peretas

Sumber gambar, Jaap Arriens/NurPhoto via Getty Images

Kasus kebocoran data pribadi untuk kesekian kalinya semakin menunjukkan urgensi penetapan rancangan undang-undang perlindungan bahan pribadi, menurut pakar digital forensik Ruby Alamsyah.

Ruby mengungkapkan peretasan bahan bisa dialami tak hanya oleh masyarakat, namun pula instansi pemerintah maupun preman. Apalagi, tren kebocoran petunjuk selama tiga tahun final “cukup mengkhawatirkan”.

“Sampai masa ini tidak ada [UU PDP] sehingga otomatis yang dirugikan 100% pemakai atau masyarakat itu sendiri, sedangkan pemegang data & pemroses data, yaitu jawatan pemerintah dan industri swasta, mereka tidak memiliki efek yang terlalu tinggi, ” jelas Ruby kepada kuli BBC News Indonesia, Ayomi Amindoni, Jumat (21/05).

Baca juga:

Data sekitar 279 juta warga Indonesia kacau termasuk mereka yang telah meninggal dunia – diduga diretas dan dijual dalam forum daring. Data tersebut diduga berasal dari institusi penyelenggara layanan kesehatan, BPJS Kesehatan.

Pada Jumat (21/05), Kementerian Kominfo melakukan pemanggilan terhadap Direksi BPJS Kesehatan sebagai pengelola data awak yang diduga bocor buat proses investigasi secara bertambah mendalam.

Pemerintah Indonesia telah melakukan berbagai langkah antisipatif untuk mencegah penyebaran data lebih luas dengan mengajukan pemutusan akses terhadap tautan untuk mengunduh data awak tersebut.

Ada ‘nama penanggung’ dan ‘nomor kartu’

Informasi peretasan data pribadi warga Indonesia yang masif tersebut viral di media baik sejak Kamis (20/05) pagi, dengan sejumlah warganet membuktikan kekhawatiran akan perlindungan bukti pribadinya.

Data pribadi 279 juta karakter tersebut dijual senilai oleh pengguna forum berbagi database RaidForums dengan akun ‘Kotz’, yang menyebut data tersebut termasuk data penduduk yang sudah meninggal.

“Ada mulia juta contoh data percuma untuk diuji, ” katanya dalam unggahan pada Rabu (12/05)

Ia menambahkan bukti tersebut termasuk mereka dengan sudah meninggal dunia. Adapun saat ini jumlah populasi Indonesia sebanyak 273 juta penduduk.

“Sebanyak 20 juta memiliki foto pesonal, ” kata pengguna tersebut.

Keterangan gambar,

Unggahan pemilik akun bernama kotz di forum berbagai database RaidForums

Taat Aprianto, konsultan keamanan siber dan pendiri Ethical Hacker Indonesia menyebut di akun Twitternya bahwa pelaku peretas memang mengaku bahwa “data tersebut bersumber dari BPJS Kesehatan”.

Daripada sampel data gratis yang diteliti oleh pakar digital forensik Ruby Alamsyah, dia menyebut ada dugaan kesukaan data itu mengandung bahan pribadi peserta jaminan servis kesehatan.

Menurutnya, hal tersebut dibuktikan dengan adanya informasi tentang apa yang ia sebut sebagai “nama penanggung” dan “nomor kartu” bagaikan formulir jaminan kesehatan dengan dikelola BPJS Kesehatan.

“Nomor kartu yang terisi ataupun terlihat di sana, cetakan kartu semuanya memiliki 13 digit nomor, yang mana tiga depan angka mula-mula adalah nol. Kebetulan noka (nomor kartu) 13 digit dan tiga angka ajaran nol semua itu mendekati dengan instansi pemerintah dengan mengelola data asuransi kelompok, yaitu BPJS, ” terang Ruby.

Merujuk pada kategori dan konten data dengan bocor, seperti nama tertanggung, nomor NPWP, tanggal ada, nomor handphone dan lain-lain, Ruby kemudian membandingkan secara kategori yang ada pada sistem daring BPJS.

“Itu kita compare , datanya sama, jadi kuat diduga memeang petunjuk tersebut adalah data lembaga pemerintah yang menaungi terpaut asuransi kesehatan masyarakat, yaitu BPJS, ” ungkapnya.

