Thursday, March 28, 2024
27.7 C
Jayapura

Data Peserta BPJS Benar-Benar Bocor

JAKARTA, Jawa Pos—Kementerian Komunikasi dan Informatika (Kominfo) mengkonfirmasi bahwa data peserta BPJS Kesehatan benar-benar bocor dan dijual di forum internet radiforum oleh akun Kotz sebagaimana pertama kali menjadi perbincangan publik pada Kamis, 20 Mei lalu. 

Akun Kotz menawarkan 279 juta data penduduk Indonesia dengan tanggal posting 12 Mei 2021. Kotz juga menyediakan 1 juta data yang bisa diunduh gratis sebagai “sample”. Dari link yang di download oleh tim Jawa Pos, data tersebut berbentuk excell yang memuat berbagai informasi seperti nama, nomor kepesertaan, nomor telepon dan lain sebagainya.

Begitu kabar ini mencuat, Kominfo melakukan investigasi pada 20 Mei lalu. Namun baru pada 21 Mei kemarin, Kominfo mengkonfirmasi bahwa data peserta BPJS Kesehatan Indonesia benar-benar bocor dan dimiliki oleh Kotz. ”Akun Kotz sendiri merupakan pembeli dan penjual data pribadi (reseller),” kata Jubir Kominfo Dedy Permadi.  

Ia menyebut, data sampel yang ditemukan tidak berjumlah 1 juta seperti klaim penjual, namun berjumlah 100.002 data. Kominfo menemukan bahwa sampel data diduga kuat identik dengan data BPJS Kesehatan. Hal tersebut didasarkan pada data Noka (Nomor Kartu), Kode Kantor, Data Keluarga/Data Tanggungan, dan status Pembayaran yang identik dengan data BPJS Kesehatan. 

Dedy mengatakan pihaknya telah melakukan berbagai langkah antisipatif untuk mencegah penyebaran data lebih luas dengan mengajukan pemutusan akses terhadap tautan untuk mengunduh data pribadi tersebut. 

Terdapat 3 tautan yang terindetifikasi yakni bayfiles.com, mega.nz, dan anonfiles.com. Sampai saat ini tautan di bayfiles.com dan mega.nz telah dilakukan takedown, sedangkan anonfiles.com masih terus diupayakan untuk pemutusan akses segera.

Dedy juga menyebut bahwa Kominfo hari itu juga melakukan pemanggilan terhadap Direksi BPJS Kesehatan sebagai pengelola data pribadi yang diduga bocor untuk proses investigasi secara lebih mendalam sesuai amanat PP 71 tahun 2019.

Indonesia sendiri belum memiliki aturan soal perlindungan data pribadi karena draf RUU Perlindungan Data Pribadi (PDP) mangkrak di DPR. Hanya ada aturan PP 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PP PSTE) dan Peraturan Menkominfo No. 20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik. 

Dalam aturan tersebut, PSE  atau Penyelenggara Sistem Elektronik yang sistem elektroniknya mengalami gangguan serius akibat kegagalan perlindungan data pribadi wajib untuk melaporkan dalam kesempatan pertama kepada Kementerian Kominfo dan pihak berwenang lain. 

Selain itu, PSE juga wajib untuk menyampaikan pemberitahuan secara tertulis kepada pemilik data pribadi, dalam hal diketahui bahwa terjadi kegagalan perlindungan data pribadi.

Sementara itu BPJS Kesehatan masih melakukan klarifikasi atas kebocoran data pesertanya. “Masih diselidiki,” kata Kepala Humas BPJS Kesehatan M Iqbal Anas Ma’ruf kemarin (21/5) ketika dihubungi Jawa Pos. Dia menyatakan bahwa lembaganya mengerahkan tim khusus untuk menyelidiki kasus ini. 

Tim tersebut merupakan tim internal BPJS Kesehatan. Belum melibatkan Kepolisian. “Penelusuran lebih lanjut ini untuk memastikan apakah data tersebut dari BPJS Kesehatan atau bukan,” ujarnya.  

Dalam indormasi yang beredar, disebutkan bahwa ada 279 juta data peserta yang terindikasi bocor. Sementara sampai dengan Mei 2021, jumlah peserta BPJS Kesehatan adalah 222,4 juta jiwa.

