Menambal Kebocoran Data yang Terus Berulang

Lagi-lagi kasus kebocoran data. Kali ini dugaan kebocoran data menimpa data pribadi yang terhimpun di aplikasi eHAC yang dikelola Kementerian Kesehatan.

Sebuah situs pengulas perangkat lunak VPN, vpnMentor, memublikasikan temuan kebocoran pada bank data eHAC yang pertama kali diketahui pada 15 Juli 2021. VpnMentor menjelaskan, kebocoran data aplikasi eHAC terjadi karena pengembang gagal mengimplementasikan protokol privasi data yang memadai.

Ruang lingkup data pribadi yang bocor mencakup data hasil tes Covid-19, akun eHAC, rumah sakit, data pribadi pengguna (nomor induk kependudukan atau NIK, paspor, nama lengkap, nomor telepon, tanggal lahir, jenis kelamin, alamat, dan nama orangtua), serta data petugas pengelola eHAC. Jika benar data-data itu yang bocor, informasi pribadi itu sangat rawan disalahgunakan.

Kasus kebocoran data ini menambah panjang kasus serupa yang pernah terjadi di Indonesia. Kebocoran data sebelumnya diduga terjadi dari sistem Badan Penyelenggara Jaminan Sosial (BPJS) Kesehatan, BRI Life, Tokopedia, Bukalapak, hingga kebocoran data pemilih Indonesia. Tak tanggung-tanggung, jumlah data bocor ada yang mendekati angka 100 juta.

KOMPAS/ISMAIL ZAKARIA
Petugas memeriksa aplikasi kartu kewaspadaan kesehataan elektronik atau eHAC penumpang yang baru tiba di Bandara Komodo, Labuan Bajo, Manggarai Barat, Nusa Tenggara Timur, Senin (22/3/2021). Pemeriksaan itu sebagai langkah antisipasi pencegahan penularan Covid-19.

”Ini menunjukkan kita tidak pernah belajar. Para pengendali data kita belum menerapkan prinsip-prinsip perlindungan data semestinya karena memang saat ini acuan regulasinya belum ada. Namun, setidaknya kalau ada hasil investigasi dari kasus kebocoran sebelumnya, dan ada rekomendasi dari investigasi itu, semestinya pengendali data yang lain dapat mempelajarinya,” ujar Direktur Eksekutif Lembaga Studi dan Advokasi Masyarakat (Elsam) Wahyudi Djafar, saat dihubungi, Rabu (1/9/2021).

Celakanya, data pribadi warga Indonesia yang disedot dari kebocoran di sejumlah institusi itu kemudian ada yang dijual di jaringan gelap internet. Mereka yang berniat buruk atau ingin mengambil keuntungan dari jutaan data warga Indonesia itu bisa membeli secara bebas di pasar gelap.

Beberapa bulan lalu misalnya, sebuah akun bernama ShinyHunters di situs e-dagang dark web Empire Market, menjual data pribadi 91 juta pengguna yang disedot dari perusahaan e-dagang. Cukup dengan memberikan uang sebesar 5.000 dollar AS atau setara Rp 75 juta, seluruh data tersebut sudah bisa dimiliki.

KOMPAS/KURNIA YUNITA RAHAYU
Ringkasan temuan kebocoran pada bank data (database) eHAC Kementerian Kesehatan yang dipublikasikan situs pengulas perangkat lunak VPN, vpnMentor.

Terkait laporan kebocoran data pribadi dalam aplikasi eHAC, Kepala Pusat Data dan Informasi Kemenkes Anas Ma’ruf membantahnya. ”Kemenkes memastikan bahwa data masyarakat yang ada di dalam sistem eHAC tidak bocor dan dalam perlindungan. Data masyarakat yang ada di dalam eHAC juga tidak mengalir ke platform mitra,” katanya.

Menteri Komunikasi dan Informatika Johnny G Plate mengatakan, terhitung sejak Rabu (1/8/2021), Kominfo bersama Badan Siber dan Sandi Negara (BSSN) telah menginvestigasi dugaan kebocoran data pada aplikasi e-HAC. Namun, ia tidak merinci hasil investigasi yang dimaksud.

