Seorang peserta BPJS Kesehatan mencoba aplikasi mobile JKN di Kantor BPJS Kesehatan cabang Jakarta Selatan, Jakarta, Senin (19/10) | Prayogi/Republika

Kabar Utama

Polri Usut 270 Juta Data Bocor

Kebocoran data Badan Penyelenggara Jaminan Sosial (BPJS) Kesehatan sangat berbahaya dampaknya.

JAKARTA -- Direktorat Tindak Pidana Siber (Dittipidsiber) Bareskrim Polri berencana membentuk tim untuk menyelidiki kasus dugaan bocornya 279 juta data penduduk. Tim bentukan yang dipimpin Ditsiber itu didukung satuan lain, termasuk dari Polda Metro Jaya. 

"Betul dengan dibentuk tim terkait kebocoran data. Ada PMJ (Polda Metro Jaya) perkuatan dan labfor (Laboratorium Forensik)," kata Direktur Tindak Pidana Siber Bareskrim Polri Brigjen Slamet Uliandi saat dikonfirmasi, Ahad (23/5).

Selain itu, menurut Slamet, pihaknya juga akan memanggil Direktur Utama Badan Penyelenggara Jaminan Sosial (BPJS) Kesehatan, Ali Ghufron Mukti. Rencananya, Ali Ghufron dipanggil untuk dimintai klarifikasi pada Senin (24/5). 

Kasus tersebut sudah masuk ranah penyelidikan dan Polri akan menanyakan hal teknis kebocoran itu. "Konfirmasi siapa yang mengoperasikan data. Lanjut digital forensik," tutur Slamet.

Kabareskrim Polri Komjen Pol Agus Adriansyah menambahkan, upaya menelusuri kebocoran data pribadi warga negara Indonesia tersebut juga dilakukan oleh Kementerian Komunikasi dan Informatika, BPJS Kesehatan, serta Direktorat Jenderal Dukcapil, Kemendagri. "Saat ini, dari Kemenkominfo, Kependudukan, dan BPJS sedang mendalami hal kebocoran tersebut," katanya.

 
 
 
View this post on Instagram
 
 
 

A post shared by Republika Online (@republikaonline)

Sementara itu, Direktur Tindak Pidana Siber Brigjen Pol Slamet Uliadi menyebutkan, akan meminta klarifikasi direktur BPJS Kesehatan terkait kebocoran data tersebut. "Saya panggil klarifikasi Senin (24/5) dirut BPJS Kesehatan," kata Slamet.

Sebelumnya, sebanyak 1.000.002 data pribadi yang kemungkinan adalah data dari BPJS Kesehatan diunggah di internet. Sebuah akun Twitter dengan nama samaran Kotz memberikan akses download (unduh) secara gratis untuk file sebesar 240 megabit (Mb) yang berisi 1.000.002 data pribadi masyarakat Indonesia.

File tersebut dibagikan sejak 12 Mei 2021. Pelaku penjual data tersebut mengeklaim, isi data berisi NIK, nomor telepon genggam, hingga alamat tercantum dalam folder data. Selain itu, ada juga data nomor NPWP, jumlah gaji, data keluarga, dan status pembayaran BPJS Kesehatan. 

Dalam sebuah tangkapan layar, pelaku mengatakan bahwa sumber data tersebut berasal dari BPJS Kesehatan.  Setelah ramai menjadi perhatian publik, akun tersebut mengeklaim mempunyai lebih dari 270 juta data lainnya yang dijual seharga 6.000 dolar AS. 

Kebocoran data di dunia maya sedianya bukan barang baru. Kendati demikian, dalam kasus-kasus sebelumnya, yang bocor adalah data yang diunggah pengguna media sosial, seperti Facebook, Instagram, atau Twitter. Baru kali ini terjadi kebocoran data secara masif menyangkut data kependudukan warga Indonesia.

photo
Warga mencari informasi tentang keaktifan keanggotaan BPJS Kesehatan melalui aplikasi Mobile JKN di Jakarta, Selasa (3/11/2020). Badan Penyelenggara Jaminan Sosial (BPJS) Kesehatan per 1 November 2020 akan mulai melakukan cleansing data atau penonaktifan sementara bagi peserta yang memiliki data tidak lengkap dan bermasalah, selanjutnya akan diaktifkan kembali apabila menunjukkan Kartu Tanda Penduduk (KTP) atau Kartu Keluarga (KK). - (ANTARA FOTO/Aprillio Akbar)

Sejauh ini, Kemenkominfo telah memblokir akun dan tautan yang menyebarkan dan menjual beli data pribadi tersebut. Hal ini sebagai upaya mengantisipasi persebaran data pribadi luas dugaan kebocoran data pribadi yang berasal dari BPJS Kesehatan. Namun, upaya pemblokiran ini sedianya mubazir karena akses terhadap data itu masih tetap terbuka bila dijejaki dari jalur non-Indonesia.