Lebih lanjut, Ruby membaca bahwa pihaknya kemudian membuktikan melakukan analisa secara acak data yang ada dalam sampel itu dengan bukti yang ada di internet.

Data tersebut, kata Ruby, “cukup banyak yang valid”.

“Dari beberapa parameter yang kita analisa tadi, kita menduga memang cukup gede kita menduga ini petunjuk yang dikelola oleh BPJS, ” tegas Ruby.

Perkiraan bahwa data itu datang dari BPJS Kesehatan dikonfirmasi oleh Kementerian Kominfo, dengan menemukan bahwa sampel masukan diduga kuat identik secara data BPJS Kesehatan.

“Hal tersebut berdasar pada data Noka (Nomor Kartu), Kode Kantor, Data Keluarga/Data Tanggungan, dan kehormatan Pembayaran yang identik secara data BPJS Kesehatan, ” ujar Juru Bicara Departemen Kominfo, Dedy Permadi, dalam Jumat (21/05).

Ia menambahkan, pihaknya telah melakukan bervariasi langkah antisipatif untuk mencegah penyebaran data lebih umum dengan mengajukan pemutusan akses terhadap tautan untuk mengunduh data pribadi tersebut.

“Terdapat 3 tautan yang terindetifikasi yakni bayfiles. com, kabut. nz, dan anonfiles. com. Sampai saat ini tautan di bayfiles. com serta mega. nz telah dilakukan takedown, sedangkan anonfiles. com masih terus diupayakan untuk pemutusan akses segera, ” jelas Dedy.

Direksi BPJS Kesehatan dipanggil

Dijelaskan Dedy, Kementerian Kominfo melakukan pemanggilan terhadap Direksi BPJS Kesehatan tubuh sebagai pengelola data karakter yang diduga bocor untuk proses investigasi secara lebih mendalam sesuai amanat PP 71 tahun 2019.

Regulasi tentang Penyelenggaraan Sistem serta Transaksi Elektronik (PP PSTE) dan Peraturan Menkominfo No. 20 Tahun 2016 mengenai Perlindungan Data Pribadi di dalam Sistem Elektronik mewajibkan penyelenggara sistem elektronik (PSE) dengan sistem elektroniknya mengalami gangguan serius akibat kegagalan pelestarian data pribadi untuk mengadukan dalam kesempatan pertama pada Kementerian Kominfo dan pihak berwenang lain.

Selain itu, PSE juga wajib buat menyampaikan pemberitahuan secara tertulis kepada pemilik data pribadi, dalam hal diketahui bahwa terjadi kegagalan perlindungan masukan pribadi.

Sebelumnya, BPJS Kesehatan menegaskan bahwa instansi tersebut “konsisten memastikan keamanan petunjuk peserta BPJS Kesehatan dilindungi sebaik-baiknya”.

“Dengan big bukti kompleks yang tersimpan pada server kami, kami mempunyai sistem pengamanan data yang ketat dan berlapis sebagai upaya menjamin kerahasiaan data tersebut, termasuk di dalamnya data peserta JKN-KIS, ” tegas BPJS Kesehatan pada keterangan tertulisnya.

Adapun, mulai Mei 2021 terdapat 222, 4 juta penduduk Nusantara yang terdaftar sebagai pengikut BPJS Kesehatan.

Tren kebocoran data mengkhawatirkan

Ruby mengutarakan di saat Indonesia cukup berjuang untuk memiliki undang-undang perlindungan data pribadi yang sedang dibahas di DPR, tren kebocoran data dalam tiga tahun terakhir “cukup mengkhawatirkan”.

“Mengapa trennya terus meningkat, ini karena kita belum punya Undang-Undang PDP (perlindungan data pribadi), berserakan kalau nanti UU PDP jadi tapi data pribadi masyarakat sudah terlanjut terekspos semua, yang mau dilindungi apa lagi nantinya?, ” ujarnya.

Ini bukan kala pertama peretasan data dialami oleh instansi pemerintah dan swasta.

Keterangan gambar,

Data KPU yang memuat kependudukan milik sekitar 2, 3 juta warga Indonesia bocor dalam Mei 2020 lalu.