Dia menegaskan bahwa BPJS Kesehatan konsisten memastikan keamanan data peserta. Server yang dimiliki disimpan dalam big data yang kompleks. Selain itu BPJS Kesehatan mengklaim memiliki sistem pengamanan data yang ketat dan berlapis sebagai uoaya menjamin kerahasiaan data tersebut. “Disamping itu kami berkoordonasi dengan pihak terkait u tuk memberikan perlindungan data yang lebih maksimal,” tuturnya. 

Sementara, terkait pemanggilan Direksi BPJS Kesehatan ke Kominfo, Iqbal menyatakan belum mendapatkan informasi. 

Polri memastikan telah turun tangan menyelidiki dugaan kebocoran data kependudukan. Kadivhumas Polri Irjen Argo Yuwono memastikan bahwa Polri telah melakukan pengecekan soal kasus kebocoran data tersebut. ”Dicek data kependudukan mana,” terangnya. 

Argo memastikan bahwa Polri telah mengetahui adanya kebocoran data yang awalnya sempat disebut dari BPJS Kesehatan. Namun, kemudian telah diklarifikasi oleh BPJS Kesehatan. ”Ok sudah itu,” terangnya kepada Jawa Pos. 

Sementara Kanit II Subdit II Direktorat Tindak Pidana Siber (Dittipid Siber) Bareskrim AKBP Idam Wasiadi menjelaskan, kasus kebocoran data ini akan ditangani dan pelakunya ditangkap. Agar kasus semacam ini tidak terulang, ini salah satu contoh kejahatan siber murni. ”Tidak akan dibiarkan,” paparnya. 

Kasus kebocoran data kependudukan semacam ini, lanjutnya, tidak perlu menunggu laporan. Dittipid Siber akan pro aktif dalam menangani kasus, mencari siapa dalang yang melakukan pencurian data. ”Semua ini perlu penyidik yang handal,” paparnya. 

Baca Juga :  Jalan Raya Alternatif Makan Korban

Kasus kebocoran data ini akan sangat bergantung siapa penyidik yang menangani. Sebab, berbeda kesulitannya dengan kasus pencemaran nama baik dan hoax. ”Kalau pencemaran nama baik itu orangnya kerap kali sudah jelas,” ujarnya. 

Berbeda dengan kasus kebocoran data penduduk, yang orangnya menggunakan akun anonymous dan pembayarannya menggunakan cryptocurrency, seperti bitcoin dan lainnya. Penggunaan bitcoin sebagai pembayaran jelas untuk mempersulit pelacakan. ”Iya lebih sulit dari pembayaran biasa,” terangnya. 

Forum-forum internet sejenis raidforum dikenal sebagai pusat jual beli data iilegal. Forum-forum seperti ini bahkan belum lagi berada di wilayah dark web atau internet dalam (deepweb). Artinya forum-forum tersebut masih bisa diakses dengan jaringan internet publik maupun mesin pencari biasa. 

“Tapi rata-rata penggiat forum nya memang peselancar dark web. Karena customer mereka tidak semuanya bisa mengakses Dark Web,” jelas Chairman Lembaga Riset Siber Indonesia Communication and Information System Security Research Center (CISSSRec) Pratama Persadha. 

Beberapa forum besar sebut saja crackingmount, sinister, cracking portal. Namun diantara para forum tersebut, raidforum memang salah satu yang paling terkenal. 

Dalam forum-forum tersebut, beberapa akun biasanya akan mengumumkan bahwa mereka memiliki sejumlah besar data yang bisa dibeli dengan harga tertentu. Proses pembayaran dilakukan dengan alat pembayaran (currency) khusus atau dengan alat pembayaran online lainnya. “Dan harganya sebenarnya nggak terlalu mahal,”  jelasnya. 

Pratama menyebut bahwa Kotz adalah salah satu contoh akun yang telah memperoleh sejumlah besar data dan menawarkannya di dalam raidforum. Para pelanggan sebelum membeli tetap akan mempertimbangkan banyak hal. Seperti kredibiltas akun penjual, rating, serta masa membership sebelum membeli data atau informasi-informasi lain yang dijual.   

Para penjual data tersebut kata Pratama biasanya menampilkan link untuk mengunduh sebagian kecil data dari klaster yang dijual sebagai ‘tester’ atau sample untuk meyakinkan para pembeli. 

