Dugaan Pembobolan Data Kemenkes, Ini Saran ELSAM

Cyberthreat.id – Direktur Riset ELSAM, Wahyudi Djafar, mendorong agar Kementerian Kesehatan untuk segera melakukan evaluasi  keamanan sekaligus meningkatkan kebijakan internal terkait pelindungan data pasien.

Hal itu, menurut Wahyudi, perlu dilakukan menyusul dugaan kebocoran data pasien yang menimpa Kementerian Kesehatan. Terlebih, data pasien ini berkaitan dengan data pribadi dan data kesehatan yang wajib dilindungi.

Untuk itu, Wahyudi mendorong Kementerian Kesehatan agar bekerjasama dengan Badan Siber dan Sandi Negara (BSSN) melakukan proses investigasi secara mendalam atas insiden keamanan ini. Selanjutnya, diharapkan melahirkan rekomendasi sistem keamanan yang handal dalam pengelolaan sistem informasi kesehatan di Indonesia, agar tidak terjadi hal serupa di masa mendatang.

Selain itu, ia juga meminta agar Kementerian Komunikasi dan Informatika, mengoptimalkan keseluruhan regulasi dan prosedur yang diatur di dalam PP No. 71/2019 dan Permenkominfo No. 20/2016. Hal ini, menurut Wahyudi, perlu dilakukan guna mengambil langkah dan tindakan terhadap pengendali dan pemroses data selaku penyelenggara sistem dan transaksi elektronik, termasuk mitigasi, dan langkah pemulihan bagi subjek datanya.

“Melalui langkah‐langkah investigasi dapat diketahui kemungkinan terjadinya human error dalam pemrosesan data, serta menentukan dampak risiko yang mungkin terjadi pada subjek data, langkah‐langkah mitigasi yang harus dilakukan oleh pengendali dan pemroses data, untuk menghentikan kebocoran, serta tingkat pelanggaran yang dilakukan,” kata Wahyudi kepada Cyberthreat.id, Jumat (7 Januari 2022).

Wahyudi menyebutkan, ada beberapa peraturan perundang‐undangan yang dapat menjadi rujukan awal untuk mengidentifikasi tingkat kepatuhan dari pengendali dan pemroses data, dalam hal ini adalah Kemenkes, terhadap kewajiban pelindungan data pribadi. Dari proses itu setidaknya akan dapat diketahui penyebab dari terjadinya kebocoran, dengan melihat mekanisme kepatuhan mana saja yang tidak diindahkan dalam pemrosesan data pribadi.

Misalnya dalam PP SIK (Sistem Informasi Kesehatan), mengatur bahwa pengamanan informasi kesehatan dilakukan untuk menjamin agar informasi Kesehatan tetap tersedia dan terjaga keutuhannya, terjaga kerahasiaannya untuk informasi kesehatan yang bersifat tertutup. Kemudian untuk menjaga keamanan dan kerahasiaan informasi kesehatan, Kemenkes berkewajiban melakukan pemeliharaan, penyimpanan, dan penyediaan cadangan data dan informasi kesehatan secara teratur, membuat sistem pencegahan kerusakan data dan informasi kesehatan.

Selanjutnya, ada Peraturan Pemerintah tentang  Penyelenggaraan Sistem dan Transaksi Elektronik (PSTE) dan Permenkominfo 20/2016 mengatur bahwa pemrosesan data pribadi harus dilakukan dengan “melindungi keamanan data pribadi dari kehilangan, penyalahgunaan, akses dan pengungkapan yang tidak sah, serta pengubahan atau perusakan data pribadi”.

Selain itu, disebutkan bahwa penyelenggara sistem elektronik wajib “menjaga kerahasiaan data pribadi”dan subjek data juga memiliki hak untuk mendapatkan pemberitahuan secara tertulis dalam hal terjadinya kebocoran data pribadi.

Terakhir, ada Perpres Sistem Pemerintahan Berbasis Elektronik (SPBE) yang mengatur pengembangan aplikasi umum dan aplikasi khusus pemerintah, di dalamnya harus dipastikan sistem keamanannya, yang mencakup confidentiality, integrity, dan availability dari sistemnya, juga mekanisme pengendalian keamanan lainnya. Aspek‐aspek itu yang kemudian diturunkan sebagai standar teknis dan prosedur keamanan aplikasi pemerintah, dengan memastikan fungsi proteksi data.

“Namun, keseluruhan instrumen di atas, dapat dikatakan belum cukup memberikan pelindungan yang komprehensif terhadap setiap pemrosesan data pribadi warga negara, mengingat berbagai peraturan tersebut belum sepenuhnya mengadopsi prinsip‐prinsip perlindungan data pribadi, dan cenderung tumpang tindih satu sama lain,” terang Wahyudi.

