Kemenkes Dinilai Lambat Tangani Dugaan Kebocoran Data Pribadi E-HAC
SEMARANG – Kebocoran data pribadi masyarakat kembali menjadi perbincangan publik di Tanah Air. Kabar kali ini ada dugaan terjadi kebocoran 1,3 juta data pada Kartu Kewaspadaan Kesehatan atau Electronic Health Alert Card (e-HAC) milik Kementerian Kesehatan (Kemenkes).
Informasi ini berawal dari laporan vpnMentor, situs yang fokus pada jaringan pribadi virtual atau virtual private network (VPN) ke Badan Siber dan Sandi Negara (BSSN).
Setelah menerima laporan, BSSN melakukan verifikasi, kemudian Kemenkes menelusuri dan menemukan kerentanan pada platform mitra e-HAC, lalu melakukan tindakan dan perbaikan terhadap sistem mitra.
Namun, respons dari Kemenkes ini dinilai lambat oleh Ketua Lembaga Riset Siber Indonesia CISSReC, Dr. Pratama Persadha. Pasalnya, dugaan kebocoran data e-HAC (aplikasi untuk keperluan tracking dan tracing Covid-19), lambat dalam men-takedown (mencopot) server aplikasi e-HAC lama.
Server atau peladen baru di-takedown sebulan lebih sejak laporan pertama ke Kemenkes. Itu pun setelah pelapor dalam hal ini vpnMentor menghubungi BSSN.
Aplikasi e-HAC yang datanya terekspos ini, sebagaimana penjelasan dari Kemenkes, berbeda dengan e-HAC yang saat ini dipakai di aplikasi PeduliLindungi.
Menurut Kemenkes, aplikasi e-HAC yang lama ini sudah tidak dipakai per 2 Juli 2021. Kendati demikian, kata Pratama, kebocoran data ini tetap disayangkan karena ada 1,3 juta data pribadi masyarakat yang terekspos.
Dari data tim vpnMentor, mereka menemukan database e-HAC ini pada 16 Juli 2021. Tim lantas mengecek terlebih dahulu kebenaran data ini, kemudian memberikan informasi ke Kemenkes pada 21 dan 26 Juli 2021, lalu menghubungi Google sebagai hosting provider (tempat file website) pada 25 Agustus 2021.
Karena tidak mendapatkan tanggapan, tim vpnMentor menghubungi BSSN pada 22 Agustus 2021. Badan Siber dan Sandi Negara langsung merespons laporan tersebut dan bergerak ke Kemenkes.
Setelah tidak mendapatkan balasan dari Kemenkes, laporan vpnMentor ke BSSN ditanggapi langsung pada 22 Agustus, kemudian pad 24 Agustus server e-HAC tersebut langsung di-takedown.
Artinya, kata Pratama, ada waktu yang terbuang selama lebih dari sebulan karena mungkin ketidakmengertian dari sumber daya manusia (SDM) Kemenkes. Baru setelah laporan diterima BSSN, langsung dilakukan takedown.
Dijelaskan pula, bahwa data yang bocor sebanyak 1,4 juta dan ada 1,3 juta user e-HAC. Data ini berupa nama, nama rumah sakit, alamat, hasil tes PCR, akun e-HAC, dan data detail tentang RS serta dokter yang melakukan perawatan atau memeriksa pengguna e-HAC. Bahkan, ada data hotel pengguna, nomor KTP, nomor paspor, email, dan lainnya.
Kelengahan dari developer ini mengakibatkan pemilik akun e-HAC bisa menjadi target profiling dan penipuan dengan modus Covid-19, seperti telemedicine palsu. Pratama lantas mengingatkan, bahwa hal ini sangat berbahaya.
Kemenkes Berkoordinasi
Sebagai bagian dari mitigasi risiko keamanan siber, Kemenkes berkoordinasi dengan Kementerian Komunikasi dan Informatika (Kominfo), BSSN, dan Direktorat Tindak Pidana Bareskrim Polri, guna memastikan tidak ada kerentanan lain yang berpotensi mengeksploitasi sistem tersebut.
