Masukan eHAC bocor, pakar siber sebut ‘Infrastruktur keamanan digital pemerintah Indonesia sangat buruk’

data-ehac-bocor-pakar-siber-sebut-infrastruktur-keamanan-digital-pemerintah-indonesia-sangat-buruk-21

Sumber gambar, JAAP ARRIENS/NURPHOTO VIA GETTY IMAGES

Sekitar satu, 3 juta data pemakai eHAC di Indonesia berisiko disalahgunakan, seperti untuk penipuan hingga yang paling berat adalah manipulasi data, menurut pakar siber.

Negeri mengakui ada kerentanan pemungutan data dan karena itu dilakukan perbaikan, tapi itu menyangkal terdapat kebocoran bahan.

Celah pada sistem elektronik pemerintah ini bukan dengan pertama.

Itu sebabnya pakar keamanan digital menganjurkan pembentukan otoritas mandiri serta percepatan pengesahan Rancangan Undang-Undang Perlindungan Data Pribadi (RUU PDP) untuk memberikan keyakinan hukum perlindungan data.

Baca pula:

Di kalangan peretas, situs-situs pemerintah Indonesia tergolong “yang gampang dibobol”, taat Pakar Teknologi Informatika Onno Widodo Purbo. Laporan soal kerentanan sistem keamanan posisi milik pemerintah bukan sekadar dua ia dengar, akan tetapi berkali-kali.

Karena itu juga insiden kebocoran data di sistem Indonesia Health Alert Card (eHAC) seperti bukan hal yang mengejutkan untuk Onno.

Ia apalagi mengaku putus asa menunjukkan institusi pemerintah ketika menjumpai ada kerentanan pada sistem keamanan digital.

“Sebetulnya banyak situs pemerintah itu berlubang dan yang melihat duluan itu hacker senior, lalu kami kasih tahu, sudah begitu mereka nggak bereaksi, dengan berbagai alasan, ” ungkap Onno kepada kuli Nurika Manan yang mengadukan untuk BBC News Nusantara, Rabu (01/09).

Sumber tulisan, Getty Images

“Yang datang ngejebolin jebol bol itu biasanya hacker-hacker pemula. Serta itu kejadiannya akan satu atau dua tahun kemudian setelah bolong, ” tinggi dia.

“Dan selama setahun dua tahun itu, informasi di dalam yang mampu diambil itu parah-parah, ” ungkapnya.

Kebocoran data tercatat data pribadi warga yang belakangan terjadi pada bentuk eHAC, lanjut Onno, berisiko disalahgunakan salah satunya buat penipuan.

“Agak bahayanya sejenis ini, kalau nomor telepon [yang bocor] itu perkiraan nyebelin. Kalau sampai tersedia nomor paspor, nomor KTP, nama kita, itu mampu dipakai jadi orang semu jadi kita, misalnya sedia pinjam duit atau barang apa, nanti yang kena kita, ” terang dia.

“Itu bisa dipakai buat akal, misalnya, bayangkan kalau hacker -nya dapat data pribadi lengkap begitu, dia kan bisa nyaru jadi siapa saja, ” tambahnya.

Padahal insiden kebocoran data, lanjut Onno, mestinya tak boleh datang dialami oleh institusi pelayan publik. Berulangnya pembobolan keterangan pribadi menurut dia sanggup menggerus kepercayaan warga kepada layanan pemerintah.

Mengucapkan juga:

Infrastruktur kebahagiaan digital pemerintah dikenal ‘sangat buruk’

Konsultan keamanan siber dan pendiri Ethical Hacker Indonesia, Teguh Aprianto, memperkirakan kebocoran data akan langsung terjadi sepanjang pengelolaan dilakukan serampangan dan mengabaikan bagian keamanan.

Ditambah lagi, kata dia, infrastruktur sistem kebahagiaan digital pemerintah selama ini dikenal “sangat buruk sekali”.

“Mau itu eHAC yang lama atau yang baru, data masyarakat tetap saja sudah bocor, ” kata dia kepada BBC News Indonesia.

“Ini memperlihatkan mereka sembarangan sekali mengelola keterangan pribadi kita semua. Asosiasi dipaksa untuk menggunakan penerapan milik pemerintah tanpa penjelasan dan jaminan sama sekadar, ” lanjutnya.

“Setelah ada insiden kebocoran data, yang mereka lakukan malah cuci tangan tanpa meminta maaf dan bertanggung jawab. Tersebut memalukan sekali, ” cakap dia lagi.