Dari informasi yang dihimpun Jawa Pos, jika ada satu anggota forum yang tertarik membeli data tersebut, maka transaksi akan dilanjutkan pada komunikasi yang lebih rahasia. Biasanya melalui platform telegram. Dalam komunikasi tersebut, dibahas soal harga dan delivery data. 

Namun menurut Pakar Digital Forensik Ruby Alamsyah, Raidforum masih bisa dikatakan forum bagi kalangan awam. “Masih banyak data-data yang jauh lebih sensitif di deep web dan dark web. Misalnya data-data penegakan hukum, intel dan data-data negara,” jelasnya. 

Baik Pratama maupun Ruby sepakat bahwa hal yang paling penting dimiliki untuk mencegah kebocoran data-data ini adalah segera disahkannya Rancangan Undang Undang (RUU) Tentang Perlindungan Data Pribadi (PDP). 

Adanya regulasi akan membuat para pemilik platform, penyelenggaran sistem elektronik, maupun semua lembaga dan instansi yang memegang dan mengumpulkan data-data pribadi masyarakat lebih tercambuk untuk mengamankan data-data tersebut dibawah ancaman sanksi. 

Ruby menyebut tanpa adanya regulasi, dalam 3 tahun terakhir saja, 2 unicorn besar pemegang data pelanggan Bukalapak dan Tokopedia bobol. Kemudian ada juga kebobolan jutaan data pemilih di KPU. 

Regulasi yang ada hari ini hanya menyebut jika pemilik platform mengalami kebocoran data, maka Kominfo akan menjadi mediator antara platform dan korban. Tidak ada sanksi yang jelas. “Ya akhirnya cuma mediasi dan kekeluargaan saja,” katanya. 

Senada, menurut Pratama sejauh ini jika ada kasus kebocoran data, pemilik platform pengumpul data hanya bersikap seolah sebagai korban. Padahal seharusnya, jika terjadi kebocoran, merekalah yang harus bertanggung jawab. Dengan adanya RUU PDP dan sanksi tegas, maka platform tidak akan main-main lagi soal kemanana data. “Anda sudah diberi kewenangan memegang sekian banyak data masyarakat, ya anda harus tanggung jawab,” jelas Pratama. 

Kondisi tanpa aturan PDP ini kata Pratama bakal banyak menimbulkan korban. Selain memberikan banyak info valid ribuan calon korban baru, Para penipu akan semakin mudah meyakinkan calon korbannya jika ia memiliki berbagai nomor otentikasi. Bocornya data nomor telepon juga bisa digunakan untuk mengakses berbagai layanan online yang menggunakan autentikasi nomor telepon. “Akan banyak masyarakat yang tertipun pinjaman online lah, iuran, belum lagi pembayaran seperti GoPay misalnya,” katanya.  

Parlemen pun mendesak agar pemerintah segera mengambil langkah tegas bagi pelaku serta menjamin data pribadi penduduk ke depannya aman dengan instrumen hukum yang jelas.

Baca Juga :  Kembali ke Jalur Kemenangan

Bocornya data tersebut diakui memang terjadi oleh pihak Direktorat Jenderal Kependudukan dan Catatan Sipil (Ditjen Dukcapil) Kementerian Dalam Negeri. Tetapi, data-data yang beredar ini bukan berasal dari database Dukcapil. Hal itu ditegaskan oleh Dirjen Dukcapil Kemendagri Zudan Arif Fakrulloh. 

Pihaknya langsung mengecek kebenaran data tersebut dan melacak asal-muasalnya. Berdasarkan hasil impor data yang dilakukan tim penelusuran Ditjen Dukcapil, mereka memperoleh struktur data yang berbeda dengan struktur data Dukcapil. Sebab, ada data mengenai e-mail, NPWP, dan nomor seluler seperti yang tercantum dalam file data yang dimaksud.

“Yang bersangkutan memberikan link sampel data indivisu yang bisa didownload sebagai sampel data. Data berbentuk file comma separated value (CSV) dan setelah diimpor, berjumlah satu juta rows,” jelas Dirjen Dukcapil Zudan Arif Fakrulloh melalui pesan singkat kepada Jawa Pos Kamis malam (20/5). 

