TEMPO.CO, Jakarta - Kepolisian RI memanggil Direktur Utama Badan Penyelenggara Jaminan Sosial atau BPJS Kesehatan, Ali Ghufron Mukti, pada hari ini, Senin, 24 Mei 2021. Panggilan pemeriksaan terhadap Ali merupakan imbas bocornya data 279 juta peserta BPJS Kesehatan yang dijual di Raid Forums.
Direktur Tindak Pidana Siber Brigadir Jenderal Slamet Uliandi mengatakan akan mengonfirmasi pegawai BPJS yang bertugas mengoperasikan data masyarakat. "Lalu lanjut digital forensik," ucap dia saat dikonfirmasi pada 22 Mei 2021. Selain itu, Polri turut membentuk tim khusus untuk mengusut permasalahan ini.
Data 279 juta penduduk Indonesia peserta BPJS Kesehatan diduga bocor dan diperjualbelikan di situs raidsforum.com. Data tersebut mencakup nomor induk kependudukan, kartu tanda penduduk (KTP), nomor telepon, email, nama, alamat, hingga gaji.
Data tersebut dijual oleh pengguna forum dengan nama id 'Kotz'. Ia mengatakan data tersebut juga termasuk penduduk yang sudah meninggal. "Ada satu juta contoh data gratis untuk diuji. Totalnya 279 juta, Sebanyak 20 juta memiliki foto personal," kata dia dalam utas yang dibuat pada 12 Mei 2021.
Merespons insiden ini, Kementerian Komunikasi dan Informatika memulai langkah awal dengan memblokir Raid Forums dan sebuah akun bernama Kots. Hal itu dilakukan guna mengantisipasi tak semakin meluasnya data pribadi masyarakat bocor.
"Raid Forums teridentifikasi sebagai forum yang banyak menyebarkan konten yang melanggar perundang-undangan di Indonesia, sehingga website tersebut, sedang dilakukan proses pemblokiran," kata Juru Bicara Kominfo, Dedy Permadi, dalam keterangan tertulis pada Jumat, 21 Mei 2021.
Selain itu, Kominfo juga memblokir tiga tautan yang digunakan untuk mengunduh data pribadi yang bocor tersebut. Tiga tautan itu adalah Bayfiles.com, Mega.nz, dan Anonfiles.com.
Bersama BPJS Kesehatan dan Badan Siber dan Sandi Negara, Kominfo kemudian melakukan investigasi. Kominfo telah mengidentifikasi jumlah data lebih besar yang diduga bocor dari sebelumnya hanya ratusan ribu sampel data. Dedy mengatakan, pihaknya memperluas investigasi terhadap satu juga data yang diklaim oleh penjual sebagai sampel.
Sementara itu, BSSN bersama BPJS Kesehatan kini tengah melakukan verifikasi terhadap data sampel yang ada.
"Kedua tim dalam proses insiden respons secara tuntas guna meyakinkan pelaku tidak menanam backdoor sehingga tetap memiliki akses ke sistem, lalu memastikan data yang dieksfiltrasi oleh pelaku dan sistem elektronik lain yang mungkin terdampak, dan melakukan atribusi pelaku untuk keperluan penegakan hukum," ucap Juru Bicara BSSN Anton Setiawan saat dihubungi pada Senin, 24 Mei 2021.
Atas terjadinya kebocoran data pribadi ini, Anggota Komisi I Dewan Perwakilan Rakyat dari Fraksi Partai Keadilan Sejahtera (PKS) Sukamta menyoroti lemahnya sistem siber di Indonesia. Apalagi, menurut dia, kebocoran data kependudukan ini sudah sering terjadi, baik data yang dikelola perusahaan swasta hingga instansi publik.
"Demikian lemahnya ketahanan siber kita meskipun BPJS selalu maintenance agar keamanan data peserta terjamin kerahasiaannya, ditambah para hacker dan cracker cukup memiliki keahlian yang terus diasah dengan teknologi yang terus diupdate," ujar dia dalam keterangan tertulis, Jumat, 21 Mei 2021.
Sementara rekan sesama Komisi I, Dave Laksono mengatakan komisinya ingin pembahasan Rancangan Undang-undang Perlindungan Data Pribadi segera rampung. Dave mengakui peristiwa itu menjadi alarm bahwa beleid itu harus segera disahkan.
"Kalau kami di Komisi I ingin segera selesai, karena masih banyak juga undang-undang lain yang perlu segera dirampungkan," kata Dave kepada Tempo, Ahad, 23 Mei 2021.
Komisioner Komisi Informasi Pusat Cecep Suryadi turut mendorong agar RUU Perlindungan Data Pribadi segera disahkan.
"Bisa dikatakan saat ini terjadi darurat pelindungan data pribadi di tengah derasnya perkembangan teknologi, karenanya RUU Pelindungan Data Pribadi harus segera disahkan dan diundangkan demi menjaga kerahasiaan data pribadi warga negara Indonesia,” kata Cecep dalam keterangan tertulis, Sabtu, 22 Mei 2021.
Di era perkembangan teknologi yang semakin maju, Cecep melihat pelindungan data pribadi menjadi darurat. Hal ini dikarenakan jaminan hukum atas pelindungan data pribadi masih sangat lemah, disamping upaya serius dari DPR dan Pemerintah dalam membahas dan mengesahkan RUU Perlindungan Data Pribadi masih belum selesai.
Cecep mengatakan data pribadi merupakan data yang wajib dilindungi kerahasiaannya. Oleh karena itu, baik badan publik maupun pihak swasta yang memiliki dan menyimpan data pribadi seseorang wajib melindungi kerahasiaan karena hal tersebut dijamin dalam Undang-undang Nomor 14 Tahun 2008 tentang Keterbukaan Informasi Publik serta diatur dalam Undang-undang Nomor 24 Tahun 2013 tentang Perubahan atas Undang-undang Nomor 23 Tahun 2006 tentang Administrasi Kependudukan.
Pelindungan data pribadi warga negara Indonesia merupakan hal dasar yang harus diperhatikan karena dengan percepatan pengesahan RUU Pelindungan Data Pribadi dapat menjadi solusi untuk memperbaiki tata kelola atau pribadi warga negara Indonesia serta dapat menjerat pihak-pihak yang membocorkan data pribadi maupun menjual belikan data pribadi.
"Saya kira, solusi untuk kebocoran data pribadi ini adalah dengan segera mengesahkan RUU Perlindungan Data Pribadi, agar masyarakat dapat memperoleh jaminan hukum yang jelas," kata Cecep soal kebocoran data BPJS Kesehatan.
Baca juga: Pakar Ungkap Bahaya Kebocoran Data Kependudukan di BPJS Kesehatan