Data BPJS bocor, PR Tambahan Pemerintah Soal Perlindungan Data Pribadi
Setiap bulan ada saja barang yang saya beli dari marketplace. Entah itu barang yang dibeli karena dorongan impulsif atau kerap pula membeli skincare yang sudah habis. Yang paling rutin sih beli biji kopi yang harganya relatif murah. Sebulan saya bisa dua kali beli biji kopi lewat marketplace.
Ada kebiasaan yang selalu saya lakukan setelah menerima barang dari toko online, yaitu menghapus nama dan nomor telepon yang biasanya tertera di stiker resi. Saya potong nama dan nomor telepon saya di stiker itu menjadi kecil-kecil. Tujuannya agar tidak bisa disusun dan dibaca kembali. Sedangkan untuk alamat lengkapnya, saya biasa mencantumkan alamat kantor.
Upaya itu memang terlihat remeh, tapi pembenaran saya sih untuk mengurangi kemungkinan data pribadi saya tercecer sembarangan. Namun, perjalanan barang itu sampai saya terima pasti sudah melewati beberapa orang. Artinya, mau tidak mau, nama dan nomor telepon saya pasti sudah terbaca, paling tidak oleh kurir yang mengantar barang saya. Saya cuma berharap ada kesadaran kolektif untuk saling melindungi data pribadi masing-masing.
Apesnya, tidak semua orang demikian. Data pribadi tampaknya masih dianggap barang remeh yang tidak perlu diperlakukan khusus. Padahal, data pribadi dapat berpengaruh pada keamanan individu. Pada tidak mau kan jika fotokopi KTP kita dijadikan bungkus gorengan dan datanya disadur pinjaman online ilegal?
Saya jadi suuzon, jangan-jangan pemerintah pun masih menganggap data pribadi sebagai suatu hal yang remeh. Soalnya, data pribadi yang seharusnya dilindungi oleh pemerintah lagi-lagi bocor.
Kementerian Komunikasi dan Informatika (Kominfo) mensinyalir kebocoran berasal dari database BPJS Kesehatan. Deduksi itu muncul berdasar pada data-data yang identik dengan data BPJS Kesehatan seperti nomor kartu, data keluarga dan tanggungan, serta status pembayaran premi.
Data bocor itu muncul di Raid Forums dan dijajakan oleh akun bernama Kotz. Dari tangkapan layar yang diunggah akun Twitter @ndagels, Kotz mengklaim total data yang dijualnya berjumlah 279 juta di mana 20 juta di antaranya tercantum foto pribadi. Data tersebut dijual Kotz seharga 0,15 Bitcoin atau setara dengan 81,6 juta rupiah.
Untuk peserta BPJS Kesehatan per 31 Desember 2020 sendiri mencapai 222,5 juta jiwa. Kemungkinan lebihnya merupakan data peserta yang sudah meninggal. Kotz juga memberikan sampel 1 juta data gratis yang dapat diakses publik. Suwanto Raharjo, pengajar di Institut Sains dan Teknologi AKPRIND Yogyakarta, melalui akun Twitternya, @wa2nlinux, mencuitkan hasil pengetesannya terhadap sampel 1 juta data tersebut. Ia berkesimpulan bahwa sampel data tersebut tidak benar-benar bersih dan tidak semuanya diisi lengkap.
Kominfo bergerak. Langkah yang diambil Kominfo adalah dengan memblokir Raid Forums setelah forum itu terindikasi kerap menyebar konten yang melanggar peraturan perundangan di Indonesia. Akun Kotz dan tautan yang digunakan Kotz pun diblokir agar publik bisa mengakses sampel data yang dilampirkan Kotz.
Kominfo memanggil jajaran direksi BPJS Kesehatan untuk meminta keterangan. Siaran pers pemanggilan Kominfo terhadap direksi BPJS Kesehatan pada tanggal 21 Mei 2021 menyebutkan beberapa keputusan. Pertama, BPJS Kesehatan perlu memastikan dan menguji ulang data yang diduga bocor. Kedua, investigasi tim internal BPJS Kesehatan dilangsungkan dengan berkoordinasi dengan Kominfo dan Badan Siber dan Sandi Negara (BSSN). Ketiga, langkah pengamanan akan dilakukan BPJS Kesehatan untuk mengurangi risiko kebocoran data yang lebih luas.
Bareskrim Polri ikut turun tangan. Karo Penmas Divisi Humas Polri Brigjen Rusdi Hartono menyatakan kasus ini juga sedang ditelusuri oleh tim penyidik Direktorat Siber Bareskrim Polri. Penyelidikan Bareskrim dilangsungkan dengan kerja sama BSSN.
Kasus yang Terulang
Jika kebocoran data hanya berjumlah satu atau dua orang saja, hal itu bisa dimaklumi dengan dalih kesalahan si pemberi data. Namun, dengan jumlah data yang bocor mencapai 279 juta, kita perlu mempertanyakan kebecusan pihak yang dipasrahi data pribadi kita untuk disimpan.
Bukan kali ini saja kasus data bocor mewarnai headline pemberitaan. Tahun lalu, data 230 ribu pasien Covid-19 di Indonesia diduga dicuri dan dijual di situs dark web RapidForums (berbeda dengan Raid Forum yang bukan merupakan dark web). Data pasien itu mencantumkan nama, status kewarganegaraan, tanggal lahir, nomor identitas kependudukan (NIK), hingga hasil tes Covid-19 lengkap dengan gejala dan tanggal pemeriksaannya.
