Data eHAC bocor, pakar siber sebut 'Infrastruktur keamanan digital pemerintah Indonesia sangat buruk'

Sekitar 1,3 juta data pengguna eHAC di Indonesia berisiko disalahgunakan, seperti untuk penipuan hingga yang paling parah adalah manipulasi data, menurut pakar siber.

Pemerintah mengakui ada kerentanan pengambilan data dan karena itu dilakukan perbaikan, tapi mereka menyangkal terdapat kebocoran data.

Celah pada sistem elektronik pemerintah ini bukan yang pertama.

Itu sebabnya pakar keamanan digital mengusulkan pembentukan otoritas mandiri dan percepatan pengesahan Rancangan Undang-Undang Perlindungan Data Pribadi (RUU PDP) untuk memberikan kepastian hukum perlindungan data.

Baca juga:

Di kalangan peretas, situs-situs pemerintah Indonesia tergolong "yang gampang dibobol", menurut Pakar Teknologi Informatika Onno Widodo Purbo. Laporan soal kerentanan sistem keamanan situs milik pemerintah bukan sekali dua ia dengar, tapi berkali-kali.

Karena itu pula insiden kebocoran data di sistem Indonesia Health Alert Card (eHAC) seperti bukan hal yang mengejutkan bagi Onno.

Ia bahkan mengaku putus asa memperingatkan institusi pemerintah ketika menemukan ada kerentanan pada sistem keamanan digital.

"Sebetulnya banyak situs pemerintah itu bolong dan yang melihat duluan itu hacker senior, lalu kami kasih tahu, sudah begitu mereka nggak bereaksi, dengan berbagai alasan," ungkap Onno kepada wartawan Nurika Manan yang melaporkan untuk BBC News Indonesia, Rabu (01/09).

"Yang sampai ngejebolin jebol bol itu biasanya hacker-hacker pemula. Dan itu kejadiannya akan satu atau dua tahun kemudian setelah bolong," lanjut dia.

"Dan selama setahun dua tahun itu, informasi di dalam yang bisa diambil itu parah-parah," ungkapnya.

Kebocoran data termasuk data pribadi warga yang belakangan terjadi pada sistem eHAC, lanjut Onno, berisiko disalahgunakan salah satunya untuk penipuan.

"Agak bahayanya begini, kalau nomor telepon [yang bocor] itu agak nyebelin. Kalau sampai ada nomor paspor, nomor KTP, nama kita, itu bisa dipakai jadi orang pura-pura jadi kita, misalnya mau pinjam duit atau apa, nanti yang kena kita," terang dia.

"Itu bisa dipakai buat manipulasi, misalnya, bayangkan kalau hacker-nya dapat data pribadi lengkap begitu, dia kan bisa nyaru jadi siapa saja," tambahnya.

Padahal insiden kebocoran data, lanjut Onno, mestinya tak boleh sampai dialami oleh institusi pelayan publik. Berulangnya pembobolan data pribadi menurut dia dapat menggerus kepercayaan warga terhadap layanan pemerintah.

Baca juga:

Infrastruktur keamanan digital pemerintah dikenal 'sangat buruk'

Konsultan keamanan siber dan pendiri Ethical Hacker Indonesia, Teguh Aprianto, memperkirakan kebocoran data akan terus terjadi sepanjang pengelolaan dilakukan serampangan dan mengabaikan aspek keamanan.

Ditambah lagi, kata dia, infrastruktur sistem keamanan digital pemerintah selama ini dikenal "sangat buruk sekali".

"Mau itu eHAC yang lama atau yang baru, data masyarakat tetap saja sudah bocor," tutur dia kepada BBC News Indonesia.

"Ini memperlihatkan mereka sembarangan sekali mengelola data pribadi kita semua. Masyarakat dipaksa untuk menggunakan aplikasi milik pemerintah tanpa penjelasan dan jaminan sama sekali," lanjutnya.

"Setelah ada insiden kebocoran data, yang mereka lakukan malah cuci tangan tanpa meminta maaf dan bertanggung jawab. Ini memalukan sekali," ucap dia lagi.

Sebagai gambaran, menurut Teguh, untuk membobol situs milik pemerintah "hanya perlu waktu tak lebih dari semenit", untuk serangan yang bersifat acak. Sementara untuk serangan yang ditargetkan, ia bilang, "tak sampai satu hari" untuk bisa menemukan kerentanan di laman milik pemerintah Indonesia.

