23 November 2022
JAKARTA – Pemerintah kembali menjadi sorotan karena gagal melindungi data warga negara setelah dugaan pelanggaran terhadap aplikasi pelacakan COVID-19 PeduliLindungi – peretasan database pemerintah yang kedua kalinya sejak undang-undang privasi nasional diberlakukan pada bulan Oktober.
Pekan lalu, peretas alias hacker Bjorka yang sebelumnya mengaku telah memperoleh dan membocorkan data pribadi Presiden Joko “Jokowi” Widodo dan para menterinya, menawarkan 3,2 miliar entri data yang diduga milik pengguna aplikasi PeduliLindungi untuk dijual di situs peretasan. Forum senilai US$100.000 dalam bentuk bitcoin. Data tersebut mencakup detail kontak pengguna, detail KTP, riwayat perjalanan, status vaksinasi, dan hasil tes COVID-19.
Pemerintah menggunakan PeduliLindungi yang secara efektif diwajibkan untuk pelacakan kontak COVID-19 dan verifikasi vaksinasi.
Pejabat Badan Siber dan Sandi Negara (BSSN); Kementerian Komunikasi dan Informatika dan perusahaan telekomunikasi milik negara Telkom, yang membuat aplikasi tersebut; dan Kementerian Kesehatan, yang mengelola data aplikasi tersebut, mengatakan mereka masih menyelidiki dugaan pelanggaran tersebut dan memverifikasi keaslian data yang dicuri.
“Kami telah berkoordinasi dan memulai validasi data dan investigasi untuk memverifikasi dugaan kebocoran data PeduliLindungi,” kata Juru Bicara BSSN Ariandi Putra. Jakarta Post pada hari Jumat.
Menteri Kesehatan Budi Gunadi Sadikin membantah data tersebut berasal dari database PeduliLindungi yang dikelola pihaknya. kompas.com dilaporkan.
Insiden ini terjadi kurang dari seminggu setelah Bjorka menjual 44 juta catatan data pribadi yang diyakini milik pengguna aplikasi pembayaran bahan bakar MyPertamina di forum peretasan yang sama. Dugaan kebocoran tersebut sedang diselidiki oleh perusahaan minyak dan gas milik negara, Pertamina.
Transisi lambat
Undang-Undang Perlindungan Data Pribadi, yang disahkan pada bulan Oktober setelah serangkaian serangan digital terhadap institusi pemerintah dan swasta, memberikan warga negara kendali lebih besar atas informasi pribadi mereka secara online dan berupaya untuk memacu peningkatan keamanan siber. Hal ini memerlukan pengontrol dan pemroses data untuk memastikan hak “subjek data” dan keamanan data mereka, termasuk dengan menyiapkan firewall dan sistem enkripsi.
Namun undang-undang tersebut memberikan waktu dua tahun kepada pengontrol data untuk membangun sistem keamanan mereka, dan pengawas perlindungan data yang diminta untuk menjatuhkan sanksi dan denda belum dibentuk.
Para ahli menduga informasi pribadi sensitif di PeduliLindungi tidak terenkripsi. Terakhir kali PeduliLindungi memperbarui kebijakan privasinya adalah pada 8 Agustus, menurut situs webnya, sekitar dua bulan sebelum undang-undang privasi diberlakukan.
“Masa transisi menjadi masa kritis untuk memastikan kepatuhan pengontrol data. Hingga saat ini, dengan tidak adanya lembaga pengawas tersebut, masih belum jelas lembaga mana yang bertanggung jawab atas peran tersebut,” kata Wahyudi Djafar, Direktur Eksekutif Lembaga Penelitian dan Advokasi Kebijakan (Elsam).
Meskipun ada masa tenggang dua tahun untuk membangun sistem yang lebih baik, Wahyudi mengatakan Kementerian Kesehatan, sebagai pengendali data PeduliLindungi, setidaknya harus memberi tahu subjek data tentang kemungkinan pelanggaran dan memberi tahu mereka cara mengatasinya. menemukan masalahnya – sebagaimana diwajibkan oleh undang-undang privasi.
Hingga Senin malam, pemberitahuan seperti itu tidak ditemukan.
Pratama Persadha dari Pusat Penelitian Keamanan Sistem Komunikasi dan Informasi (CISSReC) tidak yakin dengan bantahan Menteri Kesehatan atas pelanggaran tersebut, karena data yang dijual Bjorka tampak identik dengan konten database PeduliLindungi, berdasarkan perbandingan sampel. Dia meminta kementerian melakukan analisis forensik digital untuk memverifikasi kebocoran tersebut.
Komisi I DPR yang membidangi intelijen dan informasi berencana membahas dugaan kebocoran data PeduliLindungi dengan Menteri Komunikasi pada hari Rabu, menurut anggota parlemen Muhammad Farhan dari Partai NasDem.
Tak lama setelah undang-undang privasi berlaku, Komisi I membentuk komite kerja keamanan data untuk memantau bagaimana pemerintah menerapkan undang-undang baru tersebut dan membangun sistem keamanan siber yang lebih kuat.