Ahli IT Ungkap Bahaya jika Benar Jutaan Data Pasien Bocor
Jutaan data pasien dari berbagi rumah sakit di server Kementerian Kesehatan (Kemenkes) diduga bocor dan dijual di situs gelap RaidForums pada Kamis (6/1). Ahli informasi dan teknologi (IT) menilai, jika kasus data pasien bocor ini benar, maka berpotensi mendorong penipuan dengan metode phising terhadap pemilik data.
Phising adalah upaya untuk mendapatkan informasi data seseorang dengan teknik mengelabui. Pelaku phising bisa menggunakan data yang bocor untuk mengelabui calon korban guna mendapatkan PIN ataupun password akun bank hingga e-commerce.
“Rekam medis dan tidak terhitung data pribadi seperti nomor telepon dan data kependudukan yang bocor, jelas akan menjadi sasaran eksploitasi,” kata Spesialis Keamanan Teknologi Vaksincom Alfons Tanujaya kepada Katadata.co.id, Kamis malam (6/1).
Selain itu, pelaku bisa mengungkap penyakit pasien yang mengalami kebocoran data atau kondisi medis tertentu yang sifatnya rahasia.
“Jika diketahui oleh publik akan mengakibatkan dirinya dijauhi atau diberhentikan dari pekerjaan. Tentu hal ini bakal sangat merugikan,” kata dia.
Foto medis pasien yang tidak pantas dilihat juga berpotensi disebarkan di media sosial atau internet. “Ini akan memberikan dampak psikologis berat bagi pasien,” ujarnya.
Sedangkan pelaku yang diduga mencuri data pasien dari berbagai rumah sakit di Indonesia, sudah mengunggah dokumen itu di situs gelap (dark web) RaidForums. Total datanya 720 Gigabyte (GB).
Pengunggah memberi sampel data enam juta data pasien bocor berisi nama lengkap, rumah sakit, foto pasien, hasil tes Covid-19 dan hasil pindai X-Ray.
Dokumen itu juga berisi keluhan pasien, surat rujukan Badan Penyelenggara Jaminan Sosial (BPJS), laporan radiologi, hasil tes laboratorium, dan persetujuan untuk menjalani isolasi karena Covid-19.
Peretas mengklaim, data itu berasal dari server terpusat Kemenkes Indonesia pada 28 Desember 2021.
Oleh karena itu, Alfons menilai pengamanan data perlu secepatnya dilakukan. Pengelola data perlu mengantisipasi ransomware dengan backup data penting yang terpisah dari basis data (database) utama.
Bisa juga menggunakan Vaksin Protect yang dapat mengembalikan data sekalipun berhasil di enkripsi ransomware. “Tetapi lebih jauh lagi, data penting harus dilindungi dari aksi extortionware,” kata dia.
Aksi extortionware yakni peretas meminta korban atau pengelola data membayar atas data yang bocor. Jika tidak mau membayar, pelaku mengancam akan menyebarnya ke publik.
“Oleh karena itu, langkah antisipasi yang tepat harus dilakukan seperti mengenkripsi database sensitif di server, sehingga sekalipun berhasil diretas, tetap tidak akan bisa dibuka atau mengimplementasikan DLP Data Loss Prevention,” ujar dia.
Selain itu, pengelola data perlu segera memberi peringatan kepada pemilik yang mengalami kebocoran data. Dengan begitu, pasien atau pemilik data dapat menghindari potensi penipuan phising.