Teguh pun menerangkan, data pribadi adalah sekumpulan informasi berisi identitas seseorang. Jadi ketika informasi itu dikelola serampangan dan bocor, pemilik data akan rentan menjadi korban kejahatan dunia maya maupun ancaman nyata sehari-hari.

Ia mencontohkan, kasus paling gampang adalah data hasil curian itu dipakai untuk mengajukan kredit sehingga yang harus membayar tagihan adalah pemilik data asli.

Baca juga:

Risiko lain, pemilik data juga rentan menjadi korban doxing atau penyebarluasan informasi pribadi ke publik, phising atau penipuan dan jenis kejahatan lain.

"Kebocoran data itu bisa dicegah, contohnya dengan mempersiapkan insfrastruktur yang baik dan juga menerapkan enkripsi untuk data masyarakat yang disimpang," jelas Teguh.

Kewajiban kementerian dan lembaga menerapkan enkripsi menurut dia, sudah diatur melalui Surat Edaran Menkominfo Nomor 3 Tahun 2021.

"Tapi pada praktiknya ini tidak dilakukan, jika dilakukan dan ada insiden kebocoran data, data yang bocor tidak akan bisa dibaca begitu saja karena dibutuhkan kunci enkripsi untuk membacanya," paparnya.

Pemerintah klaim tidak ada kebocoran data eHAC

Pemerintah melalui Kementerian Kesehatan bersama Badan Siber dan Sandi Negara (BSSN) mengklaim data 1,3 juta pengguna eHAC tidak bocor.

Yang terjadi menurut Juru Bicara BSSN Anton Setiyawan, belum sampai kebocoran data melainkan laporan pemberitahuan dari VPN Mentor mengenai kerentanan sistem keamanan eHAC. Ia menyebut proses ini sebagai bagian dari trade information sharing atau pertukaran informasi antar-pihak yang fokus terhadap keamanan siber.

"Satu koma tiga juta itu tidak bocor ya, itu hanya proof on concept bahwa teman-teman di VPN Mentor menemukan celah yang orang bisa mengambil data tersebut," terang Anton dalam konferensi pers daring pada Rabu (01/09).

"Dan itu sudah diverifikasi oleh BSSN, kalau tidak ditutup, maka celah itu akan bisa digunakan. Tapi sampai saat ini tidak ada data yang bocor, makanya kami juga akan memverifikasi kembali," lanjutnya.

Baca juga:

Karena itu kemudian, Anton menambahkan, BSSN merekomendasikan penguatan keamanan untuk sistem aplikasi "Peduli Lindungi" yang kini digunakan untuk penanganan Covid-19. Dan mengimbau warga untuk memakainya.

Kepala Pusat Data dan Informasi Kemenkes, Anas Mas'ruf, mengatakan bakal terus berkoordinasi dengan Kementerian Komunikasi dan Informatika, BSSN dan, Direktorat Siber Bareskrim Polri untuk melakukan proses investigasi lanjutan.

"Investigasi bahwa tidak ada kerentanan lain yang bisa digunakan untuk mengeksploitasi kerentanan sistem tersebut," tutur Anas dalam jumpa pers yang sama.

"Kemenkes memastikan data masyarakat di sistem eHAC tidak bocor dan dalam perlindungan. Data masyarakat dalam eHAC tidak mengalir ke platform mitra," kata dia.

Pendiri Ethical Hacker Indonesia yang juga peneliti keamanan siber, Teguh Aprianto, sangsi dengan klaim pemerintah bahwa data pribadi di eHAC itu tidak bocor.

"Ini penyakit yang mendarah daging, selalu denial," tutur dia.

"Memang mereka bisa memastikan bukan hanya pihak VPN Mentor yang mendapat akses tersebut? Karena yang diakses oleh VPN mentor itu adalah database di Elasticsearch yang bisa diakses oleh siapapun karena publicly accessible," jelas Teguh.

Pasalnya, "celah" tersebut baru ditutup pemerintah pada 31 Agustus 2021--berdasarkan keterangan pada konferensi pers Kemenkes dan BSSN. Sedangkan informasi bahwa basis data pengguna eHAC bisa diakses oleh siapapun sudah tercium oleh peneliti VPN Mentor sejak 15 Juli 2021.

