Kemenkes Didesak Minta Maaf gegara 1,3 Juta Data e-Hac Bocor

02 Sep 2021, 19:08 WIB

Logo aplikasi Electronic Health Card Kementerian Kesehatan (Tangkapan layar Google Play)

Jakarta, IDN Times - Praktisi keamanan siber dari CISReC, Pratama D. Persadha mendesak agar Kementerian Kesehatan meminta maaf kepada publik usai bocornya 1,3 juta data pengguna Electronic Health Alert Card (e-HAC). Ia menilai respons Kemenkes yang mendorong warga berpindah ke aplikasi e-HAC baru tak bisa menghapus fakta bahwa sudah terjadi kebocoran data pribadi.

Meski disebut oleh Kemenkes sebagai data lama juga tak bisa dipungkiri data-data yang sudah bocor itu adalah data valid.

"Ada 1,3 juta data yang bocor itu kan tidak hanya valid tetapi juga lengkap. Mulai dari hasil tes COVID-19, data pribadi penumpang penerbangan hingga ke staf e-HAC. Kalau sampai data-data ini dimanfaatkan oleh orang-orang yang tidak bertanggung jawab, yang rugi siapa? Kan masyarakat lagi. Lalu, Kemenkes bisa apa, ya gak bisa ngapa-ngapain," ujar Pratama kepada media pada Kamis (2/9/2021).

Ia pun menambahkan 1,3 juta data yang bocor itu tidak bisa ditarik lagi. "Harusnya Kemenkes bijak meminta maaf lah ke masyarakat karena sistemnya gak kuat sehingga terjadi upaya peretasan atau kebocoran ini," katanya lagi.

Pernyataan serupa juga disampaikan oleh praktis keamanan siber lainnya dari PT Vaksincom, Alfons Tanujaya. Menurutnya, dengan mendorong warga agar berpindah menggunakan aplikasi e-HAC yang baru di PeduliLindungi tidak menyelesaikan masalah.

"Mungkin Kemenkes ingin menyampaikan bahwa perlindungan data di PeduliLindungi sudah lebih baik. Tetapi, tetap tak menutupi fakta waktu dulu saat belum diintegrasikan di PeduliLindungi, datanya bocor," ujar Alfons ketika dihubungi IDN Times pada 31 Agustus 2021 lalu.

Ia meminta agar Kemenkes tidak membuat pernyataan yang menyesatkan publik. Justru, harus ditelusuri apakah ada dampak dari kebocoran data tersebut.

Namun, Alfons menilai kebocoran data kali ini tergolong sangat fatal. Mengapa?

1. Vendor Kemenkes simpan data pengguna e-HAC di server hosting tanpa dienkripsi

Gedung Kementerian Kesehatan RI (Website/p2ptm.kemkes.go.id/

Menurut Alfons, peristiwa kebocoran data kali ini tergolong sangat ceroboh dan parah. Sebab, vendor yang dipekerjakan Kemenkes menyimpan data pengguna aplikasi e-HAC di server internet. Konsekuensinya, bila server itu bisa diretas, maka secara otomatis peretas bisa memperoleh dengan mudah mengambil data pengguna aplikasi e-HAC.

"Ini membuktikan data itu tidak dilindungi dengan baik bahkan dienkripsi," kata Alfons.

Bahkan, data yang terekspos hingga ke akun admin pengelola e-HAC. Ia kemudian merinci kesalahan fatal lainnya yang dilakukan oleh vendor yang dipekerjakan oleh Kemenkes.

"Pertama, menaruh data pribadi di server hosting saja sudah salah. Itu tidak boleh. Tetapi, ini malah ditaruh di sana dan tidak diberi perlindungan maksimal. Kalaupun ditaruh di sana (server hosting) harus dienkripsi. Itulah sebabnya bobolnya data kali ini kami katakan sangat parah," tutur dia lagi.