Johnny tidak memungkiri, insiden kebocoran data pribadi warga yang dikelola institusi publik dan privat telah berulang kali terjadi. Oleh karena itu, ia menekankan bahwa penerapan prinsip perlindungan data pribadi merupakan kewajiban yang harus dipatuhi oleh para pengelola data. Kewajiban yang dimaksud mencakup sisi teknologi, tata kelola, dan sumber daya manusia.

Kasus kebocoran data ataupun pembobolan data bukan hanya monopoli Indonesia. Berbagai kasus kebocoran data besar telah terjadi di berbagai negara.

Salah satu kebocoran data terbesar yang dilaporkan pada Januari 2020 lalu adalah pelanggaran keamanan yang terjadi pada 2018 dari basis data nasional India Aadhaar, dengan lebih dari 1,1 miliar rekaman data yang bocor. Informasi yang bocor termasuk rekaman biometrik seperti pemindaian iris mata dan sidik jari, yang dapat digunakan untuk membuka rekening bank dan menerima bantuan keuangan, dan layanan pemerintah lainnya.

Beberapa tahun sebelumnya, juga terungkap peretasan platform online Yahoo pada 2014, yang memengaruhi setidaknya 500 juta akun pengguna. Pada 2016, perusahaan mengungkapkan peretasan lain yang terjadi sejak 2013, yang memengaruhi 1 miliar rekaman data pengguna. Laporan itu diperbarui pada 2017, yang mengungkapkan bahwa 3 miliar akun sebenarnya telah terpengaruh, menjadikannya salah satu kebocoran data terbesar hingga saat ini.

Berbagai kasus kebocoran itu tak lepas dari meningkatnya ketergantungan perusahaan maupun pemerintah pada teknologi untuk mengumpulkan, menganalisis, dan menyimpan data pribadi. Hal ini pada gilirannya telah menyebabkan peningkatan jumlah kejahatan dunia maya mulai dari pelanggaran kecil hingga serangan skala global yang berdampak pada miliaran pengguna – seperti dialami oleh Yahoo. Kondisi itu bisa diperburuk jika pengelola mengabaikan protokol keamanan data.

Biaya Mahal

Kerugian yang dialami dari berbagai kebocoran data pribadi dan kejahatan siber lainnya tidak sedikit. Keamanan siber terus menjadi perhatian karena meningkatnya taktik canggih penjahat. Mengutip laporan perusahaan keamanan siber Fortinet, lembaga Gartner memproyeksikan bahwa kalangan bisnis akan menghabiskan lebih dari 123 miliar dollar AS untuk keamanan siber pada tahun 2020 dan memproyeksikan angka itu akan tumbuh menjadi 170,4 miliar dollar AS pada tahun 2022. Angka itu belum termasuk yang harus dikeluarkan oleh lembaga pemerintah.

Salah satu pembobolan terburuk yang terjadi adalah yang dialami sejumlah lembaga pemerintah AS dan berbagai institusi bisnis dunia beberapa waktu lalu, melalui malware yang ditanam di perangkat lunak SolarWinds. Serangan siber itu merupakan yang terbesar dalam lima tahun terakhir menimpa pemerintah AS. SolarWinds mengelola jaringan beberapa korporasi dan lembaga pemerintah, termasuk Departemen Keuangan dan Departemen Perdagangan AS. Dengan malware itu, peretas diantaranya dapat memantau lalu lintas surat elektronik.

AFP/Olivier DOULIERY
Gedung Departemen Keuangan AS, di Washington, DC, 27 Maret 2020. Departemen ini menjadi salah satu sasaran dalam serangan siber terhadap lembaga pemerintah AS melalui perangkat lunak SolarWinds beberapa waktu lalu.

Peretas hampir selalu berhasil melakukan serangan pencurian data karena masih kurangnya kesadaran keamanan siber. Mereka juga memanfaatkan praktik buruk, dimana pengelola lalai menerapkan protokol kemanan data yang memadai, yang mengakibatkan data pengguna tidak terlindungi dan rentan terhadap pencurian dan pelanggaran.