Masih di tahun 2020, Kementerian Pendidikan dan Kebudayaan (Kemendikbud) pun mengalami nasib yang sama. Kemendikbud kecolongan 1,3 juta data yang dibobol peretas dan dijual di Raid Forum. Data yang dibocorkan termasuk nama lengkap, NIK, nama ibu, nama ayah, nomor kartu keluarga, dan alamat lengkap.
Masih ada banyak lagi kasus data bocor lainnya, seperti kasus Tokopedia, Bukalapak, KreditPlus, dan data mahasiswa Universitas Diponegoro. Kasus penjualan data kependudukan dan nasabah bank melalui situs temanmarketing.com menjadi kasus kebocoran data yang cukup mengagetkan karena data tersebut bersumber dari perbankan. Ada juga grup Facebook yang menjadi ajang transaksi jual beli data KTP dengan bebas.
Urgensi perlindungan data menjadi meningkat karena ada tindak kejahatan yang bisa dilakukan bermodalkan data pribadi. Pembobolan password, pembuatan akun pinjaman online diam-diam, profiling untuk kepentingan iklan, peretasan layanan digital, serta telemarketing melalui spam SMS atau panggilan telepon adalah beberapa contoh tindak kejahatan yang bisa terjadi akibat data pribadi yang disalahgunakan. Sialnya, saya sering menerima SMS uang gaib dan pemberitahuan menang undian jutaan rupiah yang bahkan saya tidak tahu kapan saya mengikuti undian tersebut.
Ketua Lembaga Riset Siber CISSRec Pratama Persadha menyatakan bahwa tidak ada sistem yang 100 persen aman dari ancaman serangan siber. Namun, Pratama menekankan bahwa pembobolan data penting, apalagi hingga berjumlah 279 juta data, tidak seharusnya terjadi. Pratama menyarankan agar seluruh instansi pemerintah bekerja sama dengan BSSN untuk melakukan audit forensik digital untuk menambal celah yang ada di dalam sistem tiap instansi.
Konsultan keamanan siber Teguh Aprianto menggarisbawahi kekacauan pemerintah dalam mengimplementasikan upaya untuk melindungi data pribadi. Teguh mengatakan bahwa pemerintah meskipun sudah memenuhi sertifikasi ISO 27001, standar internasional untuk sistem manajemen keamanan informasi, tapi implementasinya tidak memenuhi harapan. Pemerintah lebih berminat mendapatkan lisensinya saja tanpa benar-benar menjalankan praktik penerapan yang benar.
Kebocoran data kali ini sudah seharusnya menjadi momentum untuk memuluskan perampungan Rancangan Undang-Undang Perlindungan Data Pribadi. Namun, tarik ulur masih terjadi antara pemerintah dan DPR soal lembaga yang bakal menjadi otoritas dalam mengawasi pelaksanaan perlindungan data pribadi. Well, semoga para pembuat kebijakan itu sadar bahwa selama mereka masih bernegosiasi, pencurian data pribadi masyarakat Indonesia masih tetap berlangsung.
Pemantauan Media
Pemantauan yang kami lakukan menggunakan mesin Newstensity tentang isu ini mendapati ada 2.163 berita dari tanggal 19–24 Mei 2021. Berita kebocoran data dari BPJS Kesehatan sendiri baru muncul pada tanggal 20 Mei 2021 setelah ramai diperbincangkan di Twitter. Puncak pemberitaan terjadi pada tanggal 21 Mei 2021 dengan 675 berita.
Kominfo tampak cukup aktif memberikan update terhadap kasus ini. Dari tanggal 20 hingga 22 Mei 2021, Kominfo melalui juru bicaranya, Dedy Permadi, tiga kali melakukan siaran pers mengenai kasus kebocoran data BPJS Kesehatan. Kominfo pun menjadi lembaga yang paling banyak dicatut namanya di pemberitaan.
Meskipun keanggotaan BPJS Kesehatan berlaku secara nasional, tidak demikian dengan persebaran berita kebocoran datanya. Berita kebocoran data BPJS Kesehatan hanya terbit di 23 provinsi. Pusat pemberitaan tetap berada di Jakarta dengan 1,274 berita.
Sentimen negatif mendominasi pemberitaan dengan proporsi 88%. Di belakangnya ada positif 9% dan netral 3%. Wajar saja, kebocoran data merupakan berita buruk. Terlebih data tersebut bersumber dari BPJS Kesehatan yang merupakan penyelenggara jaminan kesehatan dasar bagi masyarakat Indonesia.
Sedikit sentimen positif muncul dari berita yang mengulas sikap dukungan terhadap pengusutan perkara ini. Berita Medcom.id berujudul “Menteri PANRB Dukung Investigasi Kebocoran Data 279 Juta Penduduk” dan CNNIndonesia.com “279 Juta Data Bocor, DPR Minta Polri Bentuk Tim Khusus” menjadi contoh berita dengan angle tersebut.
Kasus kebocoran data BPJS Kesehatan sekali lagi mengingatkan kita bahwa masyarakat yang mempercayakan data pribadinya ke pihak lain memang berada di posisi yang payah. Perlu dibentuk kesadaran kolektif yang menganggap data pribadi sebagai suatu hal penting untuk dilindungi. Sekali lagi, pemerintah memegang peran yang amat krusial untuk hal ini.
Selagi menunggu kejelasan tindakan pemerintah untuk meningkatkan perlindungan terhadap data pribadi masyarakat, saya akan tetap memotong nama dan nomor telepon yang tertera di kiriman paket yang saya terima menjadi kecil-kecil agar tidak terbaca, hehehe.
