Peretasan Data Covid-19 Sangat Berbahaya dan Bisa Menimbulkan Kekacauan

Pakar Keamanan Siber Pratama Persadha membenarkan kebocoran 230 ribu data terkait Covid-19. Kejadian ini tentu menambah buruk deretan peretasan yang berakhir dengan pengambilan data oleh peretas.

"Masih harus dicek dan digital forensik dari mana asal data tersebut, dari Kemenkes atau lembaga lain yang mengelola data Covid-19," ujar Pratama kepada Tekno Liputan6.com, Sabtu (20/6/2020) melalui pesan singkat.

Adapun data yang bocor terkait Covid-19 antara lain adalah tanggal laporan, status, nama responden, kewarganegaraan, kelamin, umur, telepon, alamat tinggal, resiko, jenis kontak, hubungan kasus, tanggal awal resiko, tanggal akhir resiko, tanggal mulai sakit, tanggal rawat jalan, faskes rawatjalan, tanggal rawatinap, faskes rawatinap, keluhan demam, keluahan sakit, tanggal pengiriman sampel, status ODP/PDP/Positif dan NIK.

"Data tersebut sebenarnya cukup berisiko terutama untuk pasien karena ada alamat rumah dan statusnya. Data memang menjadi hal yang diburu oleh para peretas dewasa ini, tak selalu mereka mencari data kartu kredit," ucapnya Pratama.

Selain itu, risiko dijauhi secara sosial juga cukup serius, karena masih ada bagian di masyarakat kita yang bersikap berlebihan pada pasien Covid-19.

"Ini juga sangat berisiko bagi negara. Terutama bila yang membeli data punya tujuan menciptakan kegaduhan di tengah masyarakat. Karena masih banyak masyarakat yang mudah tersulut dengan isu covid19. Misalnya melakukan pengucilan bahkan pengusiran, hal yang bisa menimbulkan gesekan horizontal," tutur Pratama

Pendiri dan Ketua CISSReC (Communication Information System Security Research Center) ini menilai, perlindungan data dan keamanan siber pada sistem di Tanah Air khususnya lembaga pemerintah memang masih menjadi pekerjaan rumah yang berat.

Utamanya karena faktor Undang-Undang, porsi anggaran, dan budaya birokrasi. Perbaikan ke arah pro penguatan siber di tiga hal itu akan membuat perlindungan data dan penguatan sistem elektronik bisa diaktualisasikan secara merata.

"Sebaiknya ini menjadi prioritas negara, bila tidak maka peristiwa peretasan akan semakin menghiasi pemberitaan nasional setiap harinya. Tentu hal ini tidak diinginkan," Pratama menegaskan.

Badan Siber dan Sandi Negara (BSSN) sendiri sudah merilis serangan siber di kuartal pertama 2020 meningkat belasan kali lipat dibanding 2019.

Lalu WFH juga menambah resiko serangan ke sistem milik perusahaan maupun instansi pemerintah, karena adanya resiko mengakses internet dengan jaringan dan perangkat tidak aman dari rumah. Hal ini nampak jelas belum menjadi perhatian negara dan juga umumnya sektor swasta di Indonesia.

Indonesia sudah memiliki BSSN, salah satu tugasnya memang membangun ekosistem bersama komunitas keamanan siber. Karena relatif masih baru, kerjasama juga masih dalam proses dengan lembaga negara lainnya.

Masalah utamanya adalah keamanan siber belum menjadi budaya birokrasi kita. Padahal sejak kabinet pertama berjalan, Presiden Jokowi selalu menekankan pentingannya e-Governance yang artinya kemudahaan akses digital harus diikuti oleh penguatan sistem keamanan sibernya.

"Ini tugas kita bersama, termasuk juga bagaimana negara membangun kesadaran keamanan siber sejak dini lewat pendidikan. Di level pengambil kebijakan juga harus ada perubahan paradigma serta postur anggaran untuk penguatan SDM, infrastrukur dan teknologi siber di tanah air. Karena ini perubahan dan penguatan harus sistematis, tidak hanya oleh satu dua lembaga saja," kata Pratama.

Misalnya saja soal peretasan sistem database di Polri. Pelaku di Raidforums melakukan aksi live meretas untuk meyakinkan para pembaca dan calon pembeli data. Ternyata pengumpulan data dilakukan selama 6 bulan. Artinya waktu selama itu tidak ada pengecekan dan penetration test oleh pihak Polri.

Hal semacam ini bisa dihindari dengan dua cara. Pertama penguatan kesadaran dan sistem keamanan siber di internal Polri. Kedua, model bug bounty, memberikan reward pada penemu celah keamanan. Ini yang belum biasa dilakukan di Tanah Air.

Masalah serius lainnya adalah soal regulasi perundang-Undangan. Kita memiliki PP no 71 tahun 2019 tentang Penyelenggara Sistem Transaksi Elektronik (PSTE).

Namun memang tidak kuat, di dalamnya hanya berisi himbauan untuk melakukan penguatan sistem, tanpa ada kejelasan bagaimana dan sanksi apa yang bisa dikenakan bila terjadi pencurian data semacam ini.

"Inilah pentingnya kita dorong dituntaskan UU Perlindungan Data Pribadi. Seperti di eropa dengan UU bernama GDPR (General Data Protection Regulation), diharapkan UU PDP bisa memberikan arahan standar keamanan dan sanksi bagi yang melanggar. Ini berlaku untuk semua lembaga, baik swasta dan negara," papar Pratama.

Nantinya ada standar teknologi yang dipakai seperti apa dan lembaga mana yang menentukan sebuah instansi lalai atau tidak mengamankan data dan sistem.

"Misalnya terjadi kebocoran data, akan di lakukan check list, apakah semua kewajiban para penyelenggara sistem elektronik dalam mengamankan sistem dan data sudah dilakukan," ia melanjutkan.

Bila ada yang belum dilaksanakan maka termasuk pelanggaran, maka terbuka kemungkinan digugat. Hal ini sudah dijalankan di eropa, bahkan di eropa lewat GDPR, maksimal gugatannya bisa 20 juta euro.

(Isk/Tin)