Wahyudi menambahkan, beberapa aspek yang masih nihil dalam pengaturan saat ini, antara lain adalah terkait dengan perlindungan data sensitif, kejelasan perlindungan hak‐hak subjek data, termasuk mekanisme pemulihan ketika terjadi pelanggaran. Tantangan besar lainnya dalam penanganan kasus kebocoran data pribadi di sektor publik selama ini, adalah hampir tidak ditemukan adanya suatu proses investigasi yang dilakukan secara akuntabel.

“Fakta tersebut sesungguhnya menunjukkan ketidaksiapan pemerintah dalam menyelesaikan berbagai insiden kebocoran data pribadi, yang terus‐menerus berulang,” tambah Wahyudi.

Untuk itu, ia pun meminta kepada DPR dan Pemerintah untuk segera mempercepat proses pembahasan dan pengesahan RUU Pelindungan Data Pribadi. Selain itu, rentetan insiden penyalahgunaan data pribadi, termasuk yang melibatkan institusi publik, kian memperlihatkan pentingnya pembentukan otoritas pelindungan data pribadi yang independen, guna menjamin efektivitas implementasi dan penegakan UU PDP nantinya.

Seperti diberitakan sebelumnya, di sebuah forum jual beli data, seorang peretas dengan nama akun “Astarte” menawarkan 720 gigabita (GB) basis data pasien warga negara Indonesia.

Basis data itu diunggah pada Rabu (5 Januari) pada pukul 04.23 dengan judul “Indonesia-Medical Patients Information 720 GB Documents and 6M database.”

Basis data tersebut, terbagi dalam tiga folder:

• “ECG atau EKG folder” (electrocardiogram) berukuran 199GB dengan 238.999 files,
• “laboratory folder” dengan 479GB berisi 753.504 files, dan
• “radiology folder” dengan 42GB berisi 43.630 files.

Astarte menyebutkan, data tersebut diambil pada 28 Desember 2021 lalu, dan berasal dari server terpusat milik Kementerian Kesehatan RI. Namun, klaim sumber pengambilan data tersebut belum bisa diverifikasi.

Jika dilihat dari data-data yang ada, basis data tersebut berisi data pasien di rumah sakit dan laboratorium. Basis data mencakup informasi rontgen dari nama pasien, nama rumah sakit, tanggal pengambilan rontgen, foto pasien, hasil tes Covid-19, CT scan, surat rujukan, surat rujukan BPJS, pasien rujukan antar rumah sakit, dan lain-lain.

Informasi data pribadi pasien, seperti:

• nama lengkap
• no_kontak
• alamat
• tempat_lahir
• tgl-lahir
• jk
• no_kartu_jkn, dan
• NIK

Sementara dari data penunjang hasil laboratorium, mencakup:

• id_rujukan
• lab
• rad
• obat
• tindakan
• alergi, dan
• status

Informasi yang mencakup data rujukan pasien juga ikut terlampir, bahkan sampai identitas petugas, di antaranya:

• id_rujuk
• no_rujukan_bpjs
• transportasi
• alasan_merujuk
• tgl_rujuk
• nik_petugas, dan
• nama_petugas

Astarte juga melampirkan tiga video untuk meyakinkan pembeli. Dalam sebuah video yang diunggahnya, ia mencoba meyakinkan sekali lagi dengan tumpukan basis data itu dengan membuka file dari komputer Windows.

Ia menampilkan lembaran muka dari hasil pemeriksaaan laboratorium dari RS Pertamina Bintang Amin (IHC Group) yang beralamat di Jl Pramuka No 27 Kemiling, Bandar Lampung.

Tampak juga lembaran bertitel “Pemerintah Kabupaten Lampung Barat RSUD Alimuddin Umar” yang beralamat di Jalan Teuku Umar, Liwa yang masih terkait dengan hasil lab pasien.

Lalu, ada lagi lembaran hasil pemeriksaan lab klinik dari RSU Islam Klaten, Jawa Tengah, serta hasil lab dari Rumah sakit St Carolus di Jalan Salemba raya Jakarta Pusat yang baru dilakukan pada Oktober 2021.

Tampaknya basis data itu bersifat acak, tidak merujuk pada satu lab saja, banyak nama lab yang tertera.

Folder-folder yang dimiliki peretas juga menyimpan foto-foto dan video pasien anak-anak. Basis data ini sangat parah sekali untuk sebuah kebocoran data, karena menyimpan foto-foto luka pasien dan riwayat penyakit pasien.

Jika data tersebut dimiliki oleh penjahat siber, sangat bahaya sekali dan bisa dipakai untuk modus kejahatan lanjutan lain.

Chief Digital Transformation Kementerian Kesehatan, Setiaji, saat dikonfirmasi pada Kamis (6 Januari 2022) menyatakan pihaknya sedang menyelidiki dugaan kebocoran data itu.[]

Editor: Yuswardi A. Suud