Dugaan Jutaan Data Pasien Bocor, Lampu Kuning Keamanan Siber Negara

Data di beberapa sistem pemerintah, seperti eHAC atau electronic-Health Alert Card atau anggota Polri diduga bocor. Yang terbaru, dugaan jutaan data pasien bocor akhir pekan lalu.

Ahli informasi dan teknologi (IT) mengatakan, perlu dilakukan forensik digital untuk mengetahui celah keamanan yang diterobos atas dugaan jutaan data pasien bocor. Walaupun pengunggah data di situs gelap RaidForums mengatakan, data itu berasal dari server Kementerian Kesehatan (Kemenkes).

“Apakah dari sisi Structured Query Language (SQL), sehingga diekspos SQL Injection atau ada celah keamanan lain,” kata Peneliti Keamanan Siber Communication Information System Security Research Center (CISSReC) Pratama Persadha kepada Katadata.co.id, akhir minggu lalu (7/1).

SQL adalah sistem manajemen basis data relasional (RDBMS) yang dirancang untuk aplikasi dengan arsitektur klien atau server.

Sedangkan celah keamanan lain yang dimaksud bisa seperti adanya compromised dari akun administrator yang berpotensi dimanfaatkan oleh peretas (hacker) untuk masuk ke dalam sistem.

“Merujuk pada kasus kebocoran data eHAC lalu, Kemenkes memang lemah dari sisi penjagaan infrastruktur IT. Ini membuka peluang kemungkinan banyak lubang keamanan yang dimanfaatkan oleh hacker,” kata dia.

Menurutnya, salah satu kekurangan yang cukup serius yakni tata kelola manajemen keamanan siber yang masih lemah. Dalam kasus eHAC Kemenkes, tim IT tidak merespons dua kali pelaporan kebocoran data.

Setelah laporan dilakukan ke Badan Siber dan Sandi Negara (BSSN), dalam waktu dua hari sistem eHAC di takedown. “Ini pun seharusnya bisa dilakukan langkah segera dalam hitungan jam,” katanya.

Setidaknya, ada sembilan kasus kebocoran data atau serangan siber ke sistem pemerintah maupun Badan Usaha Milik Negara (BUMN) sejak 2020, yakni:

1. Mei 2020, Komisi Pemilihan Umum (KPU) melaporkan kebocoran data jutaan daftar pemilih tetap (DPT). Informasi yang bocor berupa nama lengkap, nomor kartu keluarga, nomor induk kependudukan (NIK), tempat dan tanggal lahir, alamat rumah, serta beberapa data pribadi lainnya.
2. Mei 2020, pengguna Twitter Teguh Aprianto dengan nama akun @secgron menyampaikan, 1,3 juta data pegawai Kementerian Pendidikan dan Kebudayaan (Kemendikbud) bocor. Namun kementerian membantah hal ini.
3. Oktober 2020, situs DPR diretas.
4. Mei 2021, 279 juta data peserta BPJS Kesehatan diduga bocor. Ini berupa nama lengkap, tanggal lahir, NIK, email hingga nomor ponsel.
5. Agustus 2021, data eHAC di aplikasi versi lama diduga bocor.
6. September 2021, sertifikat vaksinasi milik Presiden Joko Widodo (Jokowi) beredar di media sosial. Penyebabnya diduga karena NIK presiden yang bocor.
7. Oktober 2021, situs Pusat Malware Nasional dari BSSN terkena peretasan dengan metode perusakan atau deface.
8. November 2021, hacker asal Brasil yang menyebut dirinya 'son1x' mengklaim telah membobol data Polri. 'son1x' mengaku sudah memiliki data pribadi dan rahasia para anggota Polri beserta orang-orang terdekat.
9. Januari 2022, jutaan data pasien di berbagai rumah sakit di server Kemenkes diduga bocor.

Secara keseluruhan, Kominfo telah menindak 43 kasus kebocoran data pribadi selama tahun lalu. Pelaku dari 19 di antaranya telah dikenai sanksi.

Pratama menilai, banyaknya lembaga pemerintah yang dibobol peretas, menunjukkan kesadaran atas keamanan siber yang rendah. Ini juga bisa dilihat dari anggaran dan tata manajemen yang mengelola sistem informasi.

Ia mencontohkan kasus eHAC, ketika tim Kemenkes tidak merespons dua kali laporan terkait kebocoran data.

Indonesia juga belum memiliki Undang-undang Pelindungan Data Pribadi (UU PDP). Jika regulasi ini tersedia, harapannya ada upaya peningkat sumber daya manusia (SDM), infrastruktur, dan tata kelola manajemen sistem informasi lebih baik lagi.

Pratama menilai, keamanan siber pemerintah sudah mengkhawatirkan. “Lebih dari sekadar lampu kuning. Sudah peringatan keras,” ujar Pratama. “Ini baru yang ketahuan. Yang tidak ketahuan, bisa lebih banyak.”

Akan tetapi, Fungsional Sandiman Muda Direktorat Keamanan Siber dan Sandi sektor Keuangan, Perdagangan, dan Pariwisata BSSN Mawidyanto Agustian mengatakan, peringkat Indonesia pada Global Cybersecurity Index (GCI) 2020 membaik dibandingkan 2018.

Pada 2020, Indonesia menempati peringkat 24 dari 182 negara. Pada 2018, Nusantara di urutan ke 41 dari 175 negara. GCI dirilis The International Telecommunication Union (ITU). Peringkat Indonesia di atas Vietnam, Swedia, Swiss, Polandia, dan Thailand.

Amerika Serikat (AS) berada di urutan pertama dengan skor 100. Disusul Inggris 99,54. Sedangkan Indonesia mendapatkan 94,88. Skor ini diperoleh berdasarkan perhitungan berbagai aspek, seperti hukum, teknikal, organisasi, hingga kerja sama.

"Jadi kondisi keamanan sumber Indonesia ini lebih baik. Kami benahi regulasi di sana, sini," kata Mawidyanto dalam konferensi pers virtual, akhir tahun lalu (28/10/2021).