Dia menambahkan, kolom yang tercantum meliputi nama, nomor KTP, jenis kelamin, agama, tempat tanggal lahir, tanggungan, NIK, nomor seluler, e-mail, hubungan keluarga, status kawin, golongan darah, hingga status peserta. “Saya memastikan itu bukan data yang bersumber dari Dukcapil. Data di Dukcapil tidak seperti itu. Tidak ada tanggungan, e-mail, NPWP, nomor HP, TMT, TAT,” lanjut Zudan.

Melihat kolom yang tercantum itu, diduga bahwa data tersebut berasal dari BPJS Kesehatan. Hal ini disampaikan oleh Anggota Komisi I DPR Sukamta. Dia menyebutkan, sudah sangat sering kebocoran data terjadi di Indonesia. Baik itu di ranah swasta seperti marketplace, hingga instansi publik seperti boconya data pasien Covid-19. 

“Dugaan yang terbaru data BPJS Kesehatan. Demikian lemahnya ketahanan siber kita meskipun BJPS (Kesehatan) selalu maintenance agar keamanan data peserta terjamin kerahasiaannya,” jelas Sukamta kepada Jawa Pos Jumat (21/5). Apalagi, lanjut dia, jumlah 279 juta orang itu termasuk data peserta yang sudah meninggal. 

Dia mendesak pemerintah menginvestigasi segera untuk melacak bagaimana situs BPJS Kesehatan maupun sumber data lain bisa diretas. Harus ada langkah mitigasi mulai sekarang dan bagaimana menghentikan penyebaran data yang sudah telanjur bocor. Salah satunya dengan menuntaskan pembahasan RUU Perlindungan Data Pribadi.

RUU itu kini masih dalam tahap pembahasan di Komisi I bersama Kementerian Komunikasi dan Informatika (Kemkominfo). Namun, pembahasan masih stagnan karena perbedaan pandangan dalam bentuk otoritas perlindungan data pribadi. “Kasus dugaan bocornya data BPJS Kesehatan ini menjadi tamparan bagi kita semua, bahwa bentuk otoritas yang paling tepat adalah lembaga independen. Bab ini harus segera ketemu kesepakatannya agar upaya melindungi data pribadi bisa segera memiliki payung hukum yang kuat,” tegas politisi PKS tersebut.

Ketua MPR RI Bambang Soesatyo pun mendesak Kementerian Komunikasi dan Informatika, bersama perangkat Polri, seperti Bareskrim dan Direktorat Tindak Pidana Siber, serta Badan Siber dan Sandi Negara untuk menginvestigasi secara tuntas dugaan kebocoran data 279 juta penduduk Indonesia.

Menurut Bamsoet, sapaan Bambang Soesatyo, kebocoran data bukan persoalan main-main, bukan juga persoalan kecil, tapi masalah sangat serius. Karena di era teknologi informasi saat ini, data merupakan kekayaan nasional yang patut dijaga. Kedaulatan terhadap data menunjukan kedaulatan sebuah bangsa. “Bahkan Presiden Joko Widodo menegaskan, data adalah new oil, bahkan lebih berharga dari minyak,” ujar Bamsoet.

Mantan Ketua DPR RI itu menjelaskan, selain ada kepentingan ekonomi yang tidak proper, kebocoran data tersebut juga menyangkut keamanan privacy warga negara Indonesia. Sekaligus menunjukan perangkat hukum cyber security yang tidak kuat.

Selain kejadian tersebut, tren kejahatan siber juga semakin meningkat. Berdasarkan laporan kepolisian hingga November 2020,  setidaknya ada 4.250 laporan kejahatan siber. Pada 2019, jumlahnya bahkan mencapai 4.586 laporan, dan pada 2018 sekitar 4.360 laporan.

Ketua Umum Ikatan Motor Indonesia (IMI) itu menerangkan, selain kebocoran data, kejahatan siber juga memiliki ragam jenis. Antara lain penipuan daring, penyebaran konten provokatif, pornografi, akses perjudian, pemerasan, peretasan sistem elektronik perbankan, dan intersepsi ilegal. “Bahkan Sampai pengubahan tampilan situs dan gangguan sistem manipulasi data,” ungkapnya.