Sumber tulisan, AFP VIA GETTY IMAGES

Sebagai gambaran, menurut Taat, untuk membobol situs hak pemerintah “hanya perlu zaman tak lebih dari semenit”, untuk serangan yang bersifat acak. Sementara untuk gempuran yang ditargetkan, ia bilang, “tak sampai satu hari” untuk bisa menemukan kerentanan di laman milik pemerintah Indonesia.

Teguh pun menerangkan, data pribadi adalah sekumpulan informasi berisi identitas seseorang. Jadi ketika informasi itu dikelola serampangan dan merembes, pemilik data akan sensitif menjadi korban kejahatan dunia maya maupun ancaman nyata sehari-hari.

Ia mencontohkan, peristiwa paling gampang adalah masukan hasil curian itu dipergunakan untuk mengajukan kredit sehingga yang harus membayar dakwaan adalah pemilik data sah.

Baca juga:

Risiko lain, pemilik keterangan juga rentan menjadi korban doxing atau penyebarluasan fakta pribadi ke publik, phising atau penipuan dan jenis kejahatan lain.

“Kebocoran keterangan itu bisa dicegah, contohnya dengan mempersiapkan insfrastruktur dengan baik dan juga menerapkan enkripsi untuk data klub yang disimpang, ” jelas Teguh.

Kewajiban kementerian serta lembaga menerapkan enkripsi menurut nya, sudah diatur melalui Tulisan Edaran Menkominfo Nomor 3 Tahun 2021.

“Tapi dalam praktiknya ini tidak dikerjakan, jika dilakukan dan tersedia insiden kebocoran data, keterangan yang bocor tidak hendak bisa dibaca begitu saja karena dibutuhkan kunci enkripsi untuk membacanya, ” paparnya.

Pemerintah klaim tidak tersedia kebocoran data eHAC

Negeri melalui Kementerian Kesehatan bersama Badan Siber dan Sandi Negara (BSSN) mengklaim masukan 1, 3 juta pemakai eHAC tidak bocor.

Dengan terjadi menurut Juru Bicara BSSN Anton Setiyawan, belum sampai kebocoran data melainkan laporan pemberitahuan dari VPN Mentor mengenai kerentanan bentuk keamanan eHAC. Ia mengecap proses ini sebagai arah dari trade information sharing atau pertukaran informasi antar-pihak yang fokus terhadap kebahagiaan siber.

“Satu koma tiga juta itu tidak merembes ya, itu hanya proof on concept bahwa teman-teman di VPN Mentor menemukan celah yang orang bisa mengambil data tersebut, ” terang Anton dalam konvensi pers daring pada Rabu (01/09).

“Dan itu sudah diverifikasi oleh BSSN, kalau tidak ditutup, maka renggangan itu akan bisa dimanfaatkan. Tapi sampai saat tersebut tidak ada data yang bocor, makanya kami selalu akan memverifikasi kembali, ” lanjutnya.

Baca selalu:

Karena itu lalu, Anton menambahkan, BSSN merekomendasikan penguatan keamanan untuk pola aplikasi “Peduli Lindungi” yang kini digunakan untuk pengerjaan Covid-19. Dan mengimbau awak untuk memakainya.

Kepala Pusat Data dan Informasi Kemenkes, Anas Mas’ruf, mengatakan bahan terus berkoordinasi dengan Departemen Komunikasi dan Informatika, BSSN dan, Direktorat Siber Bareskrim Polri untuk melakukan proses investigasi lanjutan.

“Investigasi bahwa tidak ada kerentanan lain yang bisa digunakan buat mengeksploitasi kerentanan sistem itu, ” tutur Anas di jumpa pers yang setara.

“Kemenkes memastikan data umum di sistem eHAC tidak bocor dan dalam perlindungan. Data masyarakat dalam eHAC tidak mengalir ke maklumat mitra, ” kata tempat.

Sumber gambar, Antara Foto

Pendiri Ethical Hacker Indonesia yang juga peneliti keamanan siber, Teguh Aprianto, bimbang dengan klaim pemerintah bahwa data pribadi di eHAC itu tidak bocor.

“Ini penyakit yang mendarah keturunan, selalu denial , ” tutur dia.

“Memang mereka bisa menyungguhkan bukan hanya pihak VPN Mentor yang mendapat kanal tersebut? Karena yang diakses oleh VPN mentor itu adalah database di Elasticsearch yang bisa diakses sebab siapapun karena publicly accessible , ” jelas Teguh.

Pasalnya, “celah” tersebut baru ditutup negeri pada 31 Agustus 2021–berdasarkan keterangan pada konferensi pers Kemenkes dan BSSN. Namun informasi bahwa basis bukti pengguna eHAC bisa diakses oleh siapapun sudah tercium oleh peneliti VPN Mentor sejak 15 Juli 2021.