Menurut perusahaan database Statista, pada 2020, biaya rata-rata untuk satu kasus pembobolan data di semua industri di seluruh dunia mencapai hampir 4 juta dolar AS. Ironisnya, biaya paling mahal terhadi di sektor perawatan kesehatan, dimana untuk setiap kebocoran, telah merugikan pihak yang terkena dampak sebesar 7,13 juta dolar AS. Di tengah pandemi Covid-19 saat ini, kerugian akibat serangan siber di sektor kesehatan akan semakin memperburuk kondisi.

Urutan berikutnya adalah di segmen industri energi dan keuangan. Di sini, setiap kasus pembobolan maupun kebocoran mengakibatkan kerugian sekitar 6,39 juta dolar AS dan 5,85 juta dollar AS.

Pembobolan yang terjadi pada sektor energi bisa berdampak fatal, seperti yang terjadi di AS saat serangan siber pada salah satu jalur pipa minyak menghentikan aliran bahan bakar di sebagian negara itu, Mei lalu. Serangan itu menimpa Colonial Pipeline dengan motode penanaman ransomware. Jalur pipa ini menyalurkan 2,5 juta barrel minyak per hari, 45 persen dari suplai disel, bensin, dan bahan bakar jet di kawasan pantai timur Amerika.

Pengelola harus menyerahkan 75 bitcoin atau sekitar 4,4 juta dollar AS kepada penyerang untuk mengembalikan kendali pada aplikasi perangkat lunak jaringan pipa Colonial. Pada Juni 2021, otoritas AS mengumumkan telah menyita kembali sebanyak 63,7 bitcoin pembayaran tebusan itu.

Kompas/P Raditya Mahendra Yasa
Sebagian pipa baja yang merupakan bagian proyek jaringan pipa gas PT Pertamina Gas di Sayung, Demak, Jawa Tengah, Kamis (18/6/2020). Infrastruktur vital seperti jaringan pipa minyak dan gas kian rawan terkena serangan siber, seperti yang dialami jaringan pipa Colonial di AS yang menghentikan aliran bahan bakar di sebagian negara itu.

Ketika penjahat dunia maya menjadi lebih terampil dan ancaman serangan digital terus meningkat, organisasi di seluruh dunia menghabiskan lebih banyak uang untuk keamanan dunia maya dalam upaya untuk menghindari serangan tersebut. Sebagai akibat langsung, pengeluaran tahunan di seluruh dunia untuk keamanan dan asuransi siber meroket dari 75,6 miliar dollar AS pada 2015 menjadi 124 miliar dolar AS pada 2019.

Pandemi Covid-19 yang sedang berlangsung juga berdampak besar pada keamanan siber. Penipuan online melonjak lebih dari 400 persen pada Maret 2020 dibandingkan bulan-bulan sebelumnya. Google mengungkapkan bahwa mereka memblokir lebih dari 18 juta malware dan phishing lewat surel yang terkait dengan Covid-19 setiap hari.

Dugaan kebocoran data yang terjadi di aplikasi eHAC tidak bisa dianggap remeh. Apalagi, kebocoran data pribadi warga Indonesia telah berulang kali terjadi. Bebocoran bisa terjadi karena serangan siber maupun pengelolaan keamanan yang buruk, misalnya pengelola mengabaikan dan tidak mengimplementasikan protokol privasi data yang tangguh.

Perlu dicari akar permasalahan untuk segera menambal segala kebocoran tersebut. Penguatan sistem keamanan data pribadi mutlak segera dilakukan sehingga tidak membuka peluang terjadinya kejahatan siber.

Kerabat Kerja

Penulis: Kurnia Yunita Rahayu, Rini Kustiasih, Mediana, Prasetyo Eko Prihananto | Foto: Ismail Zakaria, Kurnia Yunita Rahayu | Ilustrasi Kover: Supriyanto | Produser: Prasetyo Eko Prihananto | Desainer & Pengembang: Ria Chandra, Rino Dwi Cahyo, Frans Yakobus Suryapradipta, Yosef Yudha Wijaya, Deny Ramanda

Suka dengan tulisan yang Anda baca?

Nikmati tulisan lainnya dalam rubrik Tutur Visual di bawah ini.