Tidak hanya itu, Pusat Operasi Keamanan Siber Nasional Badan Siber Sandi Negara juga mencatat, sepanjang Januari-November 2020 setidaknya ada 423 juta serangan siber ke Indonesia. Meningkat tajam dari  2019 yang berjumlah 290,3 juta, dan pada 2018 sebanyak 232,4 juta jiwa. (tau/lyn/idr/deb/lum/JPG)

JAKARTA, Jawa Pos—Kementerian Komunikasi dan Informatika (Kominfo) mengkonfirmasi bahwa data peserta BPJS Kesehatan benar-benar bocor dan dijual di forum internet radiforum oleh akun Kotz sebagaimana pertama kali menjadi perbincangan publik pada Kamis, 20 Mei lalu. 

Akun Kotz menawarkan 279 juta data penduduk Indonesia dengan tanggal posting 12 Mei 2021. Kotz juga menyediakan 1 juta data yang bisa diunduh gratis sebagai “sample”. Dari link yang di download oleh tim Jawa Pos, data tersebut berbentuk excell yang memuat berbagai informasi seperti nama, nomor kepesertaan, nomor telepon dan lain sebagainya.

Begitu kabar ini mencuat, Kominfo melakukan investigasi pada 20 Mei lalu. Namun baru pada 21 Mei kemarin, Kominfo mengkonfirmasi bahwa data peserta BPJS Kesehatan Indonesia benar-benar bocor dan dimiliki oleh Kotz. ”Akun Kotz sendiri merupakan pembeli dan penjual data pribadi (reseller),” kata Jubir Kominfo Dedy Permadi.  

Ia menyebut, data sampel yang ditemukan tidak berjumlah 1 juta seperti klaim penjual, namun berjumlah 100.002 data. Kominfo menemukan bahwa sampel data diduga kuat identik dengan data BPJS Kesehatan. Hal tersebut didasarkan pada data Noka (Nomor Kartu), Kode Kantor, Data Keluarga/Data Tanggungan, dan status Pembayaran yang identik dengan data BPJS Kesehatan. 

Dedy mengatakan pihaknya telah melakukan berbagai langkah antisipatif untuk mencegah penyebaran data lebih luas dengan mengajukan pemutusan akses terhadap tautan untuk mengunduh data pribadi tersebut. 

Terdapat 3 tautan yang terindetifikasi yakni bayfiles.com, mega.nz, dan anonfiles.com. Sampai saat ini tautan di bayfiles.com dan mega.nz telah dilakukan takedown, sedangkan anonfiles.com masih terus diupayakan untuk pemutusan akses segera.

Dedy juga menyebut bahwa Kominfo hari itu juga melakukan pemanggilan terhadap Direksi BPJS Kesehatan sebagai pengelola data pribadi yang diduga bocor untuk proses investigasi secara lebih mendalam sesuai amanat PP 71 tahun 2019.

Indonesia sendiri belum memiliki aturan soal perlindungan data pribadi karena draf RUU Perlindungan Data Pribadi (PDP) mangkrak di DPR. Hanya ada aturan PP 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PP PSTE) dan Peraturan Menkominfo No. 20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik. 

Dalam aturan tersebut, PSE  atau Penyelenggara Sistem Elektronik yang sistem elektroniknya mengalami gangguan serius akibat kegagalan perlindungan data pribadi wajib untuk melaporkan dalam kesempatan pertama kepada Kementerian Kominfo dan pihak berwenang lain. 

Selain itu, PSE juga wajib untuk menyampaikan pemberitahuan secara tertulis kepada pemilik data pribadi, dalam hal diketahui bahwa terjadi kegagalan perlindungan data pribadi.

Sementara itu BPJS Kesehatan masih melakukan klarifikasi atas kebocoran data pesertanya. “Masih diselidiki,” kata Kepala Humas BPJS Kesehatan M Iqbal Anas Ma’ruf kemarin (21/5) ketika dihubungi Jawa Pos. Dia menyatakan bahwa lembaganya mengerahkan tim khusus untuk menyelidiki kasus ini. 

Tim tersebut merupakan tim internal BPJS Kesehatan. Belum melibatkan Kepolisian. “Penelusuran lebih lanjut ini untuk memastikan apakah data tersebut dari BPJS Kesehatan atau bukan,” ujarnya.  

Dalam indormasi yang beredar, disebutkan bahwa ada 279 juta data peserta yang terindikasi bocor. Sementara sampai dengan Mei 2021, jumlah peserta BPJS Kesehatan adalah 222,4 juta jiwa.

