Badan Penyelenggara Jaminan Sosial (BPJS) Kesehatan mengaku sedang menelusuri kebenaran rumor tentang kebocoran data pribadi pelanggan yang ramai di media sosial. Dalam pernyataan resmi yang dikirimkan kepada VICE, Kepala Humas BPJS Kesehatan M. Iqbal juga menyebut pihaknya akan membuat tim untuk memproses ini.
“Saat ini kami sedang melakukan penelusuran lebih lanjut untuk memastikan apakah data tersebut berasal dari BPJS Kesehatan atau bukan. Kami sudah mengerahkan tim khusus untuk sesegera mungkin melacak dan menemukan sumbernya,” kata Iqbal.
Rumor mengenai kebocoran data pribadi dari lembaga tersebut dibahas di Twitter sejak Kamis (20/5) siang. Menurut tangkapan layar yang beredar, ada sebanyak 279 juta data pribadi penduduk Indonesia yang menjadi anggota BPJS Kesehatan diduga bocor, lalu dijual di forum internet, bernama Raid Forum, pada 12 Mei 2021. Sejumlah netizen menyebut itu merupakan forum peretas.
Di forum tersebut, muncul bermacam data sensitif seperti nama lengkap, nomor KTP, nomor telepon, penghasilan, alamat dan email individu. Kemudian, disebutkan juga ada 20 juta data yang memuat foto pribadi pemilik.
Akun tersebut juga menawarkan sebanyak satu juta data gratis sebagai sampel. Agar semakin meyakinkan, akun yang mengaku memiliki data pribadi itu menginformasikan kontak Telegram yaitu kotz1234567 bagi siapa saja yang berminat melakukan pembelian.
Iqbal menjamin lembaganya “konsisten memastikan keamanan data peserta BPJS Kesehatan dilindungi sebaik-baiknya.”
“Dengan big data kompleks yang tersimpan di server kami, kami memiliki sistem pengamanan data yang ketat dan berlapis sebagai upaya menjamin kerahasiaan data tersebut, termasuk di dalamnya data peserta JKN-KIS (Jaminan Kesehatan Nasional – Kartu Indonesia Sehat),” imbuhnya.
Munculnya rumor soal kebocoran data itu sendiri mencuat nyaris berbarengan dengan pernyataan resmi BPJS Kesehatan yang mengumumkan pengembangan jaringan ekosistem kesehatan digital, pada 20 Mei 2021.
“Pergeseran akses layanan kesehatan konvensional menjadi berbasis digital adalah sesuatu yang mutlak terjadi. Oleh karenanya kita hadirkan layanan dan produk digital untuk menjawab kebutuhan stakeholders JKN-KIS yang dinamis,” tutur Direktur Utama BPJS Kesehatan Ali Ghufron Mukti.
Selain membantu pendataan penerima vaksin Covid-19, ekosistem digital yang dibangun BPJS Kesehatan juga berisi data verifikasi klaim Covid-19 yang bisa diakses pemerintah. Peserta BPJS Kesehatan juga disebut bisa melakukan screening mandiri lewat aplikasi JKN di handphone masing-masing.
Jika terbukti, maka ini menjadi kasus kebocoran data pribadi yang kesekian kali terjadi di Tanah Air. Salah satu kasus kebocoran data pribadi yang paling menggegerkan terjadi pada Mei tahun lalu, saat 91 juta data konsumen Tokopedia yang disebar luas di sebuah forum. Sebelumnya, peretas menjual data tersebut seharga Rp70 juta. Namun, kemudian publik bisa mengunduhnya secara gratis.
Kasus lainnya adalah sebanyak 230.000 data pasien Covid-19 bocor dan diperjualbelikan pada pertengahan 2020. Informasi mengenai nama pasien dan kapan tes dilakukan bisa diakses di Raid Forum.
Dalam wawancara dengan VICE, praktisi keamanan siber Teguh Aprianto mengatakan kebocoran data pribadi di Indonesia bukan hal mengejutkan, termasuk menyangkut data medis. Menurutnya, semestinya suatu perusahaan atau lembaga yang mengelola data pribadi memenuhi persyaratan dan standar khusus demi menjamin keamanan. Sayangnya, proteksi berlapis masih belum banyak diterapkan lembaga pemerintah maupun perusahaan swasta.
“Jadi, itu memang harus diaudit dulu untuk memastikan sistemnya aman. Terus ada audit keamanan juga. Tapi, pada dasarnya, selama ini di Indonesia itu enggak dilakukan. Jadi, buat saya dapetin jutaan atau puluhan juta data penduduk bukan hal yang sulit. Data apapun lah,” kata Teguh.
Padahal, data kesehatan sejatinya dianggap sangat penting sehingga banyak negara bekerja keras menciptakan sistem yang tidak rentan untuk diretas. Bagi yang ingin membobol sistem keamanan data rumah sakit, Teguh menjelaskan perlu membuat ransomware terlebih dulu yang tentu membutuhkan banyak usaha.
“Tapi, kalau di Indonesia, mereka enggak perlu cara-cara kayak gitu. Cuma testing sekian jam udah bobol,” lanjut Teguh. “Karena ya Indonesia sekonyol itu untuk masalah keamanan [siber].”
Kebocoran data pribadi bisa berdampak sangat buruk bagi si pemilik. Misalnya, yang mempunyai informasi tentang nama, alamat dan nomor KTP orang lain berpotensi menyalahgunakan untuk serangan seperti doxxing atau phising. Risiko yang tak kalah berbahaya adalah data itu dimanfaatkan untuk transaksi jual-beli.
Pemerintah sejauh ini belum membuat langkah konkret untuk menjamin keamanan data pribadi penduduk. Naskah undang-undang Perlindungan Data Pribadi baru sebatas rancangan yang masih dibahas DPR bersama pemerintah. Alhasil WNI rentan menjadi sasaran kejahatan siber terkait penjualan data pribadi, dan belum memiliki payung hukum jelas untuk memperjuangkan haknya saat menjadi korban.
“Kita harapkan negara melakukan [perlindungan] apabila ada insiden yang melibatkan [kebocoran] data publik yang sangat banyak. Tapi, itu belum ada,” ucap Teguh. “Kita kalau mau lapor ke polisi juga kayak yang udah-udah, kalau enggak ada uangnya, enggak bakalan jalan laporan itu. Ya, kita masih hidup di Indonesia. Masih begitu-begitu.”