Dalam laporan yang dirilis ke publik, VPN Mentor menyebut menemukan data-data eHAC tanpa rintangan pada Juli 2021.

Sumber gambar, Reuters

Menurut VPN Mentor, perakit aplikasi menggunakan database Elasticsearch yang tidak dienskripsi serta tidak memiliki tingkat kesejahteraan yang rumit, sehingga mudah dan rawan diretas.

Tersebut artinya, tidak ada yang bisa memastikan bahwa dalam antara rentang Juli tenggat Agustus itu data pemakai eHAC tak diakses pihak lain selain VPN Pembimbing.

Melalui konferensi pers di Rabu (01/09) kemarin, Spesialis Bicara BSSN Anton Setiyawan pun mengakui menemukan kerentanan berupa ” sensitive data exposure “.

“Jadi kalau sistem elektronik bekerja, itu kan menggunakan port untuk bertransaksi petunjuk, nah port ini dengan memiliki kerentanan yakni sensitive data exposure , ” papar Anton.

“Seharusnya data itu tak bisa dimasuki oleh bagian yang tidak berwenang, itu yang ditemukan pihak VPN Mentor ini juga yang kemudian ditutup dan dikendalikan aksesnya, ” jelas dia.

Kendati begitu, pejabat BSSN tersebut bersama Kemenkes berulang kali mengklaim bahwa tidak ada kebocoran data pemakai eHAC.

Adapun data dalam platform mitra, menurut pemerintah, merupakan tanggungan penyelenggara pola elektronik atau penyedia penerapan sesuai Undang-Undang Informasi & Transaksi Elektronik juga Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik.

“Tentu, ada tanggung jawab dari pacar yang nantinya akan dilakukan, tapi yang utama memperbaiki celah tersebut dan lekas meningkatkan keamanan, ” kata Anton meski tak detail memaparkan.

Baca pula:

S iapa yang bertanggung jawab?

Pakar ketenteraman digital yang juga Penasihat Eksekutif ELSAM, Wahyudi Djafar, membeberkan, sanksi atas kegagalan dalam perlindungan data karakter sebenarnya diatur dalam Permenkominfo Nomor 20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik—baik zona swasta maupun pelayanan terbuka.

Ia pun menuturkan, kepalang jawab tak hanya dibebankan pada pihak ketiga jadi penyedia aplikasi, melainkan juga kementerian atau lembaga pengendali dan pemroses data.

“Sanksinya peringatan lisan, rujukan tertulis, sampai pencabutan permisi aplikasinya atau diblokir, ” terang Wahyudi.

Tapi di dalam praktiknya, hal itu sulit diterapkan.

“Sejauh ini belum ada preseden, Kementerian A memberikan teguran atau keterangan lisan ke Kementerian B. Meskipun ada aturannya, kami sih tidak yakin kalau aturan itu akan sanggup diterapkan, ” imbuhnya.

“Apakah wajar ketika Menteri Koneksi memberikan teguran ke Menteri Kesehatan? Karena kan itu dalam level hubungan selaras, ” tutur dia.

Sumber gambar, Antara Foto

Selama ini menurut dia, negeri terkesan hanya gigih menangani jika pelanggaran perlindungan data pribadi dilakukan pihak swasta. Sementara sejumlah insiden kebocoran data pribadi yang membabitkan institusi pemerintah justru tidak jelas ujungnya.

Itu sebab menurut Wahyudi, penting untuk menghadirkan otoritas perlindungan bukti pribadi yang mandiri. Sehingga, lembaga ini bukan hanya memastikan kepatuhan sektor swasta dan pemerintah dalam menyembunyikan data pribadi, melainkan juga menjamin penerapan sanksi dengan adil baik bagi semua pihak.

Otoritas perlindungan keterangan itu juga berfungsi menampung laporan pengaduan warga.

“Meskipun sekarang di Permenkominfo selalu mengatur warga negara atau subjek data bisa mengadu kepada kominfo ketika keterangan pribadinya disalahgunakan atau berburai untuk dimediasi, tapi kan presedennya belum ada, ” ungkap Wahyudi.

“Karena orang juga bingung, saya harus ke kemenkominfo atau ke kemenkes sebagai penyedia layanan eHAC. Karena masih tersedia sektoralitas, ” tambahnya.