Dalam laporan yang dirilis ke publik, VPN Mentor menyebut menemukan data-data eHAC tanpa rintangan pada Juli 2021.

Menurut VPN Mentor, pembuat aplikasi menggunakan database Elasticsearch yang tidak dienskripsi dan tidak memiliki tingkat keamanan yang rumit, sehingga mudah dan rawan diretas.

Itu artinya, tidak ada yang bisa memastikan bahwa di antara rentang Juli hingga Agustus itu data pengguna eHAC tak diakses pihak lain selain VPN Mentor.

Melalui konferensi pers pada Rabu (01/09) kemarin, Juru Bicara BSSN Anton Setiyawan pun mengakui menemukan kerentanan berupa "sensitive data exposure".

"Jadi kalau sistem elektronik bekerja, itu kan menggunakan port untuk bertransaksi data, nah port ini yang memiliki kerentanan yakni sensitive data exposure," papar Anton.

"Seharusnya data itu tidak bisa dimasuki oleh pihak yang tidak berwenang, ini yang ditemukan pihak VPN Mentor ini juga yang kemudian ditutup dan dikendalikan aksesnya," jelas dia.

Kendati begitu, pejabat BSSN tersebut bersama Kemenkes berulang kali mengklaim bahwa tidak ada kebocoran data pengguna eHAC.

Adapun data dalam platform mitra , menurut pemerintah, merupakan tanggung jawab penyelenggara sistem elektronik atau penyedia aplikasi sesuai Undang-Undang Informasi dan Transaksi Elektronik juga Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik.

"Tentu, ada tanggung jawab dari mitra yang nantinya akan dilakukan, tapi yang utama memperbaiki celah tersebut dan segera meningkatkan keamanan," kata Anton meski tak detail memaparkan.

Baca juga:

Siapa yang bertanggung jawab?

Pakar keamanan digital yang juga Direktur Eksekutif ELSAM, Wahyudi Djafar, membeberkan, sanksi atas kegagalan dalam perlindungan data pribadi sebenarnya diatur dalam Permenkominfo Nomor 20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik—baik sektor swasta maupun pelayanan publik.

Ia pun menuturkan, tanggung jawab tak hanya dibebankan pada pihak ketiga sebagai penyedia aplikasi, melainkan juga kementerian atau lembaga pengendali dan pemroses data.

"Sanksinya peringatan lisan, peringatan tertulis, sampai pencabutan izin aplikasinya atau diblokir," terang Wahyudi.

Tapi pada praktiknya, hal itu sulit diterapkan.

"Sejauh ini belum ada preseden, Kementerian A memberikan teguran atau peringatan lisan ke Kementerian B. Meskipun ada aturannya, saya sih tidak yakin bahwa aturan itu akan dapat diterapkan," imbuhnya.

"Apakah wajar ketika Menteri Komunikasi memberikan teguran ke Menteri Kesehatan? Karena kan mereka dalam level hubungan setara," tutur dia.

Selama ini menurut dia, pemerintah terkesan hanya gigih menindak jika pelanggaran perlindungan data pribadi dilakukan pihak swasta. Sementara sejumlah insiden kebocoran data pribadi yang melibatkan institusi pemerintah justru tak jelas ujungnya.

Itu sebab menurut Wahyudi, penting untuk menghadirkan otoritas perlindungan data pribadi yang mandiri. Sehingga, lembaga ini bukan hanya memastikan kepatuhan sektor swasta dan pemerintah dalam melindungi data pribadi, melainkan juga menjamin penerapan sanksi yang adil baik bagi semua pihak.

Otoritas perlindungan data itu juga berfungsi menampung laporan pengaduan warga.

"Meskipun sekarang di Permenkominfo juga mengatur warga negara atau subjek data bisa mengadu kepada kominfo ketika data pribadinya disalahgunakan atau bocor untuk dimediasi, tapi kan presedennya belum ada," ungkap Wahyudi.

"Karena orang juga bingung, saya harus ke kemenkominfo atau ke kemenkes sebagai penyedia layanan eHAC. Karena masih ada sektoralitas," tambahnya.

"Harapannya dengan otoritas perlindungan data itu ada, sebagai otoritas yang mandiri, dia akan memotong sektoralisme tadi jadi akan lebih jelas dan akan memberikan kepastian hukum dalam perlindungan data pribadi," tutur dia.

