Kebocoran data diduga kembali terjadi di instansi pemerintahan Indonesia. Kali ini, peretas mengklaim telah mendapatkan sekitar 230.000 data pribadi dari database pasien Covid-19 seluruh Indonesia.
KOMPAS/SPW—Unggahan peretas di situs Raid Forums yang mengklaim telah memiliki 230.000 data pribadi pasien Covid-19 di seluruh Indonesia, seperti yang terlihat pada Jumat (19/6/2020). Basis data ini berisi nama, alamat, nomor ponsel, hingga status infeksi Covid-19.
Kebocoran data diduga kembali terjadi di instansi pemerintahan Indonesia. Kali ini, peretas mengklaim telah mendapatkan sekitar 230.000 data pribadi dari basis data pasien Covid-19. Kejadian yang berulang ini menunjukkan bahwa keamanan siber institusi Pemerintah Indonesia belum terjamin.
ADVERTISEMENT
SCROLL TO RESUME CONTENT
Sebuah akun bernama Database Shopping pada situs Raid Forums mengklaim bahwa ia memiliki basis data berisi sekitar 230.000 data orang terkait Covid-19 di Indonesia. Ia mengklaim, data tersebut tertanggal 20 Mei 2020.
Basis data tersebut berisi informasi yang cukup mendetail: dari nama, nomor telepon, alamat, hasil tes PCR, hingga lokasi rumah sakit tempat dirawat. Ada juga kolom untuk pengisian NIK, tetapi pada sampel ini, tidak ada NIK yang diisi.
Dalam unggahannya di Raid Forums, pelaku juga melampirkan sampel data yang dimilikinya tersebut. Sampel tersebut berisi tujuh nama WNI dan tiga WNA berkategori pasien dalam pengawasan (PDP) dari Provinsi Bali.
Dihubungi lebih lanjut oleh Kompas, Database Shopping mengklaim data tersebut tidak hanya berasal dari Provinsi Bali, tetapi juga dari seluruh wilayah Indonesia. ”Seperti Jakarta, Bandung, dan lainnya,” tulisnya melalui surel pada Jumat (19/6/2020).
Ia memasang banderol 300 dollar AS untuk basis data yang berisi data pribadi 231.636 orang tersebut.
KOMPAS/SPW—Sampel basis data yang diunggah peretas di situs Raid Forums, seperti yang terlihat pada Jumat (19/6/2020). Nama, alamat, ditutup untuk melindungi pasien.
Chairman Lembaga Riset Keamanan Siber (Communication and Information System Security Research Center/CISSReC) Pratama Dahlian Persadha menilai bahwa data tersebut cukup berisiko karena berisi alamat rumah dan statusnya.
”Data memang menjadi hal yang diburu oleh para peretas dewasa ini. Tak Selalu mereka mencari data kartu kredit,” kata Pratama saat dihubungi Kompas pada Jumat (19/6/2020).
Menurut Pratama, hal ini menambah deretan buruk peretasan yang terjadi akhir-akhir ini. Perlindungan data dan keamanan siber, menurut dia, masih menjadi pekerjaan rumah yang berat.
Ketiadaan standar pengamanan data yang komprehensif menjadi salah satu tantangan. Pratama mengatakan, Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelengara Sistem Transaksi Elektronik (PSTE) dapat dijadikan acuan. Namun, regulasi ini tidak kuat.
”Di dalamnya hanya berisi imbauan untuk melakukan penguatan sistem, tanpa ada kejelasan bagaimana dan sanksi apa yang bisa dikenakan apabila terjadi pencurian data semacam ini,” kata Pratama.
Secara terpisah, Pendiri dan Ketua Indonesia Cyber Security Forum (ICSF) Ardi Sutedja juga berpendapat sama. Hingga saat ini, tidak ada peta jalan yang dapat menjadi acuan kapabilitas dan kemampuan perlindungan siber di instansi pemerintahan.
Manajer Indonesia Computer Emergency Response Team (ID-CERT) Ahmad Alkazimy berpandangan, belum ada standar keamanan siber di sektor pemerintah. Setiap institusi menerjmahkan sendiri standar keamanannya.
Untuk itu, menurut dia, Badan Siber dan Sandi Negara (BSSN) yang berfungsi sebagai Government Computer Security Incident Response Team (Gov-CSIRT) atau Tim Respons Insiden Keamanan Komputer Pemerintah dapat menciptakan standar keamanan.
”Misalnya, Gov-CSIRT bisa mengeluarkan standar minimum keamanan siber bagi instansi pemerintah. Seperti sistem operasi, aplikasi, sampai standard port jaringan yang digunakan,” kata Ahmad.
ID-CERT adalah organisasi pertama di Indonesia yang menangani pelaporan masalah keamanan siber di jaringan internet Indonesia. ID-CERT menjadi penghubung antara pihak yang menemukan celah keamanan dan institusi terkait.
Insiden ini adalah kejadian pembobolan kedua yang terkuak pada pekan ini. Sebelumnya, seorang peretas lain mengaku telah berhasil membobol Sistem Informasi Personel Polri (SIPP).
Dalam beberapa unggahan di situs Raid Forums, ia telah menunjukkan upayanya masuk ke dalam SIPP Kepolisian Daerah Sumatera Selatan.
Peretas dengan nama akun Hojatking ini pada awalnya menjual celah keamanan beserta akses masuk ke dalam situs yang diduga SIPP tersebut. Namun kini, setelah akses server berhasil ditutup, ia menjual data yang sudah disedot. Basis data tersebut kini dibanderol dengan harga 3.000 dollar AS.
Oleh SATRIO PANGARSO WISANGGENI
Editor: KHAERUDIN KHAERUDIN
Sumber: Kompas, 19 Juni 2020
