Semarang (ANTARA) - Indonesia hingga sekarang belum memiliki Undang-Undang tentang Perlindungan Data Pribadi (UU PDP) dan UU Ketahanan Keamanan Siber, padahal peraturan perundang-undangan ini urgen di tengah kebocoran data pribadi yang kian marak.

Setidaknya, keberadaan UU PDP mendorong penyelenggara sistem dan transaksi elektronik (PSTE) negara maupun swasta memprioritaskan keamanan siber dengan melakukan penetration test (uji penetrasi) secara berkala, paling tidak sebulan sekali.

Atas kesadaran bahwa tidak ada sistem yang sempurna dan aman 100 persen, perlu ada unsur memaksa PSTE untuk memenuhi standar minimal keamanan siber sehingga memperkecil kemungkinan terjadinya data breach (pelanggaran data) maupun peretasan.

Apa yang dikemukakan pakar keamanan siber dan komunikasi Dr. Pratama Persadha itu terbukti. Belakangan ini publik kembali menerima kabar kebocoran data pribadi. Sebanyak 1.000.000 data pribadi yang kemungkinan adalah data dari Badan Penyelengara Jaminan Sosial (BPJS) Kesehatan diunggah (upload) di internet.

Akun bernama Kotz memberikan akses download (unduh) secara gratis untuk file sebesar 240 megabit (Mb) yang berisi 1.000.000 data pribadi masyarakat Indonesia.

File tersebut dibagikan sejak 12 Mei 2021. Bahkan, dalam sepekan ini ramai menjadi perhatian publik. Akun tersebut mengklaim mempunyai lebih dari 270 juta data lainnya yang dijual seharga 6.000 dolar Amerika Serikat.

Dugaan kebocoran data tersebut juga mendapat respons dari sejumlah kalangan, termasuk lembaga riset siber Communication and Information System Security Research Center (CISSReC).

Ketua Lembaga Riset Keamanan Siber dan Komunikasi CISSReC Pratama Persadha lantas menyarankan agar BPJS Kesehatan segera melakukan audit forensik digital terkait dengan dugaan kebocoran tersebut.

Dalam melakukan audit forensik digital, sebaiknya badan hukum publik itu bekerja sama dengan Badan Siber dan Sandi Negara (BSSN) untuk mengetahui lubang-lubang keamanan mana saja yang ada.

Kebocoran data pribadi itu ada dugaan berasal dari BPJS Kesehatan setelah peneliti CISSReC mengecek sampel data sebesar 240 Mb.

Data tersebut berisi nomor identitas kependudukan (NIK), nomor handphone, alamat, alamat email, nomor pokok wajib pajak (NPWP), tempat tanggal lahir, jenis kelamin, jumlah tanggungan, dan data pribadi lainnya. Bahkan, si penyebar data mengklaim ada 20 juta data yang berisi foto.

Dalam file yang di-download tersebut ada data NOKA atau nomor kartu BPJS Kesehatan. Akun Kotz mengklaim mempunyai data file sebanyak 272.788.202 juta jiwa penduduk. Padahal, menurut Pratama, jumlah peserta BPJS Kesehatan tidak sebanyak itu.

Terkait dengan data tersebut, pihak BPJS Kesehatan pada Jumat (21/5) malam, sebagaimana diwartakan ANTARA, menyebut jumlah peserta BPJS Kesehatan sampai Mei 2021 yang tercatat secara resmi berjumlah 222,4 juta jiwa.

Komentar Warganet

Sebelumnya, kabar terkait dengan kebocoran data peserta BPJS Kesehatan beredar melalui sejumlah akun media sosial Twitter, di antaranya yang dipantau melalui akun @ndagels dan @Br_AM.

Pada akun tersebut diunggah tangkapan layar berisi percakapan oknum yang menjual sekitar 290 juta data penduduk Indonesia yang bersumber dari data situs BPJS Kesehatan.

Komponen yang dijual berupa nama lengkap, nomor induk kependudukan (NIK), nomor telepon, alamat, email, tanggungan, dan lainnya.

Bahkan, ada sebagian warganet (netizen) yang mengecek sampel data yang ditawarkan dan mengklaim bahwa semua komponen sesuai.