'Kalau mengacu EU GDPR bisa diklasifikasikan pelanggaran berat'

Padahal jika digolongkan dalam jenis pelanggaran menurut EU General Data Protection Regulation atau Regulasi Umum Perlindungan Data dalam hukum Uni Eropa, insiden kebocoran eHAC tersebut menurut Wahyudi terindikasi masuk ke pelanggaran berat.

Sebab, sistem keamanan data tidak memenuhi protokol privasi. Termasuk, ketiadaan pembatasan akses data pengguna eHAC.

"Kalau dari apa yang disampaikan VPN Mentor, proses yang sudah dilakukan, bahwa tahu ada kebocoran dan tidak segera memberikan notifikasi ke otoritas dan kepada publik sebagai subjek data, kalau mengacu ke preseden yang berlaku di negara lain misalnya EU GDPR, maka bisa diklasifikasikan sebagai pelanggaran berat," ungkapnya.

Namun problemnya, dari sedikitnya 46 legislasi sektoral terkait data pribadi, menurut Wahyudi belum ada yang mengatur secara detail elemen-elemen pelanggaran terhadap data pribadi. Berbeda dengan GDPR di Uni Eropa yang sudah mengklasifikasikan pelanggaran ringan, sedang hingga, berat.

Masalah itu menurutnya bisa terjawab dengan kehadiran Undang-Undang Perlindungan Data Pribadi. Karena itu menurut Wahyudi, ELSAM yang juga tergabung dalam Koalisi Advokasi Perlindungan Data Pribadi (KA-PDP) mendesak percepatan pembahasan rancangan undang-undang sebagai payung hukum yang komprehensif.

Menyusul serangkaian kebocoran data pribadi yang melibatkan institusi pemerintah, koalisi menurut Wahyudi juga tengah mempertimbangkan untuk mengajukan gugatan warga negara atau Citizen Law Suit.

"Belajar dari pengalaman kasus Tokopedia yang proses pembuktiannya berat ketika hanya menggunakan mekanisme perbuatan melawan hukum dalam KUHPerdata, kami sedang diskusi dengan melanisme CLS, apakah mungkin dilakukan," ungkap Wahyudi.

Dia pesimistis dengan langkah penanganan kasus kebocoran data yang selama ini dikerjakan pemerintah. Pasalnya menurut Wahyudi, tak satupun pengusutan kasus yang transparan diungkap ke publik.

Insiden bobolnya data pribadi warga kerapkali tak diikuti penyempurnaan regulasi maupun penegakan hukum.

"Kita tu tidak pernah mendapatkan laporan yang utuh yang akuntabel dari semua kasus yang terjadi. Kenapa kasus itu terjadi, seperti apa, risikonya apa, mitigasi apa yang sudah dilakukan, apa upaya untuk memastikan bahwa keamanan sistem berikutnya andal agar kebocoran tidak terulang kembali," pungkas Wahyudi.

Baca juga:

Yang lebih berbahaya dari kebocoran data pribadi

Kebocoran data pribadi bukan satu-satunya dampak membahayakan buah rapuhnya sistem keamanan siber pemerintah Indonesia. Kembali menurut pakar teknologi informatika Onno Purbo, yang lebih mengerikan dari lemahnya infrastruktur keamanan digital adalah data yang dicuri tapi pemerintah tak menyadari.

Pembobolan data berpotensi terjadi baik untuk informasi pribadi maupun data krusial lain. "Kalau jebol, kita tahu kondisi ini jebol, kan jadi kita mundur semua, kita bikin benteng pertahanan kan," kata dia.

"Nah kalau jebol, tapi nggak ketahuan jebol, wah itu yang serem banget. Dan kalau ngomong terus terang, lebih banyak yang seperti itu," ungkapnya.

"Ini sering nih anak-anak [kalangan peretas] ngomong ke saya, ini sistem yang ini bolong nih. Wah kalau sampai jebol gimana? Bakal gini, gini, gini. Ini kejadian bener nih, baru beberapa hari yang lalu," cerita dia.

"'Saya sudah ngasih tahu ke adminnya, tapi nggak respons, terus saya harus ngapain'," kata Onno lagi menirukan informannya.