“Harapannya dengan otoritas perlindungan bahan itu ada, sebagai otoritas yang mandiri, dia akan memotong sektoralisme tadi jadi akan lebih jelas dan akan memberikan kepastian hukum dalam perlindungan data pribadi, ” tutur dia.

Sumber gambar, Antara Foto

‘Kalau mengacu EU GDPR bisa diklasifikasikan pelanggaran berat’

Real jika digolongkan dalam macam pelanggaran menurut EU General Data Protection Regulation atau Regulasi Umum Perlindungan Petunjuk dalam hukum Uni Eropa, insiden kebocoran eHAC itu menurut Wahyudi terindikasi hadir ke pelanggaran berat.

Pokok, sistem keamanan data tidak memenuhi protokol privasi. Tercatat, ketiadaan pembatasan akses bukti pengguna eHAC.

“Kalau sebab apa yang disampaikan VPN Mentor, proses yang telah dilakukan, bahwa tahu tersedia kebocoran dan tidak cepat memberikan notifikasi ke dominasi dan kepada publik sebagai subjek data, kalau mengacu ke preseden yang aci di negara lain misalnya EU GDPR, maka mampu diklasifikasikan sebagai pelanggaran mengandung, ” ungkapnya.

Namun problemnya, dari sedikitnya 46 legislasi sektoral terkait data karakter, menurut Wahyudi belum ada yang mengatur secara detail elemen-elemen pelanggaran terhadap bahan pribadi. Berbeda dengan GDPR di Uni Eropa yang sudah mengklasifikasikan pelanggaran rendah, sedang hingga, berat.

Sumber gambar, Antara Foto

Perkara itu menurutnya bisa terjawab dengan kehadiran Undang-Undang Perlindungan Data Pribadi. Karena tersebut menurut Wahyudi, ELSAM yang juga tergabung dalam Liga Advokasi Perlindungan Data Pribadi (KA-PDP) mendesak percepatan pengkajian rancangan undang-undang sebagai payung hukum yang komprehensif.

Menyusul serangkaian kebocoran data karakter yang melibatkan institusi pemerintah, koalisi menurut Wahyudi serupa tengah mempertimbangkan untuk mengajukan gugatan warga negara atau Citizen Law Suit .

“Belajar dari pengalaman kasus Tokopedia yang proses pembuktiannya berat ketika hanya menggunakan mekanisme kelakuan melawan hukum dalam KUHPerdata, kami sedang diskusi dengan melanisme CLS, apakah kira-kira dilakukan, ” ungkap Wahyudi.

Dia pesimistis dengan sikap penanganan kasus kebocoran keterangan yang selama ini dikerjakan pemerintah. Pasalnya menurut Wahyudi, tak satupun pengusutan kasus yang transparan diungkap ke publik.

Insiden bobolnya data pribadi warga kerapkali tak diikuti penyempurnaan regulasi maupun penegakan hukum.

“Kita tu tidak pernah memperoleh laporan yang utuh dengan akuntabel dari semua urusan yang terjadi. Kenapa urusan itu terjadi, seperti apa, risikonya apa, mitigasi barang apa yang sudah dilakukan, apa upaya untuk memastikan bahwa keamanan sistem berikutnya taat agar kebocoran tidak terulang kembali, ” pungkas Wahyudi.

Baca juga:

Yang lebih berbahaya lantaran kebocoran data pribadi

Kebocoran data pribadi bukan satu-satunya dampak membahayakan buah rapuhnya sistem keamanan siber negeri Indonesia. Kembali menurut pakar teknologi informatika Onno Purbo, yang lebih mengerikan dibanding lemahnya infrastruktur keamanan digital adalah data yang dicuri tapi pemerintah tak menyadari.

Pembobolan data berpotensi terjadi baik untuk informasi pribadi maupun data krusial asing. “Kalau jebol, kita terang kondisi ini jebol, membangun jadi kita mundur seluruh, kita bikin benteng pertahanan kan, ” kata tempat.

Nah kalau jebol, tapi nggak ketahuan jebol, wah itu yang serem betul. Dan kalau ngomong terus terang, lebih banyak dengan seperti itu, ” ungkapnya.

“Ini sering nih anak-anak [kalangan peretas] ngomong ke saya, ini sistem yang ini bolong nih. Wah kalau sampai jebol gimana? Bakal gini, gini, gini. Ini kejadian bener nih, baru beberapa hari dengan lalu, ” cerita tempat.

“‘Saya sudah ngasih cakap ke adminnya, tapi nggak respons, terus saya harus ngapain’, ” kata Onno lagi menirukan informannya.

