(IslamToday ID) – Profil pelaku penyebar 279 juta data WNI milik BPJS Kesehatan di forum peretas Raid Forum telah diidentifikasi pihak kepolisian. Kini profil pelaku tersebut masih didalami.
“Telah memeriksa secara online cryptocurrency yang diduga itu milik pelaku. Untuk sementara penyidik telah menemukan profil milik pelaku yang ada di dalam Raid Forum itu,” kata Kabiro Penerangan Masyarakat Divisi Humas Polri Brigjen Pol Rusdi Hartono dalam konferensi pers di Mabes Polri, Jakarta, Selasa (15/6/2021).
Selain itu, ia mengatakan penyidik telah memeriksa sekitar 15 orang saksi terkait dugaan kebocoran data BPJS Kesehatan itu.
Saksi yang diperiksa yaitu dari pihak BPJS Kesehatan, Badan Siber dan Sandi Negara (BSSN), dan vendor penyedia teknologi informasi untuk BPJS Kesehatan.
Saat ini penyidik telah mengajukan permohonan izin untuk menyita server BPJS Kesehatan ke Pengadilan Negeri (PN) Surabaya. “Telah buat permohonan izin khusus penyitaan terhadap server BPJS kesehatan,” ujarnya.
“Servernya itu ada di Surabaya,” tambah Rusdi seperti dikutip dari CNN Indonesia.
Ia pun memastikan proses penyidikan yang dilakukan Polri tidak akan menganggu pelayanan BPJS Kesehatan. “Penyidikan berjalan dan pelayanan pada masyarakat tetap berjalan,” katanya.
Sebelumnya, diduga terjadi kebocoran data peserta BPJS Kesehatan. Menjadi sorotan ketika forum hacker menjual data penduduk Indonesia yang disebut milik BPJS Kesehatan.
Kementerian Komunikasi dan Informatika (KemenKominfo) lalu memblokir situs Raid Forum atau lapak untuk menjual 279 juta data kependudukan itu. Situs tersebut merupakan tempat populer bagi para peretas untuk menyebarkan data-data kependudukan WNI.
KemenKominfo turut memblokir tautan bayfiles.com, mega.nz, dan anonfiles.com. Tiga tautan itu sebelumnya digunakan untuk mengunduh data penduduk yang bocor.
Sementara, Direktur Utama BPJS Kesehatan, Ali Ghufron memastikan pengelolaan sistem data dan informasi di perusahaannya telah sesuai dengan ketentuan yang berlaku. Ghufron merujuk pada sertifikasi ISO 27001.
Meski demikian, Ghufron mengakui bahwa masih memungkinkan terdapat celah peretasan.
“Walupun BPJS Kesehatan sudah melakukan sistem pengamanan sesuai standar yang berlaku, namun masih dimungkinkan terjadinya peretasan. Mengingat sangat dinamisnya dunia peretasan,” ujarnya
Kemungkinan Aplikasi Diretas
Koordinator Advokasi BPJS Watch Timboel Siregar menilai dugaan kebocoran data yang berasal dari BPJS Kesehatan perlu ditindaklanjuti dengan peningkatan keamanan aplikasi internal maupun mobile apps yang diluncurkan ke publik.
Berdasarkan hasil investigasi terbaru yang dilakukan terhadap dugaan kebocoran data penduduk, diduga kuat identik dengan data BPJS Kesehatan. Hal tersebut didasarkan pada data Noka (Nomor Kartu), Kode Kantor, Data Keluarga/Data Tanggungan, dan status pembayaran yang identik dengan data BPJS Kesehatan.
Sekadar informasi, untuk mendukung Sistem Informasi Manajemen Kepesertaan, BPJS Kesehatan memiliki 6 aplikasi, yaitu Mobile JKN, Aplikasi BPJS Checking, Aplikasi e-Dabu, Aplikasi BPJS Admin, Aplikasi Registrasi Badan Usaha, dan Portal Bersama.
Sementara untuk mendukung Sistem Informasi Layanan Publik, BPJS Kesehatan memiliki 6 Aplikasi yaitu Website BPJS Kesehatan, Aplikasi Mudik BPJS Kesehatan, Portal Jamkesnews, Aplikasi Aplicares, dan Web Skrining (skrining kesehatan peserta).
BPJS Kesehatan pun memiliki Sistem Informasi Manajemen Penjaminan Pelayanan Kesehatan yang terdiri dari 8 aplikasi, yaitu Aplikasi Health Facilities Information System (HFIS), Aplikasi Pcare-Eclaim, Aplikasi vClaim, Aplikasi Sidik Jari BPJS Kesehatan, Aplikasi Antrean Faskes, Aplikasi Luar Paket INACBGs (LUPIS), Aplikasi Apotek Online, dan Aplikasi Klaim Covid-19.
“Tentunya dugaan kebocoran data yang diduga dari BPJS Kesehatan tersebut, bila dikaitkan dengan banyaknya aplikasi di BPJS Kesehatan, maka kebocoran data tersebut kemungkinan bisa disebabkan diretasnya aplikasi-aplikasi tersebut khususnya Aplikasi Sistem Informasi Manajemen Kepesertaan dan Aplikasi pelayanan Kesehatan,” ujar Timboel, Ahad (23/5/2021).
Adapun, kemungkinan kedua, yaitu adanya orang dalam yang membocorkan data-data tersebut. Namun, Timboel cenderung menilai kemungkinan pertama yang terjadi, walaupun tentunya penyelidikan atas kemungkinan kedua pun harus dilakukan.
“Jangan lupa, BPJS Kesehatan pun mengelola data kesehatan peserta JKN maupun fasilitas kesehatan yang bekerja sama dengan BPJS Kesehatan, dari masyarakat sipil maupun militer. Data-data tersebut tentunya sangat confidential, yang harus dijaga agar tidak berpindah ke pihak lain,” tambahnya.
Menurutnya, apabila terbukti bahwa hal ini terjadi karena peretasan aplikasi, artinya pengamanan aplikasi TI yang dimiliki BPJS Kesehatan relatif rendah. BPJS Kesehatan tidak bisa memastikan beberapa framework dan standar tata kelola TI yang diimplementasikan BPJS Kesehatan untuk menjamin keamanan aplikasi-aplikasi di BPJS Kesehatan.
“Sebaiknya memang aplikasi yang ada di BPJS Kesehatan juga bisa disederhanakan jumlahnya, sehingga bisa lebih efektif dan efisien dalam mengelola program JKN,” jelasnya seperti dikutip dari Bisnis.com.
Pada akhirnya, Timboel berharap kebocoran data ini harus dituntaskan oleh pemerintah. Kebocoran data kepesertaan ini juga akan berdampak pada kebocoran data medis rakyat Indonesia yang dikelola BPJS Kesehatan. Ini sangat berbahaya bagi Indonesia bila data rakyat Indonesia dan data medis bisa dimiliki pihak lain. [wip]