Juru Bicara Kemenkominfo Dedy Permadi mengatakan, pihaknya mengidentifikasi Raid Forums sebagai forum yang banyak menyebarkan konten yang melanggar perundang-undangan di Indonesia. “Sehingga website tersebut, termasuk akun bernama Kotz sedang dilakukan proses pemblokiran," kata Dedy dalam keterangan tertulisnya, Sabtu (22/5).

Dedy melanjutkan, tautan yang digunakan untuk mengunduh data pribadi tersebut juga dilakukan pemblokiran. Ada tiga tautan yang dideteksi menyebar data, yakni di bayfiles.com, mega.nz, dan anonfiles.com. "Kesemuanya telah dilakukan pemblokiran," kata Dedy.

Hingga Sabtu (22/5), Kemenkominfo telah mengidentifikasi jumlah data yang lebih besar dan memperluas investigasi terhadap sekitar satu juta data yang diklaim sebagai data sampel oleh penjual. Dari hasil investigasi secara acak terhadap sekitar satu juta data itu, dapat disimpulkan bahwa Kemenkominfo dan Badan Siber dan Sandi Negara (BSSN) perlu melakukan investigasi lebih mendalam bersama dengan BPJS Kesehatan.

Dedy menjelaskan, sesuai dengan amanat PP 71 tahun 2019, Kemenkominfo juga telah melakukan pemanggilan terhadap Direksi BPJS Kesehatan pada Jumat (21/5) lalu. "Sebagai pengelola data pribadi yang diduga bocor untuk proses investigasi secara lebih mendalam," kata Dedy.

Salah satu hasil pemanggilan, BPJS Kesehatan akan segera melakukan investigasi kebocoran data pribadi yang diduga berasal dari lembaganya. "Hasil pemanggilan Kominfo terhadap pengelola BPJS (Kesehatan), pada Jumat, 21 Mei 2021, BPJS segera akan memastikan data pribadi yang diduga bocor," kata Dedy Permadi saat dikonfirmasi pada Jumat kemarin.

Dedy memastikan, tim internal dari BPJS Kesehatan akan menguji ulang data pribadi yang diduga bocor. Kemenkominfo juga akan memantau proses investigasi dari tim internal BPJS Kesehatan tersebut. "Investigasi yang dilakukan oleh tim internal BPJS akan selalu dikoordinasikan dengan Kementerian Kominfo dan BSSN,” kata Dedy.

Dedy melanjutkan, BPJS Kesehatan juga memperketat pengamanan data sebagai langkah lanjutan atas dugaan kebocoran data pribadi. "Langkah-langkah pengamanan data akan dilakukan oleh BPJS untuk memitigasi risiko kebocoran data pribadi yang lebih luas," ujarnya.

Terkait kebocoran data itu, Direktur Utama BPJS Kesehatan Ali Ghufron sementara ini enggan menjabarkan lebih jauh. "Kami sudah klarifikasi ke Bareskrim dan diterima dengan baik soal dugaan pencurian data,’’ ujar dia singkat kepada Republika, Ahad (23/5).

Sedangkan Kepala Humas BPJS Kesehatan, Iqbal Anas Ma’ruf menegaskan bahwa saat ini sedang dilakukan penelusuran lebih lanjut guna memastikan apakah data yang bocor berasal dari BPJS Kesehatan atau bukan. Kepada Republika, Ahad (23/5), ia mengatakan bahwa BPJS Kesehatan sudah mengerahkan tim khusus untuk sesegera mungkin melacak dan menemukan sumbernya.

photo
Direktur Utama Badan Penyelenggara Jaminan Sosial (BPJS) Kesehatan Ali Ghufron Mukti mengikuti Rapat Dengar Pendapat (RDP) dengan Komisi IX DPR di Kompleks Parlemen, Senayan, Jakarta, Rabu (17/3/2021). - (ANTARA FOTO/Galih Pradipta)

Sebelumnya, Menteri Pendayagunaan Aparatur Negara dan Reformasi Birokrasi (PANRB) Tjahjo Kumolo juga menyesalkan kebocoran data tersebut. Tjahjo menyatakan bahwa dalam pasal 26 ayat (1) UU 19/2016 tentang Informasi dan Transaksi Elektronik, tertulis bahwa penggunaan setiap informasi melalui media elektronik yang menyangkut data pribadi seseorang harus dilakukan atas persetujuan orang yang bersangkutan.

