Bocornya data BPJS kepada pihak luar menimbulkan persoalan yang serius bagi bangsa Indonesia. Akan banyak dampak atau kerugian yang akan dirasakan masyarakat jika persoalan ini tidak dapat diselesaikan secara tuntas oleh pemerintah.
Direktur Sistem dan Sumber Daya Informasi, Widyawan, ST., M.Sc., Ph.D., mengatakan kerugian pertama yang bisa dirasakan tentunya masalah reputasi terhadap lembaga yang datanya bocor. Menurutnya, kemampuan dalam mengelola dan mengamankan data dan infrastruktur digital patut dipertanyakan.
“Lemah, dianggap lembaga tersebut tidak amanah dalam menjaga data yang dititipkan. Ini pula yang menyebabkan faktor berkurangnya kepercayaan. Lembaga-lembaga lain juga tentu akan ikut dipertanyakan kemampuannya dalam hal pengamanan data,” ujarnya, di Kampus UGM, Rabu (26/5).
Menurut Widyawan, dampak akibat kebocoran data ini cukup banyak, diantaranya terkait masalah privacy yang lebih banyak menyangkut soal data pribadi, seperti informasi alamat, tanggal lahir, kondisi keuangan yang kemungkinan akan terekspose. Selain itu, juga terkait soal pencurian identitas (identity theft). Identitas yang tercuri bisa digunakan untuk sasaran marketing yang ilegal hingga untuk tindak penipuan online.
“Kriminalitas terkait dengan transaksi elektronik ini dapat muncul seiring dengan tersebarnya data pribadi. Oleh karena itu, beberapa institusi membutuhkan data pribadi sebagai item untuk verifikasi guna melakukan transaksi yang penting,”katanya.
Kenapa bisa terjadi kebocoran data, ia menjelaskan ketika data dalam bentuk elektronik dan ditempatkan dalam sistem komputer yang terhubung dengan jaringan Internet maka sesungguhnya risiko keamanan siber otomatis menjadi semakin besar. Risiko keamanan ini akan selalu ada dan tidak akan hilang dengan sendirinya sehingga proses pengamanan harus secara terus menerus dilakukan dan tidak boleh lengah (security is a process, not a product).
Hanya saja, kata Widyawan, terkait soal keamanan teknologi informasi sering ditempatkan di prioritas akhir dan baru disadari ketika sudah terjadi insiden. Fungsionalitas dari sistem sering menjadi fokus utama dan sering abai terhadap keamanan siber.
“Jadi, ada problem dengan awareness dan prioritas. Kebocoran data pada sistem elektronik dapat terjadi karena pemanfaatan celah keamanan pada yang terlibat dalam suatu sistem. Yang perlu diketahui bahwa keamanan tidak hanya melulu masalah teknologi, yang terlibat dalam sistem antara lain orang, proses, selain teknologi yang digunakan,” terangnya.
Oleh karena itu, guna meningkatkan jaminan keamanan data maka perlu ada regulasi soal keamanan data. Hingga kini belum ada UU yang secara spesifik mengatur tentang ini. Kehadiran regulasi soal keamanan data ini dinilai semakin strategis dan penting, apalagi mengingat dalam kondisi pandemi dimana penggunaan teknologi digital semakin meningkat dalam berbagai aspek kehidupan, baik dalam penyelenggaraan pemerintahan, perekonomian dan bisnis dan pendidikan.
“Aspek SDM yang ahli dalam keamanan siber juga perlu ditingkatkan dan di Indonesia masih sangat kurang. Juga soal penerapan standar keamanan internasional (contoh: ISO/IEC 27001, ISO 15408, dan lain-lain terhadap penyelenggara layanan elektronik perlu ditegakkan). Perlu ada badan siber yang juga secara rutin melakukan audit dan testing terhadap keamanan penyelenggara layanan elektronik. Terutama yang menyimpan data dalam jumlah masif dan strategis,” urainya.