Ia lantas menceritakan ulang kejadian beberapa tahun silam, ketika sejumlah peretas menemukan sistem keamanan di salah satu instansi pemerintah bisa dijebol. Kala itu, ia menuturkan, tak ada yang menyadari sejumlah dokumen penting hingga data-data pribadi anggota instansi diambil para peretas.

Analisis salah satu mahasiswa pascasarjana Onno mendapati, sistem keamanan digital pemerintah Indonesia buruk.

"Dia menganalisa kelemahannya, istilah di kami vulnarable analysis, terus dia bilang, banyak banget yang bolong ... kalau hasil analisanya sih, nggak bagus ya, jelek. Itu kondisi riilnya," ungkap peraih Postel Award 2020 karena kontribusinya terhadap komunitas internet global tersebut.

Apa tanggapan Kominfo?

Atas pelbagai kerentanan sistem keamanan tersebut, Direktur Jenderal Informasi dan Komunikasi Publik Kominfo, Usman Kansong, mengatakan pemerintah tengah membangun Pusat Data Nasional dengan tingkat perlindungan tinggi.

Menurut dia, langkah itu dilakukan untuk meningkatkan proteksi terhadap data pemerintah termasuk informasi pribadi warga. Hanya saja ia belum bisa memastikan kapan pengerjaan ini rampung.

Usman juga tak merinci nilai anggaran untuk peningkatan sistem keamanan digital pemerintah tersebut. Namun ia menjamin alokasi dana itu cukup untuk perbaikan infrastruktur perlindungan data.

"Pemerintah sekarang ini sedang membentuk semacam pusat data nasional, supaya data itu tersimpan di satu tenpat penyimpanan atau gudang. Tapi pemegang kuncinya beda-beda. Jadi nanti kominfo yang punya gudangnya itu," terang Usman kepada BBC News Indonesia.

"Nanti seluruh data kementerian dan lembaga akan dimasukkan ke situ. Dan sekarang sedang kami siapkan infrastrukturnya, supaya lebih aman secara teknikal. Jadi kita cukup mengamankan satu pusat data," imbuhnya.

Dibandingkan harus mengamankan data yang tersebar di berbagai kementerian dan lembaga, menurut Usman, akan lebih mudah jika pengamanan data dilakukan di satu titik yakni melalui Pusat Data Nasional.

Ketika ditanya kemungkinan jika pusat data nasional tersebut kelak juga rentan dibobol, Usman menjanjikan, gudang penyimpanan data itu bakal memiliki sistem perlindungan berlapis.

"Kan kalau menjebol pintu gudangnya, belum tentu bisa menjebol kotak-kotak lainnya," katanya beralasan.

Kendati begitu ia mengakui hingga kini kementeriannya memang belum memiliki analisis kerentanan sistem keamanan digital situs pemerintah. Usman beralasan, data yang ada masih tersebar di masing-masing instansi.

"Mengukur [kerentanan ataupun tingkat keamanan] kan [belum bisa] karena masih tersebar kan datanya. Nanti kalau sudah ada pusat data nasional, bisa. Kalau sekarang kan terpisah-pisah, wali datanya belum di kami," tuturnya.

Saat ini Kominfo masih menunggu hasil investigasi lanjutan dari BSSN terkait insiden dugaan kebocoran data e-HAC. Selanjutnya, kata Usman, Kominfo bisa saja menindaklanjuti dengan pelaporan ke kepolisian jika ada indikasi pelanggaran hukum atau, memberikan teguran tertulis ke Kementerian Kesehatan jika ditemukan kelalaian.

"Belum sampai ke arah sana, karena tindak lanjut berikutnya dilakukan oleh BSSN. Ya kalau nanti menemukan kami akan melibatkan Bareskrim Polri, tapi sejauh ini belum menemukan," tuturnya.

Jika memang ditemukan pelanggaran, kementeriannya tak ragu menerapkan sanksi sesuai aturan. Usaman mengklaim, Kominfo sudah pernah memberikan teguran tertulis ke lembaga maupun instansi yang melanggar ketentuan perlindungan data pribadi.

"Kami sudah melakukan beberapa kali teguran-teguran itu ke beberapa lembaga. Tapi saya tidak perlu saya sebutkan lah [instansinya]. Kami pernah menegur, ya itu untuk memperbaiki," kata Usman.