU PDP).
Menurutnya, peretasan data bisa dialami tak hanya oleh masyarakat, namun juga instansi pemerintah maupun swasta. Apalagi, tren kebocoran data selama tiga tahun terakhir cukup mengkhawatirkan.
“Sampai saat ini tidak ada (UU PDP) sehingga otomatis yang dirugikan 100 persen pengguna atau masyarakat itu sendiri. Sedangkan pemegang data dan pemroses data, yaitu instansi pemerintah dan industri swasta, mereka tidak memiliki risiko yang terlalu tinggi,” ungkap Ruby seperti dikutip dari BBC News Indonesia, Senin (24/5/2021).
Ia menyebut dari sampel data gratis yang ditelitinya ada dugaan kecenderungan data itu mengandung informasi pribadi peserta jaminan layanan kesehatan.
Menurutnya, hal itu dibuktikan dengan adanya informasi tentang apa yang ia sebut sebagai “nama penanggung” dan “nomor kartu” seperti formulir jaminan kesehatan yang dikelola BPJS Kesehatan.
“Nomor kartu yang terisi ataupun terlihat di sana, nomor kartu semuanya memiliki 13 digit nomor, yang mana tiga depan angka pertama adalah nol. Kebetulan noka (nomor kartu) 13 digit dan tiga angka depan nol semua itu mirip dengan instansi pemerintah yang mengelola data asuransi masyarakat yaitu BPJS,” jelas Ruby.
Merujuk pada kategori dan konten data yang bocor, seperti nama tertanggung, nomor NPWP, tanggal lahir, nomor handphone dan lain-lain, Ruby kemudian membandingkan dengan kategori yang ada pada sistem daring BPJS.
“Itu kita compare, datanya sama, sehingga kuat diduga memang data tersebut adalah data instansi pemerintah yang menaungi terkait asuransi kesehatan masyarakat yaitu BPJS,” ungkapnya.
Lebih lanjut, ia menjelaskan bahwa pihaknya kemudian mencoba melakukan analisa secara acak data yang ada dalam sampel itu dengan data yang ada di internet. Data tersebut, kata Ruby, cukup banyak yang valid.
“Dari beberapa parameter yang kita analisa tadi, kita menduga memang ini data yang dikelola oleh BPJS,” tegas Ruby.
Ia mengatakan di saat Indonesia sedang berjuang untuk memiliki UU PDP yang sedang dibahas di DPR, tren kebocoran data dalam tiga tahun terakhir cukup mengkhawatirkan.
“Mengapa trennya terus meningkat, ini karena kita belum punya UU PDP, lalu kalau nanti UU PDP jadi tapi data pribadi masyarakat sudah terlanjur terekspos semua, yang mau dilindungi apa lagi nantinya?” ujarnya.
RUU PDP mengatur sanksi denda yang besar terhadap instansi yang gagal melindungi data penggunanya, sayangnya hingga kini rancangan regulasi itu belum disahkan.
“Melihat dari tren itu semua, dan kita belum memiliki UU PDP, terkesan industri swasta maupun instansi pemerintah tidak terlalu serius untuk mengamankan data penggunanya dikarenakan belum ada peraturan yang mengatur perlindungan data pribadi tersebut yang memaksa mereka harus serius, karena tidak aturannya,” jelas Ruby.
“Setelah ada UU PDP, lah mereka baru melek karena khawatir di UU PDP nanti sanksi-sanksi cukup besar. Kalau saat ini sama sekali tidak ada, sehingga otamatis yang dirugikan 100 persen adalah hanya pengguna atau masyarakat itu sendiri,” jelasnya.
Adapun, pembahasan RUU PDP akan dilanjutkan oleh DPR tahun ini. RUU tersebut masuk dalam agenda Program Legislasi Nasional (Prolegnas) Prioritas 2021.
RUU ini akan menjadi dasar hukum bagi upaya perlindungan data pribadi warga negara dari segala bentuk penyalahgunaan dan tindakan lainnya yang merugikan pemilik data tersebut.
Dengan kondisi tidak ada regulasi yang memberikan perlindungan pada data pribadi, Ruby mengungkapkan mau tidak mau masyarakat harus sadar akan keamanan datanya sendiri. “Itu sangat disayangkan padahal di sini konteksnya adalah kebocoran tersebut terjadi di sebuah instansi, bukan dari masyarakat,” katanya.
“Kalau data pribadi bocor masif, itu bukan salah pengguna, itu salah penyimpan dan pemroses data tadi. Bagaimanapun, ia menyarankan warga untuk benar-benar hati-hati ketika mengekspose data pribadinya dalam aktivitas apapun yang dilakukan di internet.”
Ancaman Kejahatan Dunia Maya
Pakar keamanan siber Pratama Persadha mengingatkan risiko dari bocornya data pribadi penduduk karena dapat digunakan oleh pelaku kejahatan.
“Walaupun di dalam file tidak ditemukan data yang sangat sensitif seperti detail kartu kredit. Namun, dengan beberapa data pribadi yang ada, maka bagi pelaku kejahatan dunia maya sudah cukup untuk menyebabkan kerusakan dan ancaman nyata,” ujar chairman lembaga riset siber CISSReC (Communication & Information System Security Research Center) seperti dikutip dari Tempo, Jumat (21/5/2021).
Ia menjelaskan pelaku kejahatan dapat menggabungkan informasi yang ditemukan dalam file CSV yang bocor dengan pelanggaran data lain untuk membuat profil terperinci dari calon korban mereka seperti data dari kebocoran Tokopedia, Bhinneka, Bupalapak, dan lainnya.
Dengan informasi seperti itu, pelaku kejahatan dapat melakukan serangan phising dan social engineering yang jauh lebih meyakinkan bagi para korbannya.
“Yang jelas tidak ada sistem yang 100 persen aman dari ancaman peretasan maupun bentuk serangan siber lainnya. Karena sadar akan hal tersebut, maka perlu dibuat sistem yang terbaik dan dijalankan oleh orang-orang terbaik dan berkompeten agar selalu bisa melakukan pengamanan dengan standar yang tinggi,” ujar Pratama.
Karena itu, ia mengatakan kejadian semacam ini harusnya tidak terjadi pada data yang dihimpun oleh negara. Ia pun menyarankan mulai saat ini seluruh instansi pemerintah wajib bekerja sama dengan BSSN untuk melakukan audit digital forensik dan mengetahui lubang-lubang keamanan mana saja yang ada. Langkah ini sangat perlu dilakukan untuk menghindari pencurian data di masa yang akan datang.
“Pemerintah juga wajib melakukan pengujian sistem atau Penetration Test (Pentest) secara berkala kepada seluruh sistem lembaga pemerintahan. Ini sebagai langkah preventif sehingga dari awal dapat ditemukan kelemahan yang harus diperbaiki segera,” katanya.
Selain itu, Pratama berujar sistem dan SDM harus ditingkatkan, adopsi teknologi utamanya untuk pengamanan data juga perlu dilakukan. Indonesia sendiri masih dianggap rawan peretasan karena memang kesadaran keamanan siber masih rendah. Yang terpenting, tuturnya, dibutuhkan UU Perlindungan Data Pribadi (PDP) yang isinya tegas dan ketat seperti di Eropa.
“Prinsipnya, memang data pribadi ini menjadi incaran banyak orang. Sangat berbahaya bila benar data ini bocor dari BPJS. Karena datanya valid dan bisa digunakan sebagai bahan baku kejahatan digital terutama kejahatan perbankan. Dari data ini bisa digunakan pelaku kejahatan untuk membuat KTP palsu dan kemudian menjebol rekening korban,” ujarnya. [wip]