Kebocoran Data: Apa Tanggung Jawab PSE?
KEBOCORAN data pribadi terus terjadi di Tanah Air. Kali ini pada Sabtu, 8 Januari 2022, ada ratusan ribu data pelamar yang diduga berasal dari PT Pertamina Training & Consulting tersebar di internet. (Baca: Informasi Data Pribadi Pelamar Kerja Pertamina Bocor di Forum Online)
Padahal dua hari sebelumnya terjadi kebocoran 6 juta basis data pasien yang diduga bersumber dari server Kementerian Kesehatan.
Pembocor kedua data tersebut sama yaitu "Astarte" yang merupakan nama identitas di forum jual beli online. Pelaku mengklaim bahwa isi data yang dibocorkan pada tanggal 8 Januari, terdiri dari data KTP, kartu keluarga, kartu BPJS, akta kelahiran, ijazah, transkrip nilai, dan data lainnya.
Sampel data berjumlah 163.181 file dengan ukuran 60 gigabita, dibagikan secara gratis. Namun, saat ini alamat yang digunakan untuk mengunduh sampel data sudah kadaluarsa. Selain itu jika dilihat lebih rinci dari beberapa file, ternyata masih banyak data lain di dalamnya, seperti CV (curriculum vitae), SKCK, foto, SIM, surat bebas narkoba, surat keterangan sehat, dan dokumen lainnya.
Ini berbahaya sekali, karena dari data ini pelaku kejahatan minimal bisa melakukan profiling untuk kejahatan perbankan, seperti saat tabungan wartawan senior Ilham Bintang dijebol. (Baca: Ilham Bintang Jalani Sidang Virtual Kasus SIM Swap, Hakim Titip Pesan Ini untuk Pemerintah)
SISRUTE
Dari sampel video dan file yang diberikan penjual terkait data pasien, di dalamnya banyak sekali informasi rujukan, ketika dicek lebih lanjut ditemukan SISRUTE (Sistem Informasi Rujukan Terpadu) yang dimiliki oleh Kemenkes. Selain itu datanya dari rumah sakit hampir seluruh Indonesia dan field-field di dalamnya sama dengan sistem root yang ada di dalam Kemenkes.
Walaupun Kemenkes belum memberikan pernyataan, namun kebocoran 720 GB dokumen dan 6 juta basis data pasien diyakini berasal dari server Kemenkes. Tidak mungkin ini berasal dari rumah sakit daerah, sebab di dalamnya terdapat ribuan data rumah sakit yang terkumpul menjadi satu. (Baca: Yang Perlu Dipahami tentang Insiden Bocornya Data Pasien)
Dalam kasus data pasien, ini seharusnya menjadi koreksi bagi Kemenkes dengan sistem jaringannya.
Terlebih sebelumnya juga ditemukan data pengguna e-HAC terekspose di internet. Ini terlihat Kemenkes memang lemah dari sisi penjagaan infrastruktur TI, ini yang membuka peluang kemungkinan banyak lubang keamanan yang dimanfaatkan hacker. (Baca: Jutaan Data Pengguna Aplikasi eHAC Terekspose, Kemenkes Sebut Sumber Masalah dari Mitra)
Salah satu kekurangan yang cukup serius lain adalah tata kelola manajemen keamanan siber yang masih lemah. Dalam kasus e-HAC, pelaporan adanya kebocoran data sampai dua kali tidak direspons oleh tim TI Kemenkes. Baru setelah laporan dilakukan ke Badan Siber dan Sandi Negara, barulah dalam waktu dua hari sistem eHAC di-takedown—padahal hal itu bisa dilakukan segera dalam hitungan jam.
Oleh karenanya, Kemenkes perlu melakukan penguatan sistem dan sumber daya manusia. Selain itu, adopsi teknologi, utamanya, untuk pengamanan data perlu dilakukan demi mencegah kasus kebocoran data yang sama kembali terjadi di masa depan.
Semua data pribadi yang bocor di internet sudah pasti berbahaya, karena data-data yang ada merupakan data yang sangat sensitif untuk disalahgunakan di internet, seperti penipuan online atau digunakan untuk pinjol yang kerap terjadi belakangan.
Bahkan, banyak daftar data riwayat penyakit pasien secara detail. Data-data ini tentu sangat berbahaya dan riskan, karena pelaku kejahatan bisa menarget individu dari data-data yang ada di sini dengan lebih mudah. Contohnya, berpura-pura mengaku dari rumah sakit atau dokter yang merawat dan meminta data-data pribadi pasien.
Memang saat ini banyak masyarakat tanah air yang belum sadar akan pentingnya data pribadi, mungkin karena belum ada kerugian finansial yang dialami.
Indonesia sendiri masih dianggap rawan peretasan karena memang kesadaran keamanan siber masih rendah. Yang terpenting dibutuhkan Undang-Undang Pelindungan Data Pribadi yang isinya tegas dan ketat seperti di Eropa.
Urgensi UU PDP
Kasus kebocoran data ini memperlihatkan betapa Undang-Undang Pelindungan Data Pribadi sangat dibutuhkan dan sangat mendesak, untuk memaksa Penyelenggara Sistem Elektronik (PSE) membangun sistem yang kuat dan bertanggung jawab bila terjadi data breach.
Sekarang kebocoran data sudah banyak terjadi, tapi sulit untuk meminta tanggung jawab dari PSE bersangkutan.
Pandemi Covid-19 terus berlangsung, seharusnya dengan masih banyak diberlakukannya bekerja dari rumah (WFH) pada institusi negara dan swasta, maka wajib diikuti dengan memberikan sejumlah tools, seperti jaringan pribadi virtual (VPN) untuk membantu pengamanan data, terutama saat pegawai sedang mengakses sistem kantor.
Selain itu dengan pembatasan jam kerja, bukan berarti pengawasan terhadap sistem jadi berkurang. Bahkan, menurut Microsoft, anggaran belanja untuk keamanan siber malah naik selama pandemi Covid-19 ini.
Undang-Undang Pelindungan Data Pribadi seharusnya bisa mendorong PSE untuk bertanggung jawab bila ada kebocoran data.
Namun, tidak setiap kebocoran data bisa diganjar hukuman atau bisa dituntut ke pengadilan—harus ada uji digital forensik: apakah sistemnya sudah memenuhi standar keamanan yang nantinya ditentukan UU PDP serta aturan turunannya. Karena kita mengerti, bahwa tidak ada sistem yang sempurna dan aman 100 persen.
Karena sudah menyadari itu, seharusnya PSE bisa dipaksa untuk memenuhi standar minimal sehingga memperkecil kemungkinan terjadinya data breach.[]
Penulis adalah Chairman Communication & Information System Security Research Center (CISSReC), sebuah lembaga riset di bidang keamanan siber di Indonesia.