Kemenkes melalui Kepala Pusat Data dan Informasi Kementerian Kesehatan RI, Anas Ma’ruf, Rabu (1/9) mengimbau masyarakat untuk menggunakan aplikasi PeduliLindungi yang terdapat fitur e-HAC terbaru dan sudah terintegrasi di dalamnya.
Platform Pedulilindugi tersimpan di pusat data nasional. Dalam hal ini, BSSN sudah melakukan penilaian keamanan teknologi informasi atau information technology security assessment (ITSA).
Dikutip dari laman BSSN, ITSA adalah layanan publik terkait pengujian kerentanan, pemberian saran, dan rekomendasi terkait dengan pengamanan, guna meminimalisasi celah kerawanan pada semua sistem informasi pemerintah.
Kepolisian Negara Republik Indonesia (Polri) ikut bergerak dengan melakukan penyelidikan atas dugaan kebocoran data diri pengguna pada aplikasi e-HAC.
Kepala Divisi Humas Polri Irjen Pol. Argo Yuwono ketika dikonfirmasi di Jakarta, Selasa (31/8), menyebutkan Polri memiliki Direktorat Tindak Pidana Siber yang dapat melakukan penyelidikan terkait kebocoran data.
Sebelumnya, dikabarkan dugaan kebocoran data tersebut terjadi karena pembuat aplikasi menggunakan database Elasticsearch (mesin pencari berdasarkan perpustakaan Lucene), yang konon tidak memiliki tingkat keamanan yang rumit, sehingga mudah dan rawan diretas. Database ini telah dinonaktifkan oleh BSSN sejak 24 Agustus 2021.
Kasus ini, menurut pakar keamanan siber Pratama Persadha, berpotensi meningkatkan ketidakpercayaan terhadap penanggulangan Covid-19 dan usaha vaksinasi. Apalagi, saat ini vaksinasi menjadikan aplikasi PeduliLindungi sebagai ujung tombak.
Hal itu tentunya menimbulkan kekhawatiran bagi masyarakat akan kebocoran data milik mereka, meski memakai e-HAC lama.
Bahkan, ada imbauan pengguna aplikasi versi lama dan belum terhubung dengan aplikasi pedulilindungi.id untuk menghapus akun dan aplikasi tersebut dari telepon seluler mereka.
Namun, menurut Pratama tidak sekadar imbauan, tetapi Kemenkes perlu lakukan sejumlah hal, seperti amankan server yang dipakai dan buat protokol akses ke sistem yang aman, sehingga tidak sembarang orang bisa masuk.
Selain itu, jangan biarkan sistem yang tidak ada authentication bebas diakses di internet. Selanjutnya, melakukan pengecekan secara berkala untuk semua sistem, guna mendeteksi kerawanan.
Salah satu yang harus diimplementasikan juga adalah enkripsi. Dalam kasus ini seperti sistem e-HAC, bisa bebas dimasuki dan diambil datanya karena benar-benar tidak secure (aman) dan tidak ada implementasi enkripsi, sehingga data yang diambil plain tidak diacak sama sekali.
Pemerintah sendiri lewat BSSN cukup cepat merespons setelah mendapatkan info dari tim vpnMentor, dengan rekomendasi melakukan takedown pada server aplikasi.
Seharusnya, saat pertama kali Kemenkes mendapatkan info tersebut langsung melakukan aksi, baik langsung mengontak BSSN atau langsung men-takedown sendiri.
Semestinya, lanjut Pratama, sejak awal bila aplikasi ini sudah tidak dipakai, aksesnya bisa dimatikan sehingga tidak mudah diekspos oleh pihak lain.
Hal lain yang tak kalah pentingnya adalah cepat merespons setiap informasi yang masuk. Di sisi lain, harus ada pengawasan terhadap pekerjaan pihak ke tiga, kemudian melakukan pengetesan sistem informasi secara berkala.
Kasus ini menjadi pembelajaran bagi semua pihak, terutama lembaga negara untuk mengecek sistem informasi yang keberadaannya di bawah tanggung jawab mereka. Jadi, harus diinventarisasi dan dicek secara kontinu. (Ant)