Pengamat keamanan siber Pratama Persadha mengatakan, kebocoran data 230 ribu pasien COVID-19 di Indonesia harus segera diselidiki dan aturan yang memayunginya harus ditegakkan.
Diketahui, 230 ribu data pasien COVID-19 di Indonesia diduga telah dicuri hacker yang kemudian diperjualbelikan di forum dark web RaidForums. Pelaku dengan akun Database Shopping ini memajang 'jualannya' itu sejak Kamis (18/6) lalu.
"Masih harus dicek dan digital forensic dari mana asal data tersebut, dari Kementerian Kesehatan atau lembaga lain yang mengelola data COVID-19," ujar Pratama dalam keterangan tertulisnya.
Hacker mengklaim data yang bocor ini terdiri dari tanggal laporan, status, nama responden, kewarganegaraan, kelamin, umur, telepon, alamat tinggal, resiko, jenis kontak, hubungan kasus, tanggal awal resiko, tanggal akhir resiko, tanggal mulai sakit, tanggal rawat jalan, faskes rawat jalan, tanggal rawat inap, faskes rawat inap, keluhan demam, keluhan sakit, tanggal pengiriman sampel, status ODP/PDP/Positif dan NIK.
"Data yang sebenarnya cukup berisiko terutama untuk pasien karena ada alamat rumah dan statusnya. Data memang menjadi hal yang diburu oleh para peretas dewasa ini, tak selalu mereka mencari data kartu kredit. Selain itu, resiko dijauhi secara sosial juga cukup serius, karena masih ada bagian di masyarakat kita yang bersikap berlebihan pada pengidap COVID-19," tutur Pratama.
Bahkan, kata Pratama, sebenarnya sangat beresiko bagi negara juga. Terutama bila yang membeli data punya tujuan menciptakan kegaduhan di tengah masyarakat.
"Karena masih banyak masyarakat yang mudah tersulut dengan isu COVID-19. Misalnya melakukan pengucilan bahkan pengusiran, hal yang bisa menimbulkan gesekan horizontal," sebutnya.
Untuk itu, perlindungan data dan keamanan siber pada sistem di Tanah Air khususnya lembaga pemerintah memang masih menjadi pekerjaan rumah yang berat. Utamanya karena faktor UU, porsi anggaran dan budaya birokrasi. Perbaikan ke arah pro penguatan siber di tiga hal itu akan membuat perlindungan data dan penguatan sistem elektronik bisa diaktualisasikan secara merata.
"Memang sebaiknya ini menjadi prioritas negara, bila tidak maka peristiwa peretasan akan semakin menghiasi pemberitaan nasional setiap harinya. Tentu hal ini tidak diinginkan," imbuhnya.
Indonesia sudah memiliki Badan Siber dan Sandi Negara (BSSN), salah satu tugasnya memang membangun ekosistem bersama komunitas keamanan siber. Karena relatif masih baru, kerja sama juga masih dalam proses dengan lembaga negara lainnya.
Pratama juga mengingatkan, masalah utamanya adalah keamanan siber belum menjadi budaya birokrasi kita. Padahal sejak kabinet pertama berjalan, Presiden Jokowi selalu menekankan pentingannya e-Governance yang artinya kemudahaan akses digital harus diikuti oleh penguatan sistem keamanan sibernya.
"Ini tugas kita bersama, termasuk juga bagaimana negara membangun kesadaran keamanan siber sejak dini lewat pendidikan. Di level pengambil kebijakan juga harus ada perubahan paradigma serta postur anggaran untuk penguatan SDM, infrastrukur dan teknologi siber di tanah air. Karena ini perubahan dan penguatan harus sistematis, tidak hanya oleh satu dua lembaga saja," ungkap dia.
Masalah serius lainnya adalah soal regulasi perundang-undangan. Indonesia memiliki PP no,71 tahun 2019 tentang Penyelenggara Sistem Transaksi Elektronik (PSTE). Namun memang tidak kuat, di dalamnya hanya berisi himbauan untuk melakukan penguatan sistem, tanpa ada kejelasan bagaimana dan sanksi apa yang bisa dikenakan bila terjadi pencurian data semacam ini.
"Inilah pentingnya kita dorong dituntaskan UU Perlindungan Data Pribadi. Seperti di Eropa dengan UU bernama GDPR (General Data Protection Regulation), diharapkan UU PDP bisa memberikan arahan standar keamanan dan sanksi bagi yang melanggar. Ini berlaku untuk semua lembaga, baik swasta dan negara," pungkasnya.
Nantinya ada standar teknologi yang dipakai seperti apa dan lembaga mana yang menentukan sebuah instansi lalai atau tidak mengamankan data dan sistem. Misalnya terjadi kebocoran data, akan di lakukan check list, apakah semua kewajiban para penyelenggara sistem elektronik dalam mengamankan sistem dan data sudah dilakukan. Bila ada yang belum dilaksanakan maka termasuk pelanggaran, maka terbuka kemungkinan digugat. Hal ini sudah dijalankan di Eropa, bahkan di Eropa lewat GDPR, maksimal gugatannya bisa 20 juta euro.
Tidak ada komentar:
Posting Komentar