Ia menambahkan bisa saja data pengguna e-HAC yang sempat disimpan di server hosting itu sudah disalin pihak yang memiliki niat jahat. Ia mewanti-wanti besar kemungkinan 1,3 juta data itu sudah dicuri dan dijual di dark web seperti yang terjadi pada peristiwa data pengguna BPJS Kesehatan.

"Kami berharap masih belum ada yang menyalin data itu," kata dia.

Alfons mengatakan tim peneliti vpnMentor, Noam Rotem dan Ran Locar masih memiliki niat baik dengan menghubungi tim Kemenkes. Tetapi, notifikasi yang mereka sampaikan justru tak memperoleh tanggapan apa-apa dari Kemenkes.

2. Bocornya data e-HAC berpotensi membahayakan keselamatan masyarakat saat pandemik

Ilustrasi Hacker (IDN Times/Arief Rahmat)

Alfons juga mewanti-wanti kebocoran data kali ini sangat berdampak karena berpotensi membahayakan keselamatan warga. Bila data tersebut jatuh ke tangan pihak yang memiliki niat jahat, maka mereka bisa mengubah data hasil tes COVID-19 yang diunggah di aplikasi tersebut.

"Misalnya pihak tertentu itu iseng dan mengubah hasil tes COVID-19, seharusnya ia dinyatakan positif COVID-19 tetapi karena datanya bocor lalu diubah dan dinyatakan negatif COVID-19. Kan, orang ini bisa tetap berkeliaran, matilah kita," kata dia.

"Sebaliknya, kalau orang yang sebenarnya hasil tes COVID-19 negatif tetapi dinyatakan positif, maka dia kasihan. Aktivitasnya jadi terbatas dan gak bisa ke mana-mana," tuturnya.

Kemenkes yang mengelola data tersebut wajib melindungi dan memiliki standar tertentu terhadap perlindungan data. "Idealnya sebelum mereka diberikan pengelolaan data, institusi itu sudah melewati berbagai pelatihan dan ada sertifikasi," ujarnya.

Ia menyarankan pemerintah lebih serius dan memberikan prioritas lebih banyak terkait pengelolaan data publik. Alfons pun sepakat bila Undang-Undang Perlindungan Data Pribadi (PDP) harus secepatnya disahkan. Sebab, UU itu bisa menjerat pejabat yang mengelola data meski mereka tidak terlibat secara langsung.

"Karena adanya UU itu, para pejabat tadi jadi aware adanya ancaman (pembobolan data) karena mereka pun juga bisa terancam masuk penjara meski tanggung jawab penuh berada di bagian teknologi informasi (TI)," tutur dia.

Salah satu prioritas itu bisa ditunjukkan dengan menambahkan anggaran untuk bisa melindungi data identitas pribadi publik. Sedangkan, saat ini karena belum dinilai sebagai prioritas, maka anggarannya pun minim.

3. BSSN minta semua institusi pengelola data ikuti aturan soal perlindungan data

Juru Bicara Badan Siber dan Sandi Negara (BSSN) Anton Setiawan. (IDN Times/Sachril Agustin Berutu)

Sementara, juru bicara Badan Siber dan Sandi Negara (BSSN), Anton Setiawan mengatakan instansi tempatnya bekerja sudah membuat dua aturan untuk mencegah terjadinya kebocoran data pribadi. Aturan pertama yakni Peraturan BSSN nomor 8 tahun 2020 mengenai sistem keamanan informasi. Aturan kedua, yaitu Peraturan BSSN nomor 4 tahun 2021 terkait prosedur keamanan sistem pemerintahan berbasis elektronik.

"Tapi, panduan ini baru berguna bila diikuti. Ini kerja keras BSSN untuk semua kementerian. Meski kami merupakan institusi yang lahir paling bungsu," kata Anton kepada media pada hari ini.

Ia pun berharap dengan adanya peristiwa ini dan dorong dari komunitas keamanan siber dapat menyadarkan instansi pemerintah agar melakukan introspeksi diri. "Kemudian, mereka mulai memperkuat sistem keamanan pengelolaan datanya," ujar dia.