Jakarta, Prohealth.id – Permasalahan perlindungan data pribadi makin banyak pada masa pandemi Covid-19 karena tingginya aktivitas masyarakat secara digital.
Sepanjang September ini saja, Prohealth.id mencatat, telah ramai masalah kebocoran data aplikasi Electronic Health Alert Card (eHAC) dilanjutkan dengan bocornya sertifikat vaksinasi Presiden Joko Widodo. Tim Periksa Data mengatakan, data pengguna eHAC sebanyak 1,3 juta yang bocor ini adalah hasil temuan vpnMentor yang tengah berfokus pada upaya memperbaiki fenomena kebocoran data di berbagai negara.
Teguh Aprianto dari Tim Periksa Data memaparkan, terkait kebocoran data eHAC ini, analisa pertama mereka sangat sederhana. “Ini tidak akan dialamatkan terlalu jauh, tiada lain selain ‘untuk merespons temuan saja, pemerintah enggan,” terangnya.
Untuk merespons laporan ini tentu saja pemerintah dalam hal ini adalah Kementerian Kesehatan tidak perlu sampai melakukan telaah forensik digital [terhadap laporan]. “Toh Kementerian Kesehatan ketika memberikan konferensi pers terkait hal ini juga belum melakukan telaah forensik digital yang lengkap kan?,” ujarnya lagi.
Berikut adalah kronologi kebocoran data pribadi.
15 Juli 2021 : Kebocoran data ditemukan
21 Juli 2021 : Tim vpnMentor menghubungi Kementerian Kesehatan [nihil respons]
22 Juli 2021 : Tim vpnMentor menghubungi CERT Indonesia
25 Juli 2021 : Tim vpnMentor menghubungi Google
26 Juli 2021 : Tim vpnMentor menghubungi Kementerian Kesehatan kedua kalinya [masih nihil respons]
16 Agustus : Tim vpnMentor menghubungi “Indonesia Security Incident Response Team on Internet and Infrastructure/Coordination Center” (Id-SIRTII/CC)
22 Agustus 2021 : Tim vpnMentor menghubungi Badan Siber dan Sandi Negara (BSSN);
22 Agustus 2021 : BSSN Merespon
24 Agustus 2021 : Server dimatikan
Tim Periksa Data menilai, laporan apapun pada sifatnya adalah probative, yakni dapat memberi petunjuk dan menjadi bukti dasar, meskipun tentu saja diperlukan penelusuran lebih lanjut. Selain itu, Kementerian Kesehatan tampaknya perlu berdiskusi dengan Kepolisian Republik Indonesia mengenai bagaimana merespons laporan yang masuk.
“Apa iya jika masyarakat membuat laporan di Sentra Pelayanan Kepolisian (SPK) lalu Polisi yang bertugas di SPK itu hanya diam membisu, sambil senyum-senyum saja, tanpa merespons apapun hanya karena polisi perlu melakukan telaah forensik lebih dulu, atau setidaknya baru direspons melalui konferensi pers? Sudah keburu kabur malingnya, Pak,” sambung Teguh.
Dia menegaskan, Kementerian Kesehatan, harus memahami bahwa forensik digital itu beberapa langkah selanjutnya dari langkah pertama terhadap laporan yang masuk, yakni menjawab laporan. Terlebih, jika ada laporan yang masuk, Kemenkes dapat dimudahkan kerjanya dengan mengkonfirmasi kepada pelapor mengenai sampai derajat mana kebocoran data yang dilaporkan itu patut menjadi dugaan awal bahwa jangan-jangan memang terjadi kebocoran data.
“Sekali lagi, tentu saja logika awam ini tidak membutuhkan telaah forensik digital lebih dulu,” tuturnya.
Berikutnya, berapa lama sebenarnya waktu yang diperlukan untuk melakukan forensik digital? Sementara terkait kebocoran data perlu respons yang cepat, maka pemerintah perlu memahami bahwa pada banyak negara misalnya saja di Uni Eropa, dugaan kebocoran data harus direspons dengan cepat.
“Hal ini mengingat pentransferan data baik yang legal maupun ilegal berlangsung hanya dalam hitungan menit.”
Setidaknya, sejak 15 Juli 2021 hingga 22 Agustus 2021 ketika kasus ini baru direspons oleh BSSN, pemerintah telah membuang waktu sebanyak 38 hari. Tim Periksa Data juga menyoroti terkait menggantungnya masalah kebocoran data BPJS Kesehatan pada Mei lalu. Sampai saat ini masyarakat masih bingung dan belum mengetahui hasil telaah forensik digital terhadap kebocoran data BPJS.
Tim Periksa Data juga menegaskan langkah taktis pemerintah yang salah dan tidak tepat dalam antisipasi kebocoran data. Ambil saja contoh, jikalau pemerintah membutuhkan telaah forensik digital lebih dulu, maka mematikan server eHAC (server take-down) tidakkah menegaskan bahwa dugaan kebocoran data eHAC itu kuat terjadi?
Oleh karena itu, dugaan kebocoran data eHAC itu kuat terjadi, langkah mematikan server bukanlah langkah yang diperintahkan oleh PP No. 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik juncto Peraturan Menkominfo No. 20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik.
Dalam kedua aturan ini, yang mengikat segenap penyelenggara sistem elektronik, termasuk penyelenggara eHAC, memerintahkan langkah responsif berupa kewajiban melapor dalam kesempatan pertama kepada Kementerian Kominfo dan pihak berwenang lainnya serta wajib menyampaikan pemberitahuan secara tertulis kepada pemilik data pribadi yang datanya diketahui gagal dilindungi.
“Kebocoran data ini terus berulang. Pengulangan ini tentu saja menegaskan kepada publik Indonesia bahwa data pribadi yang tidak jarang data sensitif ini laku diperjualbelikan di perdagangan data virtual di luar sana, sekaligus menegaskan bahwa rantai perdagangan data patut dicurigai telah terjadi sedari hulu.
Oleh sebab itu Tim Periksa Data, mendesak pemerintah bukan hanya kementerian terkait yang sifatnya sektoral, agar menyusun langkah penyelesaian yang komprehensif. Adapun komprehensif berarti lintas-sektoral yakni pemerintah perlu menyusun cetak biru nasional perlindungan data pribadi, mulai dari pengumpulan data, retensi data, hingga pengamanan data yang disimpan.
“Jika sektor swasta saja bisa melakukan ini, mosok Pemerintah tidak bisa?” tegas Teguh dan Tim Periksa Data.
Penulis: Gloria Fransisca Katharina Lawi
Discussion about this post