Bisnis.com, JAKARTA – Indonesian Digital Empowering Community (IDIEC) menilai sistem keamanan data yang diterapkan oleh Badan Penyelenggara Jaminan Sosial (BPJS) Kesehatan bermutu rendah, seandainya kabar mengenai kebocoran data di lembaga tersebut benar adanya.
Ketua Umum Indonesian Digital Empowering Community (IDIEC) M. Tesar Sandikapura mengatakan ISO27001 yang diterapkan BPJS Kesehatan tidak dapat menjamin sebuah perusahaan aman dari serangan siber. Standar ISO hanya menegaskan bahwa perusahaan atau lembaga pemerintah yang telah mendapatkan sertifikasi, seharusnya telah menerapkan standar operasional keamanan yang ketat.
Jika perusahaan tersebut telah menjalankan standar operasional keamanan secara ketat tetapi tetap dibobol datanya, menurut Tesar, ISO27001 yang dimiliki diterapkan dengan benar.
“Logikanya jika mereka sudah ISO 27001 kebocoran data bisa ketahuan dengan cepat, karena ada sistem pemeriksaan juga di sana,” kata Tesar, Selasa (25/5/2021).
Tidak hanya itu, kata Tesar, jika dilihat dari tampilan data yang diduga bocor, data dikemas secara ‘telanjang’ atau tidak dalam bentuk sandi-sandi (enskripsi). Hal itu menjadi salah satu tanda bahwa ISO 27001 tidak benar-benar diimplementasikan.
“ISO 27001 itu sudah menerapkan cryptograpic, tetapi data yang bocor kemarin, tidak ada crypto atau tidak ada enkripsi,” kata Tesar.
Tesar juga menduga bahwa pencurian data dilakukan oleh internal BPJS Kesehatan. Alasannya pencuri data sulit dilacak. Pencurian data lewat jaringan internet lebih mudah ditelusuri oleh digital forensik, dibandingkan dengan pencurian data secara manual yang dilakukan pihak internal.
Dia mengatakan pencurian data lewat internet selalu meninggalkan ‘sidik jari’ yang dapat ditelusuri. Alhasil, pencarian pencuri data tak membutuhkan waktu lama.
Di samping itu, berdasarkan pengetahuan Tesar, sebanyak 70 persen dari kasus pencurian data di Indonesia dilakukan oleh pihak internal. Belum banyak kasus pencurian data yang dilakukan oleh pihak luar, karena prosesnya sulit dan rawan ditangkap.
“Jika ini benar terjadi karena pihak internal maka ada manajemen SOP yang tidak dijalankan,” kata Tesar.
Sebelumnya, pada Kamis (20/5/2021) akun @ndagels mencuit ada 279 juta data milik Warga Negara Indonesia (WNI) yang dijual oleh hacker. Data tersebut diduga milik BPJS Kesehatan.
Data-data diperjual-belikan dalam sebuah forum. Data ini ini mencakup nomor KTP, gaji, nomor telepon, alamat dan email, bahkan data orang yang sudah meninggal juga terdapat di dalamnya.
Dalam forum ini disebutkan, bahwa satu juta data sebagai contoh dapat diakses secara gratis dan tanpa kata sandi khusus. Tidak hanya itu, sebanyak 20 juta dari 279 juta data diketahui.
Menanggapi kabar tersebut, saat ini BPJS Kesehatan terus berkoordinasi dengan pihak-pihak terkait, yakni Kementerian Komunikasi dan Informatika (Kemenkominfo), Badan Siber dan Sandi Negara (BSSN), Cybercrime Mabes Polri, Pusat Pertahanan Siber Kementerian Pertahanan, Kementerian Koordinator Bidang Politik, Hukum, dan Keamanan (Kemenko Polhukam), Kementerian Koordinator Bidang Pembangunan Manusia dan Kebudayaan (Kemenko PMK), serta pihak lainnya dalam rangka memastikan kebenaran berita itu, serta mengambil langkah-langkah yang diperlukan.
Cek Berita dan Artikel yang lain di Google News dan WA Channel
