Tiga Penyebab Kebocoran Data di Kasus SingHealth

Tiga Penyebab Kebocoran Data di Kasus SingHealth
Cyberthreat.id mengadakan diskusi bertajuk Perlindungan Data Pribadi di Gedung BSSN, Senin (27/05/2019) | Foto: Rahmat Herlambang
Arif Rahman Kamis, 30 Mei 2019 - 06:06 WIB

Jakarta, Cyberthreat.id - Laporan Komite Penyelidikan (COI) Singapura yang di rilis 10 Januari 2019 menyebutkan tiga penyebab kasus insiden serangan dan kebocoran data yang dialami SingHealth pada Juli 2018.

Laporan 425 halaman itu menyimpulkan buruknya manajemen sistem keamanan SingHealth. Sistem dikelola sumber daya manusia (SDM) yang tidak mumpuni. Kedua kekurangan itu mengakibatkan efek berantai terhadap sistem keamanan secara keseluruhan.

"Staf IT harus memiliki pengetahuan yang cukup untuk mengenali tanda-tanda insiden terkait keamanan dan serangan," tulis laporan tersebut.

SingHealth adalah lembaga kesehatan terbesar sekaligus dianggap yang terbaik di kawasan Asia Tenggara. Pasiennya tidak saja berasal dari Singapura, tapi berbagai negara termasuk Indonesia. 

Grup SingHealth menaungi sejumlah rumah sakit besar seperti Singapore General Hospital, KK Women's and Children's Hospital, Changi General Hospital dan Sengkang General Hospital.  

Pada 4 Juli 2018 Singapura dikejutkan laporan kebocoran data 1,5 juta pasien SingHealth. Dari jumlah itu 160 ribu data rekam medis pasien dicuri termasuk rekam medis pribadi milik Perdana Menteri Singapura, Lee Hsien Loong.

Data yang diakses termasuk National Registration Identity Card (NRIC), alamat hingga tanggal lahir. Pelaku berhasil meretas sistem IT SingHealth menggunakan advanced tools termasuk memodifikasi malware hingga menembus antivirus yang digunakan.

SingHealth melaporkan masalah itu kepada pemerintah Singapura 10 Juli 2018. Juru bicara Badan Siber dan Sandi Negara (BSSN) Anton Setiayawan mengatakan kasus data breach yang dialami SingHealth jadi pelajaran bagi Indonesia.


Berita Terkait:


BSSN, kata dia, mengikuti perkembangan Rancangan UU Perlindungan Data Pribadi (RUU PDP) usulan pemerintah yang kini sedang sinkronisasi di Sekretariat Negara. Menurut Anton, RUU PDP menilai rekam medis sebagai data spesifik yang tidak boleh disebar.

"Ada tiga yang perlu diperhatikan terkait data spesifik ini," kata Anton saat diskusi yang diselenggarakan Cyberthreat.id di Gedung BSSN, Ragunan, Jakarta, 27 Mei 2019. 

Pertama si pemilik data pribadi itu sendiri. Kedua, pihak yang mengontrol data (data controller) serta ketiga pihak yang memproses data (data processor) seperti data center. Target dari UU PDP menurut Anton adalah perlindungan, pengelolaan resiko, reputasi dan daya saing. 

"UU ini akan menjaga ekosistem digital Indonesia," ujarnya.

Pelaku Lintas Negara 

Menteri Komunikasi dan Informasi Singapura, S. Iswaran, tidak spesifik menyebut para pelaku saat memberikan keterangan pada parlemen Singapura 6 Agustus 2018. Data rekam medis PM Loong yang bocor di duga menimbulkan ancaman  keamanan nasional Singapura.  

Iswaran menjuluki penyerang sistem SingHealth sebagai Advanced Persistent Threat (APT) Group. APT Group, kata dia, merupakan sekelompok orang lintas negara yang terdiri dari peretas berkemampuan advanced

Mereka melakukan serangan siber terencana dan hati-hati untuk mencuri informasi atau mengganggu operasi dari pihak lain misal pemerintah. 

APT Group juga pernah meretas Komite Nasional Demokrat AS tahun 2016, kemudian meretas sistem keamanan Kantor Manajemen Pribadi (OPM) milik pemerintah AS yang menyebabkan kebocoran data pribadi 20 juta orang.

"Mereka berhasil meretas dan menetap di dalam sistem tanpa terdeteksi sehingga melakukan pencurian data dengan nyaman," kata Iswaran.

Tanggung Jawab SingHealth

Hingga kini data yang bocor dari kasus SingHealth tidak pernah ditampilkan ke publik, tapi bisa dipastikan data-data itu telah diketahui pihak lain selain SingHealth dan pasien bersangkutan.

Sebagai bentuk tanggung jawab SingHealth mengambil langkah perbaikan. SingHealth mengirimkan pesan teks kepada seluruh 1,5 juta pasien yang datanya telah berpindah tangan tersebut. 

Jika pasien tidak mendaftarkan nomor ponsel saat berobat, SingHealth mengirimkan surat sesuai alamat yang tertera di NRIC sementara pasien yang data rekam medisnya tersebar diberikan nomor hotline untuk dihubungi. 

Selain itu, SingHealth menciptakan aplikasi Buddy App agar pasien yang terdampak bisa mengecek apakah data mereka bocor dan memberikan panduan apa yang harus dilakukan. 

Pakar IT dan CEO Digital Forensik Indonesia, Ruby Alamsyah, mengatakan fungsi RUU PDP adalah kewajiban menghapus data jika sudah tidak digunakan (right to be forgotten). Aturan itu mengacu General Data Protection Regulation (GDPR) milik Uni Eropa.

Ruby mengeluhkan penegakan hukum terkait perlindungan data. Terdapat banyak kasus kebocoran data di Tanah Air tapi tidak pernah diproses hukum. 

"Sanksinya hanya blocking. Itu saja, sementara sanksi paling efektif adalah denda tidak pernah ada," ujarnya.

Pengurus harian YLKI, Sudaryatmo, mengatakan lembaga yang mengurusi sektor publik data-datanya cenderung menjadi incaran. Ia berharap regulasi seperti UU PDP bisa melindungi data warga negara Indonesia lebih ketat jika dilihat dari potensi ekonomi digitalnya.

"Data konsumen di kantor pertanahan, kantor pajak, kantor kepolisian, imigrasi dan sebagainya harus terlindungi," ujarnya.

#singhealth   #bssn   #uupdp   #ylki   #ruby   #alamsyah

Standardisasi dan Validasi Teknologi