Dia menegaskan bahwa BPJS Kesehatan konsisten memastikan keamanan data peserta. Server yang dimiliki disimpan dalam big data yang kompleks. Selain itu BPJS Kesehatan mengklaim memiliki sistem pengamanan data yang ketat dan berlapis sebagai uoaya menjamin kerahasiaan data tersebut. “Disamping itu kami berkoordonasi dengan pihak terkait u tuk memberikan perlindungan data yang lebih maksimal,” tuturnya. 

Sementara, terkait pemanggilan Direksi BPJS Kesehatan ke Kominfo, Iqbal menyatakan belum mendapatkan informasi. 

Polri memastikan telah turun tangan menyelidiki dugaan kebocoran data kependudukan. Kadivhumas Polri Irjen Argo Yuwono memastikan bahwa Polri telah melakukan pengecekan soal kasus kebocoran data tersebut. ”Dicek data kependudukan mana,” terangnya. 

Argo memastikan bahwa Polri telah mengetahui adanya kebocoran data yang awalnya sempat disebut dari BPJS Kesehatan. Namun, kemudian telah diklarifikasi oleh BPJS Kesehatan. ”Ok sudah itu,” terangnya kepada Jawa Pos. 

Sementara Kanit II Subdit II Direktorat Tindak Pidana Siber (Dittipid Siber) Bareskrim AKBP Idam Wasiadi menjelaskan, kasus kebocoran data ini akan ditangani dan pelakunya ditangkap. Agar kasus semacam ini tidak terulang, ini salah satu contoh kejahatan siber murni. ”Tidak akan dibiarkan,” paparnya. 

Kasus kebocoran data kependudukan semacam ini, lanjutnya, tidak perlu menunggu laporan. Dittipid Siber akan pro aktif dalam menangani kasus, mencari siapa dalang yang melakukan pencurian data. ”Semua ini perlu penyidik yang handal,” paparnya. 

Baca Juga :  Super Amaral

Kasus kebocoran data ini akan sangat bergantung siapa penyidik yang menangani. Sebab, berbeda kesulitannya dengan kasus pencemaran nama baik dan hoax. ”Kalau pencemaran nama baik itu orangnya kerap kali sudah jelas,” ujarnya. 

Berbeda dengan kasus kebocoran data penduduk, yang orangnya menggunakan akun anonymous dan pembayarannya menggunakan cryptocurrency, seperti bitcoin dan lainnya. Penggunaan bitcoin sebagai pembayaran jelas untuk mempersulit pelacakan. ”Iya lebih sulit dari pembayaran biasa,” terangnya. 

Forum-forum internet sejenis raidforum dikenal sebagai pusat jual beli data iilegal. Forum-forum seperti ini bahkan belum lagi berada di wilayah dark web atau internet dalam (deepweb). Artinya forum-forum tersebut masih bisa diakses dengan jaringan internet publik maupun mesin pencari biasa. 

“Tapi rata-rata penggiat forum nya memang peselancar dark web. Karena customer mereka tidak semuanya bisa mengakses Dark Web,” jelas Chairman Lembaga Riset Siber Indonesia Communication and Information System Security Research Center (CISSSRec) Pratama Persadha. 

Beberapa forum besar sebut saja crackingmount, sinister, cracking portal. Namun diantara para forum tersebut, raidforum memang salah satu yang paling terkenal. 

Dalam forum-forum tersebut, beberapa akun biasanya akan mengumumkan bahwa mereka memiliki sejumlah besar data yang bisa dibeli dengan harga tertentu. Proses pembayaran dilakukan dengan alat pembayaran (currency) khusus atau dengan alat pembayaran online lainnya. “Dan harganya sebenarnya nggak terlalu mahal,”  jelasnya. 

Pratama menyebut bahwa Kotz adalah salah satu contoh akun yang telah memperoleh sejumlah besar data dan menawarkannya di dalam raidforum. Para pelanggan sebelum membeli tetap akan mempertimbangkan banyak hal. Seperti kredibiltas akun penjual, rating, serta masa membership sebelum membeli data atau informasi-informasi lain yang dijual.   

Para penjual data tersebut kata Pratama biasanya menampilkan link untuk mengunduh sebagian kecil data dari klaster yang dijual sebagai ‘tester’ atau sample untuk meyakinkan para pembeli. 

Dari informasi yang dihimpun Jawa Pos, jika ada satu anggota forum yang tertarik membeli data tersebut, maka transaksi akan dilanjutkan pada komunikasi yang lebih rahasia. Biasanya melalui platform telegram. Dalam komunikasi tersebut, dibahas soal harga dan delivery data. 