Widyawan menyebut dari tahun ketahun jumlah insiden keamanan siber selalu meningkat, baik dari sisi jumlah (kuantitas) maupun ragam serangannya (kualitas). Sebagai contoh, insiden keamanan ransomware sudah melibatkan tebusan yang sangat besar dan semakin marak. Dengan perkembangan IoT/Cyber Physical System maka serangan juga sudah menyerang sistem yang berhubungan dengan perangkat keras dan fisik.
“Misal perusahaan Colonial Pipeline di Amerika, perusahaan yang menyalurkan minyak, bahan bakar, jet fuel sempat terhenti operasinya dan harus membayar tebusan USD 4.4 juta. Tetapi ibarat kejahatan data maka tidak bisa dianggap sebagai hal yang ‘lumrah’ harus ada penanganan yang serius dan sungguh-sungguh untuk mengurangi risiko akan kerugian,” imbuhnya.
Sementara itu, Prof. Dr. Wahyudi Kumorotomo, MPP, Guru Besar Manajemen dan Kebijakan Publik UGM, menilai kasus bocornya data kependudukan yang bermula dari BPJS Kesehatan harus diusut tuntas oleh pihak berwenang. Dalam hal ini perlu kerja sama yang baik antara Kominfo, Bareskrim Polri, dan BSSN, agar kejadian yang berpotensi mengundang kejahatan siber ini bisa dicegah.
“Klaim akun penjual data bahwa 279 juta lain dapat dilayani melalui transaksi penjualan data barangkali berlebihan. Tetapi tidak ada salahnya bagi aparat pemerintah yang terkait untuk bergerak cepat untuk menemukan pelaku dan mencegah terjadinya kebocoran data lebih lanjut,” ungkapnya.
Ia menilai kebocoran data akan mengakibatkan banyak kemungkinan kejahatan siber. Saat ini saja sudah banyak terjadi doxing, fenomena dark-web, perundungan siber, dan sebagainya yang terjadi akibat bocornya data pribadi dalam data kependudukan.
Meski begitu, katanya, sesungguhnya sebelum kasus ini terungkap sudah banyak data pribadi (foto KTP, KK, nomor HP, alamat email, dsb) yang beredar di Internet. Bahkan, Ditjen Adminduk sudah mencatat ada lebih dari 11 juta data terkait NIK yang dapat diakses secara bebas di internet.
Kebocoran data terjadi nampaknya disengaja oleh pelaku seperti dalam kasus BPJS Kesehatan, dan teknologi yang memungkinkan mengintercept data pribadi. Selain itu, lemahnya literasi digital menjadikan warga Indonesia cenderung begitu mudah mempertukarkan foto KTP, KK, atau data pribadi lain kepada teman, kolega, dan tanpa disertai dengan izin dari pemiliknya.
“Saya kira kejadian ini menunjukkan semakin pentingnya ratifikasi RUU Perlindungan Data Pribadi yang sampai saat ini masih maju-mundur di Prolegnas. Kalau kita tidak punya perangkat regulasinya, pemerintah tidak bisa menindak secara tegas pelaku pembocor data,” ucapnya.
Ia mengatakan pada tahun lalu Facebook mendapat hukuman karena membocorkan data bagi 87 juta penggunanya. Tetapi sekitar 11 data yang bocor dari Indonesia tidak bisa mendapatkan ganti-rugi atau kompensasi dari FB karena Indonesia tidak memiliki UU Perlindungan Data Pribadi.
“Yang dilakukan oleh Kominfo hanya take-down terhadap info dan akun pembocor data seperti Raid Forums, atau menghukum kejahatan yang sudah terjadi. Tetapi tidak ada jaminan bagi rakyat secara menyeluruh karena belum ada UU Perlindungan Data,” imbuhnya.
Penulis : Agung Nugroho
Foto : Kompas.com