Dasar tersebut kemudian diturunkan dalam Peraturan Menteri Komunikasi dan Informatika No 20/2016 tentang Perlindungan Data Pribadi Dalam Sistem Elektronik. Pada pasal 36 peraturan menteri tersebut, pihak yang menyebarluaskan data pribadi dikenai sanksi berupa peringatan lisan, tertulis, penghentian kegiatan, atau pengumuman di situs online.

“Kementerian PANRB mendorong DPR untuk segera mengesahkan RUU Perlindungan Data Pribadi demi terjaminnya data masyarakat, khususnya ASN yang dalam hal ini dirugikan atas kebocoran data BPJS Kesehatan tersebut,” ujar Tjahjo.

Ancam Keamanan Nasional

Pakar hukum Universitas Al-Azhar Indonesia, Suparji Ahmad menilai, dugaan kebocoran data BPJS Kesehatan sangat berbahaya dampaknya. Bahkan, lebih berbahaya dibandingkan bocornya data pengguna Facebook beberapa waktu lalu.

"Kebocoran data BPJS meliputi data yang lebih lengkap dan jumlah datanya lebih banyak sehingga potensi disalahgunakan lebih besar," ujar Suparji saat dihubungi melalui pesan singkat, Ahad (23/5).

Suparji mengatakan, kebocoran data informasi masyarakat Indonesia yang lebih lengkap dan lebih besar jumlahnya menjadi bukti lemahnya perlindungan data pribadi. Dengan data itu, cukup bagi pelaku tindak kejahatan untuk melakukan phishing, misalnya, yang ditargetkan atau jenis serangan rekayasa sosial (social engineering).

Karena itu, Suparji meminta agar pihak berwajib harus segera mengusut kasus ini dengan tuntas. Bahkan, harus ada yang bertanggung jawab atas kebocoran data ratusan juta warga Indonesia ini. Dengan begitu, ada efek jera dan diharapkan ke depannya, tidak ada lagi yang coba membocorkan atau mencuri data masyarakat dari BPJS Kesehatan ataupun instansi lainnya.

"Penyebab terjadinya kebocoran dan pihak yan diduga melakukan harus diminta pertanggungjawaban hukum," kata Suparji. Dia menekankan agar pemerintah segera merampungkan Rancangan Undang-Undang Perlindungan Data Pribadi (RUU PDP). Karena meski bukan menjadi satu-satunya menjadi penentu keberhasilan, undang-undang tersebut menjadi upaya untuk melindungi data pribadi. 

Dosen Cyberlaw International Islamic University Malaysia, Prof Sonny Zulhuda mengatakan, jika RUU PDP yang saat ini masih dibahas di DPR rampung, berdasarkan naskah yang dibahas awal tahun 2020 akan ada kewajiban pelaporan atau pemberitahuan insiden kebocoran data. Dalam istilah norma internasional adalah “data breach notification”.

"Skenarionya begini, ketika tersinyalir indikasi kebocoran data dari mana pun sumbernya, maka pihak pengendali atau pengelola data akan diwajibkan menyampaikan ke semua orang (pelanggan, pekerja, dan lain-lain), yang datanya berpotensi terdampak serta ke pihak berwajib sambil menunggu hasil investigasi menyeluruh," ujar Prof Sonny kepada Republika, Ahad (23/5). 

Dia mengatakan, pelaporan ini tidak harus menunggu tersiarnya berita kebocoran di media massa. Tidak juga harus menanti sampai ada konfirmasi bahwa memang terjadi kebocoran data. Menurut dia, indikasi kebocoran sudah cukup mengaktifkan kewajiban pelaporan ini di bawah UU PDP.

"Pelaporan ini juga penting untuk memberikan peluang kepada setiap individu terdampak agar waspada dan mengambil tindakan pengamanan pribadi, mengantisipasi kemungkinan penyerangan atau penyalahgunaan data mereka," ucapnya. 

Ketua Fraksi PAN DPR, Saleh Partaonan Daulay juga menilai, kebocoran itu selain merugikan para peserta, juga bisa sangat berbahaya. "Ini tidak main-main, harus diseriuskan oleh pemerintah," tuturnya.