Ahli IT Ungkap Kans Celah Jutaan Data Pasien Bocor di Server Kemenkes
Kementerian Komunikasi dan Informatika (Kominfo) masih menyelidiki dugaan jutaan data pasien bocor di server Kementerian Kesehatan (Kemenkes). Ahli informasi dan teknologi (IT) mengatakan, perlu dilakukan forensik digital untuk mengetahui celah keamanan yang diterobos.
“Apakah dari sisi Structured Query Language (SQL), sehingga diekspos SQL Injection atau ada celah keamanan lain,” kata Peneliti Keamanan Siber Communication Information System Security Research Center (CISSReC) Pratama Persadha kepada Katadata.co.id, Jumat (7/1).
SQL adalah sistem manajemen basis data relasional (RDBMS) yang dirancang untuk aplikasi dengan arsitektur klien atau server.
Sedangkan celah keamanan lain yang dimaksud bisa seperti adanya compromised dari akun administrator yang berpotensi dimanfaatkan oleh peretas (hacker) untuk masuk ke dalam sistem.
“Merujuk pada kasus kebocoran Indonesian Health Alert Card atau eHAC lalu, Kemenkes memang lemah dari sisi penjagaan infrastruktur IT. Ini membuka peluang kemungkinan banyak lubang keamanan yang dimanfaatkan oleh hacker,” kata dia.
Menurutnya, salah satu kekurangan yang cukup serius yakni tata kelola manajemen keamanan siber yang masih lemah. Dalam kasus eHAC Kemenkes, tim IT tidak merespons dua kali pelaporan kebocoran data.
Setelah laporan dilakukan ke Badan Siber dan Sandi Negara (BSSN), dalam waktu dua hari sistem eHAC di takedown. “Ini pun seharusnya bisa dilakukan langkah segera dalam hitungan jam,” katanya.
Sebelumnya, beredar tautan dokumen yang diklaim sebagai informasi medis pasien Indonesia di media sosial. Total datanya 720 Gigabyte (GB).
Pengunggah memberi sampel data enam juta data pasien bocor berisi nama lengkap, rumah sakit, foto pasien, hasil tes Covid-19 dan hasil pindai X-Ray.
Dokumen itu juga berisi keluhan pasien, surat rujukan Badan Penyelenggara Jaminan Sosial (BPJS), laporan radiologi, hasil tes laboratorium, dan persetujuan untuk menjalani isolasi karena Covid-19.
Peretas mengklaim, data itu berasal dari server terpusat Kemenkes Indonesia pada 28 Desember 2021.
Juru bicara Kementerian Kominfo Dedy Permadi menyampaikan, Menteri Kominfo Johnny G Plate telah memerintahkan jajaran terkait untuk berkomunikasi secara intensif dengan Kemenkes.
Kemudian, “memulai proses penelusuran lebih lanjut sesuai peraturan perundang-undangan yang berlaku,” kata Dedy kepada Katadata.co.id, Kamis sore (6/1).
Ia menyampaikan, Kemenkes juga tengah melakukan langkah-langkah internal dalam merespons dugaan kebocoran tersebut. Kementerian pun berkoordinasi dengan BSSN.
Kementerian Kominfo meminta seluruh penyelenggara sistem elektronik (PSE) baik publik maupun privat yang mengelola data pribadi, untuk secara serius memerhatikan kelayakan dan keandalan pemrosesan informasi, baik dari aspek teknologi, tata kelola, dan sumber daya manusia (SDM).
Chief Digital Transformation Officer Kemenkes Setiaji pun menyampaikan, kementerian sedang menelusuri dugaan data pasien yang berada di server mereka bocor. "Kami sedang melakukan 'assessment' permasalahan yang terjadi dan mengevaluasi sistem," katanya, dikutip dari Antara.