Netizen juga mengomentari argumentasi BPJS Kesehatan terkait dengan selisih data peserta yang bocor lebih banyak daripada data yang sebenarnya tercatat di BPJS Kesehatan.

"Argumentasi BPJS Kesehatan datanya gak sampe (enggak sampai) 290 juta, tapi 'kan ada juga data peserta yang sudah meninggal. Makanya, bisa sampe 290 juta," komentar netizen.

Peneliti CISSReC juga mengecek nomor BPJS Kesehatan yang ada di file. Ketika dicek secara daring (online), ternyata datanya benar sama dengan nama yang ada di file. Kemungkinan besar data tersebut berasal dari BPJS Kesehatan.

Setelah ramai di media sosial dan pemberitaan soal kebocoran data tersebut, BPJS Kesehatan memberi pernyataan tertulis kepada ANTARA, Jumat (21/5) malam.

Badan hukum publik itu, kata Kepala Humas BPJS Kesehatan M. Iqbal Anas Ma'ruf, telah mengerahkan tim khusus untuk melacak dan menemukan sumber terkait dengan kabar kebocoran data pribadi tersebut.

Saat ini pihaknya sedang menelusuri lebih lanjut guna memastikan apakah data tersebut berasal dari BPJS Kesehatan atau bukan.

Pihaknya konsisten memastikan keamanan data peserta BPJS Kesehatan. Upaya perlindungan data tersebut menggunakan big data kompleks yang tersimpan di server BPJS Kesehatan.

BPJS Kesehatan memiliki sistem pengamanan data yang ketat dan berlapis sebagai upaya menjamin kerahasiaan data tersebut, termasuk di dalamnya data peserta Jaminan Kesehatan Nasional dan Kartu Indonesia Sehat (JKN-KIS).

Bahkan, secara rutin melakukan koordinasi dengan pihak-pihak terkait untuk memberikan perlindungan data yang lebih maksimal.

Serangan Rekayasa Sosial

Data dari file yang bocor, kata Pratama yang pernah sebagai pejabat Lembaga Sandi Negara (Lemsaneg) yang kini menjadi BSSN, dapat digunakan oleh pelaku kejahatan, misalnya phishing (pengelabuan) yang ditargetkan atau jenis serangan rekayasa sosial (social engineering).

Sangatlah berbahaya bila benar data ini bocor dari BPJS Kesehatan. Apalagi, datanya valid dan bisa digunakan sebagai bahan baku kejahatan digital, terutama kejahatan perbankan.

Dari data tersebut, pelaku kejahatan bisa menggunakannya untuk membuat kartu tanda penduduk (KTP) palsu, kemudian menjebol rekening korban. Ditambah lagi, dalam file yang diunduh (download) tersebut, terdapat data nomor kartu BPJS Kesehatan.

Walaupun di dalam file tidak ditemukan data yang sangat sensitif, seperti detail kartu kredit, menurut Pratama, bagi penjahat dunia maya sudah cukup untuk menyebabkan kerusakan dan ancaman nyata.

Pelaku kejahatan dapat menggabungkan informasi yang ditemukan dalam file comma separated values (CSV) yang bocor dengan pelanggaran data lain untuk membuat profil terperinci dari calon korban mereka, seperti data dari kebocoran Tokopedia, Bhinneka, dan Bukalapak.

Dengan informasi seperti itu, menurut Pratama, pelaku kejahatan dapat melakukan serangan phishing dan social engineering yang jauh lebih meyakinkan bagi para korbannya.

Yang jelas tidak ada sistem yang 100 persen aman dari ancaman peretasan maupun bentuk serangan siber lainnya. Karena sadar akan hal tersebut, perlu dibuat sistem yang terbaik dan dijalankan oleh orang-orang terbaik dan berkompeten agar selalu bisa melakukan pengamanan dengan standar yang tinggi.

Baca juga: BPJS Kesehatan kerahkan tim khusus lacak kabar kebocoran data peserta
Baca juga: Sampel data bocor diduga identik dengan data BPJS Kesehatan
Baca juga: F-PAN usulkan panggil BPJS Kesehataan terkait dugaan kebocoran data