JAKARTA (RIAUPOS.CO) — Kementerian Komunikasi dan Informatika (Kominfo) mengkonfirmasi bahwa data peserta BPJS Kesehatan benar-benar bocor dan dijual di forum internet radiforum oleh akun Kotz sebagaimana pertama kali menjadi perbincangan publik pada Kamis (20/5) lalu.
Akun Kotz menawarkan 279 juta data penduduk Indonesia dengan tanggal posting 12 Mei 2021. Kotz juga menyediakan 1 juta data yang bisa diunduh gratis sebagai sampel.
Dari link yang di-download oleh tim Jawa Pos (JPG), data tersebut berbentuk excell yang memuat berbagai informasi seperti nama, nomor kepesertaan, nomor telepon dan lain sebagainya. Begitu kabar ini mencuat, Kominfo melakukan investigasi pada 20 Mei lalu. Namun baru pada 21 Mei kemarin Kominfo mengkonfirmasi bahwa data peserta BPJS Kesehatan Indonesia benar-benar bocor dan dimiliki oleh Kotz.
"Akun Kotz sendiri merupakan pembeli dan penjual data pribadi (reseller)," kata Jubir Kominfo Dedy Permadi.
Ia menyebut, data sampel yang ditemukan tidak berjumlah 1 juta seperti klaim penjual, namun berjumlah 100.002 data. Kominfo menemukan bahwa sampel data diduga kuat identik dengan data BPJS Kesehatan. Hal tersebut didasarkan pada data Noka (Nomor Kartu), Kode Kantor, Data Keluarga/Data Tanggungan, dan status pembayaran yang identik dengan data BPJS Kesehatan.
Dedy mengatakan pihaknya telah melakukan berbagai langkah antisipatif untuk mencegah penyebaran data lebih luas dengan mengajukan pemutusan akses terhadap tautan untuk mengunduh data pribadi tersebut.
Terdapat 3 tautan yang terindetifikasi yakni bayfiles.com, mega.nz, dan anonfiles.com.
Sampai saat ini tautan di bayfiles.com dan mega.nz telah dilakukan takedown, sedangkan anonfiles.com masih terus diupayakan untuk pemutusan akses segera. Dedy juga menyebut bahwa Kominfo hari itu juga melakukan pemanggilan terhadap Direksi BPJS Kesehatan sebagai pengelola data pribadi yang diduga bocor untuk proses investigasi secara lebih mendalam sesuai amanat PP 71 tahun 2019.
Indonesia sendiri belum memiliki aturan soal perlindungan data pribadi karena draf RUU Perlindungan Data Pribadi (PDP) mangkrak di DPR. Hanya ada aturan PP 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PP PSTE) dan Peraturan Menkominfo No. 20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik.
Dalam aturan tersebut, PSE atau Penyelenggara Sistem Elektronik yang sistem elektroniknya mengalami gangguan serius akibat kegagalan perlindungan data pribadi wajib untuk melaporkan dalam kesempatan pertama kepada Kementerian Kominfo dan pihak berwenang lain.
Selain itu, PSE juga wajib untuk menyampaikan pemberitahuan secara tertulis kepada pemilik data pribadi, dalam hal diketahui bahwa terjadi kegagalan perlindungan data pribadi. Sementara itu BPJS Kesehatan masih melakukan klarifikasi atas kebocoran data pesertanya.
"Masih diselidiki," kata Kepala Humas BPJS Kesehatan M Iqbal Anas Ma’ruf, kemarin (21/5) ketika dihubungi JPG. Dia menyatakan bahwa lembaganya mengerahkan tim khusus untuk menyelidiki kasus ini. Tim tersebut merupakan tim internal BPJS Kesehatan. Belum melibatkan kepolisian.
"Penelusuran lebih lanjut ini untuk memastikan apakah data tersebut dari BPJS Kesehatan atau bukan," ujarnya.
Dalam indormasi yang beredar, disebutkan bahwa ada 279 juta data peserta yang terindikasi bocor. Sementara sampai dengan Mei 2021, jumlah peserta BPJS Kesehatan adalah 222,4 juta jiwa.
Dia menegaskan bahwa BPJS Kesehatan konsisten memastikan keamanan data peserta. Server yang dimiliki disimpan dalam big data yang kompleks. Selain itu BPJS Kesehatan mengklaim memiliki sistem pengamanan data yang ketat dan berlapis sebagai upaya menjamin kerahasiaan data tersebut.
"Di samping itu kami berkoordinasi dengan pihak terkait untuk memberikan perlindungan data yang lebih maksimal," tuturnya.
Sementara, terkait pemanggilan Direksi BPJS Kesehatan ke Kominfo, Iqbal menyatakan belum mendapatkan informasi. Polri memastikan telah turun tangan menyelidiki dugaan kebocoran data kependudukan. Kadivhumas Polri Irjen Argo Yuwono memastikan bahwa Polri telah melakukan pengecekan soal kasus kebocoran data tersebut.
"Dicek data kependudukan mana," terangnya.
Argo memastikan bahwa Polri telah mengetahui adanya kebocoran data yang awalnya sempat disebut dari BPJS Kesehatan. Namun, kemudian telah diklarifikasi oleh BPJS Kesehatan. "Ok sudah itu," terangnya kepada JPG.