Sumber gambar, iStock

Ia langsung menceritakan ulang kejadian kaum tahun silam, ketika sebanyak peretas menemukan sistem ketenangan di salah satu jawatan pemerintah bisa dijebol. Kurun itu, ia menuturkan, tidak ada yang menyadari sebanyak dokumen penting hingga data-data pribadi anggota instansi diambil para peretas.

Analisis salah satu mahasiswa pascasarjana Onno mendapati, sistem keamanan digital pemerintah Indonesia buruk.

“Dia menganalisa kelemahannya, istilah di kami vulnarable analysis , terus tempat bilang, banyak banget yang bolong… kalau hasil analisanya sih, nggak bagus ya, jelek. Itu kondisi riilnya, ” ungkap peraih Postel Award 2020 karena kontribusinya terhadap komunitas internet ijmal tersebut.

Apa tanggapan Kominfo?

Atas pelbagai kerentanan bentuk keamanan tersebut, Direktur Jenderal Informasi dan Komunikasi Umum Kominfo, Usman Kansong, mengutarakan pemerintah tengah membangun Pusat Data Nasional dengan level perlindungan tinggi.

Menurut nya, kelakuan itu dilakukan untuk memajukan proteksi terhadap data negeri termasuk informasi pribadi masyarakat. Hanya saja ia belum bisa memastikan kapan pengerjaan ini rampung.

Usman selalu tak merinci nilai anggaran untuk peningkatan sistem ketenteraman digital pemerintah tersebut. Tetapi ia menjamin alokasi uang itu cukup untuk perbaikan infrastruktur perlindungan data.

Untuk memutar video ini, aktifkan JavaScript ataupun coba di mesin pencari lain

“Pemerintah saat ini sedang membentuk sewarna pusat data nasional, supaya data itu tersimpan dalam satu tenpat penyimpanan ataupun gudang. Tapi pemegang kuncinya beda-beda. Jadi nanti kominfo yang punya gudangnya tersebut, ” terang Usman pada BBC News Indonesia.

“Nanti seluruh data kementerian serta lembaga akan dimasukkan ke situ. Dan sekarang sedangkan kami siapkan infrastrukturnya, supaya lebih aman secara teknikal. Jadi kita cukup menyimpan satu pusat data, ” imbuhnya.

Dibandingkan harus menyembunyikan data yang tersebar pada berbagai kementerian dan institusi, menurut Usman, akan bertambah mudah jika pengamanan masukan dilakukan di satu bintik yakni melalui Pusat Keterangan Nasional.

Ketika ditanya kemungkinan jika pusat data nasional tersebut kelak juga rentan dibobol, Usman menjanjikan, gudang penyimpanan data itu bahan memiliki sistem perlindungan berlapis.

“Kan kalau menjebol kesempatan gudangnya, belum tentu mampu menjebol kotak-kotak lainnya, ” katanya beralasan.

Sumber tulisan, AYTAC UNAL/ANADOLU AGENCY/GETTY IMAGES

Kendati begitu ia mengiakan hingga kini kementeriannya memang belum memiliki analisis kerentanan sistem keamanan digital posisi pemerintah. Usman beralasan, data yang ada masih cerai-berai di masing-masing instansi.

“Mengukur [kerentanan ataupun tingkat keamanan] membangun [belum bisa] karena masih tersebar kan datanya. Nanti kalau sudah ada pusat data nasional, bisa. Kalau sekarang kan terpisah-pisah, wali datanya belum pada kami, ” tuturnya.

Era ini Kominfo masih menunggu hasil investigasi lanjutan dari BSSN terkait insiden telaahan kebocoran data e-HAC. Kemudian, kata Usman, Kominfo mampu saja menindaklanjuti dengan pemberitahuan ke kepolisian jika tersedia indikasi pelanggaran hukum ataupun, memberikan teguran tertulis ke Kementerian Kesehatan jika terlihat kelalaian.

“Belum sampai ke arah sana, karena tindak lanjut berikutnya dilakukan sebab BSSN. Ya kalau belakang menemukan kami akan membabitkan Bareskrim Polri, tapi sekitar ini belum menemukan, ” tuturnya.

Jika memang ditemukan pelanggaran, kementeriannya tak ragu menerapkan sanksi sesuai peraturan. Usaman mengklaim, Kominfo sudah pernah memberikan teguran tertulis ke lembaga maupun lembaga yang melanggar ketentuan pelestarian data pribadi.

“Kami sudah melakukan beberapa kali teguran-teguran itu ke beberapa lembaga. Tapi saya tidak menetapkan saya sebutkan lah [instansinya]. Kami pernah menegur, ya itu untuk membenarkan, ” kata Usman.