“Bayangkan, kami telah memiliki seluruh data-data kebocoran tadi, dan kita analisa, kalau semakin banyak field-field data pribadi masyarakat terekspose. Bayangkan kalau data-data kebocoran yang pernah terjadi itu di- combine , dijadikan satu. ”

“Lama kelamaan kebocoran data awak masyarakat ini bisa menjelma suatu data pribadi yang lengkap ujung-ujungnya kalau ini terus terjadi, ” katanya.

Keterangan gambar,

Pada 2019, situs jual beli online Bukalapak mengaku telah mendapat serangan dari peretas dengan menyebabkan data pribadi 13 juta penggunanya bocor.

RUU PDP mengatur sanksi dam yang besar terhadap badan yang gagal melindungi data penggunanya, sayangnya hingga saat ini rancangan regulasi itu belum disahkan.

“Melihat dari gaya itu semua, dan kita belum memiliki undang-undang pelestarian data pribadi, terkesan industri swasta maupun instansi negeri tidak terlalu serius buat mengamankan data penggunanya dikarenakan belum ada peraturan dengan mengatur perlindungan data pribadi tersebut yang memaksa itu harus serius, karena tidak aturannya, ” jelas Ruby.

“Setelah ada UU PDP lah mereka baru melek karena khawatir di UU PDP nanti sanksi-sanksi lulus besar. Kalau saat ini sama sekali tidak ada, sehingga otamatis yang dirugikan 100% adalah hanya pengguna atau masyarakat itu sendiri, ” jelasnya kemudian.

Adapun, pengkajian Rancangan Undang-Undang tentang Perlindungan Data Pribadi (RUU PDP) akan dilanjutkan oleh DPR tahun ini. RUU tersebut masuk dalam agenda Kalender Legislasi Nasional (Prolegnas) Pengutamaan 2021.

RUU ini bakal menjadi dasar hukum untuk upaya perlindungan data awak warga negara dari segala bentuk penyalahgunaan dan kesibukan lainnya yang merugikan pemilik data tersebut.

Apa dengan semestinya dilakukan untuk menangani data pribadi?

Dengan status tidak ada regulasi yang memberikan perlindungan pada bukti pribadi, Ruby mengungkapkan mau tidak mau “masyarakat harus sadar akan keamanan datanya sendiri”.

“Itu sangat disayangkan padahal di sini konteksnya adalah kebocoran tersebut terjadi di sebuah instansi, bukan dari masyarakat, ” katanya.

“Kalau data pribadi murus masif, itu bukan lengah pengguna, itu salah penyimpan dan pemroses data tadi.

Bagaimanapun, ia menyarankan warga untuk “benar-benar hati” kala mengekspose data pribadinya dalam aktivitas apapun yang dilakukan di internet.

Pemakai bisa meningkatkan kesadaran hendak keamanan teknologi tadi secara berbagai cara, salah satunya menggunakan password yang tidak mudah ditebak orang, alias tidak ada merujuk dalam data pribadi.

Selain tersebut, merubah password secara berkala juga harus dilakukan, sebutan Ruby. Ia juga menyarakan pengguna untuk tidak menggunakan password yang serupa untuk semesta platform dan mengaktifkan jalan otentifikasi dua lapis (two-factor authentication).

“Itu bisa melindungi keterangan pribadi masing-masing pengguna. Tapi kalau kejadian seperti kemarin otomatis pengguna nggak mampu handle (menangani) risiko tersebut karena risiko tersebut hanya bisa di- handle oleh pemangku data tadi.

Menyusul kebocoran data terbaru, Kementerian Kominfo meminta agar seluruh penyedia platform digital dan pemangku data pribadi, untuk semakin meningkatkan upaya menjaga ketenteraman data pribadi yang dikelola.

Kementerian Kominfo juga mengajak seluruh masyarakat untuk semakin berhati-hati dan waspada dalam melindungi data pribadinya secara tidak membagikan data pribadi kepada pihak-pihak yang tak berkepentingan dan memastikan syarat dan ketentuan layanan yang digunakan

Selain itu, secara berkala memperbarui password pada akun-akun elektronik yang dimiliki, dan memastikan sistem kebahagiaan perangkat yang digunakan selalu up to date.