Sementara Kanit II Subdit II Direktorat Tindak Pidana Siber (Dittipid Siber) Bareskrim AKBP Idam Wasiadi menjelaskan, kasus kebocoran data ini akan ditangani dan pelakunya ditangkap. Agar kasus semacam ini tidak terulang, ini salah satu contoh kejahatan siber murni.
"Tidak akan dibiarkan," paparnya.
Kasus kebocoran data kependudukan semacam ini, lanjutnya, tidak perlu menunggu laporan. Dittipid Siber akan pro aktif dalam menangani kasus, mencari siapa dalang yang melakukan pencurian data.
"Semua ini perlu penyidik yang andal," paparnya.
Kasus kebocoran data ini akan sangat bergantung siapa penyidik yang menangani. Sebab, berbeda kesulitannya dengan kasus pencemaran nama baik dan hoaks.
"Kalau pencemaran nama baik itu orangnya kerap kali sudah jelas," ujarnya.
Berbeda dengan kasus kebocoran data penduduk, yang orangnya menggunakan akun anonymous dan pembayarannya menggunakan cryptocurrency, seperti bitcoin dan lainnya. Penggunaan bitcoin sebagai pembayaran jelas untuk mempersulit pelacakan.
"Iya lebih sulit dari pembayaran biasa," terangnya.
Forum-forum internet sejenis raidforum dikenal sebagai pusat jual beli data ilegal. Forum-forum seperti ini bahkan belum lagi berada di wilayah dark web atau internet dalam (deepweb). Artinya forum-forum tersebut masih bisa diakses dengan jaringan internet publik maupun mesin pencari biasa.
"Tapi rata-rata penggiat forumnya memang peselancar dark web. Karena customer mereka tidak semuanya bisa mengakses dark web," jelas Chairman Lembaga Riset Siber Indonesia Communication and Information System Security Research Center (CISSSRec) Pratama Persadha.
Beberapa forum besar sebut saja crackingmount, sinister, cracking portal. Namun di antara para forum tersebut, raidforum memang salah satu yang paling terkenal. Dalam forum-forum tersebut, beberapa akun biasanya akan mengumumkan bahwa mereka memiliki sejumlah besar data yang bisa dibeli dengan harga tertentu. Proses pembayaran dilakukan dengan alat pembayaran (currency) khusus atau dengan alat pembayaran online lainnya. "Dan harganya sebenarnya nggak terlalu mahal," jelasnya.
Pratama menyebut bahwa Kotz adalah salah satu contoh akun yang telah memperoleh sejumlah besar data dan menawarkannya di dalam raidforum. Para pelanggan sebelum membeli tetap akan mempertimbangkan banyak hal. Seperti kredibiltas akun penjual, rating, serta masa membership sebelum membeli data atau informasi-informasi lain yang dijual.
Para penjual data tersebut kata Pratama biasanya menampilkan link untuk mengunduh sebagian kecil data dari klaster yang dijual sebagai ‘tester’ atau sample untuk meyakinkan para pembeli. Dari informasi yang dihimpun JPG, jika ada satu anggota forum yang tertarik membeli data tersebut, maka transaksi akan dilanjutkan pada komunikasi yang lebih rahasia. Biasanya melalui platform telegram. Dalam komunikasi tersebut, dibahas soal harga dan delivery data.
Namun menurut Pakar Digital Forensik Ruby Alamsyah, raidforum masih bisa dikatakan forum bagi kalangan awam.
"Masih banyak data-data yang jauh lebih sensitif di deep web dan dark web. Misalnya data-data penegakan hukum, intel dan data-data negara," jelasnya.
Baik Pratama maupun Ruby sepakat bahwa hal yang paling penting dimiliki untuk mencegah kebocoran data-data ini adalah segera disahkannya Rancangan Undang Undang (RUU) Tentang Perlindungan Data Pribadi (PDP). Adanya regulasi akan membuat para pemilik platform, penyelenggaraan sistem elektronik, maupun semua lembaga dan instansi yang memegang dan mengumpulkan data-data pribadi masyarakat lebih tercambuk untuk mengamankan data-data tersebut di bawah ancaman sanksi.
Ruby menyebut tanpa adanya regulasi, dalam 3 tahun terakhir saja, 2 unicorn besar pemegang data pelanggan Bukalapak dan Tokopedia bobol. Kemudian ada juga kebobolan jutaan data pemilih di KPU. Regulasi yang ada hari ini hanya menyebut jika pemilik platform mengalami kebocoran data, maka Kominfo akan menjadi mediator antara platform dan korban. Tidak ada sanksi yang jelas. "Ya, akhirnya cuma mediasi dan kekeluargaan saja," katanya.
Senada, menurut Pratama sejauh ini jika ada kasus kebocoran data, pemilik platform pengumpul data hanya bersikap seolah sebagai korban. Padahal seharusnya, jika terjadi kebocoran, merekalah yang harus bertanggung jawab. Dengan adanya RUU PDP dan sanksi tegas, maka platform tidak akan main-main lagi soal keamanan data.