Namun menurut Pakar Digital Forensik Ruby Alamsyah, Raidforum masih bisa dikatakan forum bagi kalangan awam. “Masih banyak data-data yang jauh lebih sensitif di deep web dan dark web. Misalnya data-data penegakan hukum, intel dan data-data negara,” jelasnya. 

Baik Pratama maupun Ruby sepakat bahwa hal yang paling penting dimiliki untuk mencegah kebocoran data-data ini adalah segera disahkannya Rancangan Undang Undang (RUU) Tentang Perlindungan Data Pribadi (PDP). 

Adanya regulasi akan membuat para pemilik platform, penyelenggaran sistem elektronik, maupun semua lembaga dan instansi yang memegang dan mengumpulkan data-data pribadi masyarakat lebih tercambuk untuk mengamankan data-data tersebut dibawah ancaman sanksi. 

Ruby menyebut tanpa adanya regulasi, dalam 3 tahun terakhir saja, 2 unicorn besar pemegang data pelanggan Bukalapak dan Tokopedia bobol. Kemudian ada juga kebobolan jutaan data pemilih di KPU. 

Regulasi yang ada hari ini hanya menyebut jika pemilik platform mengalami kebocoran data, maka Kominfo akan menjadi mediator antara platform dan korban. Tidak ada sanksi yang jelas. “Ya akhirnya cuma mediasi dan kekeluargaan saja,” katanya. 

Senada, menurut Pratama sejauh ini jika ada kasus kebocoran data, pemilik platform pengumpul data hanya bersikap seolah sebagai korban. Padahal seharusnya, jika terjadi kebocoran, merekalah yang harus bertanggung jawab. Dengan adanya RUU PDP dan sanksi tegas, maka platform tidak akan main-main lagi soal kemanana data. “Anda sudah diberi kewenangan memegang sekian banyak data masyarakat, ya anda harus tanggung jawab,” jelas Pratama. 

Kondisi tanpa aturan PDP ini kata Pratama bakal banyak menimbulkan korban. Selain memberikan banyak info valid ribuan calon korban baru, Para penipu akan semakin mudah meyakinkan calon korbannya jika ia memiliki berbagai nomor otentikasi. Bocornya data nomor telepon juga bisa digunakan untuk mengakses berbagai layanan online yang menggunakan autentikasi nomor telepon. “Akan banyak masyarakat yang tertipun pinjaman online lah, iuran, belum lagi pembayaran seperti GoPay misalnya,” katanya.  

Parlemen pun mendesak agar pemerintah segera mengambil langkah tegas bagi pelaku serta menjamin data pribadi penduduk ke depannya aman dengan instrumen hukum yang jelas.

Baca Juga :  Jalan Raya Alternatif Makan Korban

Bocornya data tersebut diakui memang terjadi oleh pihak Direktorat Jenderal Kependudukan dan Catatan Sipil (Ditjen Dukcapil) Kementerian Dalam Negeri. Tetapi, data-data yang beredar ini bukan berasal dari database Dukcapil. Hal itu ditegaskan oleh Dirjen Dukcapil Kemendagri Zudan Arif Fakrulloh. 

Pihaknya langsung mengecek kebenaran data tersebut dan melacak asal-muasalnya. Berdasarkan hasil impor data yang dilakukan tim penelusuran Ditjen Dukcapil, mereka memperoleh struktur data yang berbeda dengan struktur data Dukcapil. Sebab, ada data mengenai e-mail, NPWP, dan nomor seluler seperti yang tercantum dalam file data yang dimaksud.

“Yang bersangkutan memberikan link sampel data indivisu yang bisa didownload sebagai sampel data. Data berbentuk file comma separated value (CSV) dan setelah diimpor, berjumlah satu juta rows,” jelas Dirjen Dukcapil Zudan Arif Fakrulloh melalui pesan singkat kepada Jawa Pos Kamis malam (20/5). 

Dia menambahkan, kolom yang tercantum meliputi nama, nomor KTP, jenis kelamin, agama, tempat tanggal lahir, tanggungan, NIK, nomor seluler, e-mail, hubungan keluarga, status kawin, golongan darah, hingga status peserta. “Saya memastikan itu bukan data yang bersumber dari Dukcapil. Data di Dukcapil tidak seperti itu. Tidak ada tanggungan, e-mail, NPWP, nomor HP, TMT, TAT,” lanjut Zudan.

Melihat kolom yang tercantum itu, diduga bahwa data tersebut berasal dari BPJS Kesehatan. Hal ini disampaikan oleh Anggota Komisi I DPR Sukamta. Dia menyebutkan, sudah sangat sering kebocoran data terjadi di Indonesia. Baik itu di ranah swasta seperti marketplace, hingga instansi publik seperti boconya data pasien Covid-19. 

“Dugaan yang terbaru data BPJS Kesehatan. Demikian lemahnya ketahanan siber kita meskipun BJPS (Kesehatan) selalu maintenance agar keamanan data peserta terjamin kerahasiaannya,” jelas Sukamta kepada Jawa Pos Jumat (21/5). Apalagi, lanjut dia, jumlah 279 juta orang itu termasuk data peserta yang sudah meninggal. 

Dia mendesak pemerintah menginvestigasi segera untuk melacak bagaimana situs BPJS Kesehatan maupun sumber data lain bisa diretas. Harus ada langkah mitigasi mulai sekarang dan bagaimana menghentikan penyebaran data yang sudah telanjur bocor. Salah satunya dengan menuntaskan pembahasan RUU Perlindungan Data Pribadi.

RUU itu kini masih dalam tahap pembahasan di Komisi I bersama Kementerian Komunikasi dan Informatika (Kemkominfo). Namun, pembahasan masih stagnan karena perbedaan pandangan dalam bentuk otoritas perlindungan data pribadi. “Kasus dugaan bocornya data BPJS Kesehatan ini menjadi tamparan bagi kita semua, bahwa bentuk otoritas yang paling tepat adalah lembaga independen. Bab ini harus segera ketemu kesepakatannya agar upaya melindungi data pribadi bisa segera memiliki payung hukum yang kuat,” tegas politisi PKS tersebut.

Ketua MPR RI Bambang Soesatyo pun mendesak Kementerian Komunikasi dan Informatika, bersama perangkat Polri, seperti Bareskrim dan Direktorat Tindak Pidana Siber, serta Badan Siber dan Sandi Negara untuk menginvestigasi secara tuntas dugaan kebocoran data 279 juta penduduk Indonesia.

Menurut Bamsoet, sapaan Bambang Soesatyo, kebocoran data bukan persoalan main-main, bukan juga persoalan kecil, tapi masalah sangat serius. Karena di era teknologi informasi saat ini, data merupakan kekayaan nasional yang patut dijaga. Kedaulatan terhadap data menunjukan kedaulatan sebuah bangsa. “Bahkan Presiden Joko Widodo menegaskan, data adalah new oil, bahkan lebih berharga dari minyak,” ujar Bamsoet.

Mantan Ketua DPR RI itu menjelaskan, selain ada kepentingan ekonomi yang tidak proper, kebocoran data tersebut juga menyangkut keamanan privacy warga negara Indonesia. Sekaligus menunjukan perangkat hukum cyber security yang tidak kuat.

Selain kejadian tersebut, tren kejahatan siber juga semakin meningkat. Berdasarkan laporan kepolisian hingga November 2020,  setidaknya ada 4.250 laporan kejahatan siber. Pada 2019, jumlahnya bahkan mencapai 4.586 laporan, dan pada 2018 sekitar 4.360 laporan.

Ketua Umum Ikatan Motor Indonesia (IMI) itu menerangkan, selain kebocoran data, kejahatan siber juga memiliki ragam jenis. Antara lain penipuan daring, penyebaran konten provokatif, pornografi, akses perjudian, pemerasan, peretasan sistem elektronik perbankan, dan intersepsi ilegal. “Bahkan Sampai pengubahan tampilan situs dan gangguan sistem manipulasi data,” ungkapnya.

Tidak hanya itu, Pusat Operasi Keamanan Siber Nasional Badan Siber Sandi Negara juga mencatat, sepanjang Januari-November 2020 setidaknya ada 423 juta serangan siber ke Indonesia. Meningkat tajam dari  2019 yang berjumlah 290,3 juta, dan pada 2018 sebanyak 232,4 juta jiwa. (tau/lyn/idr/deb/lum/JPG)

Berita Terbaru

Artikel Lainnya