Polemik Data eHAC Bocor: DPR Minta Usut, Kemenkes Tanggung Jawab
PerbesarADVERTISEMENT
Sebanyak 1,3 juta data yang terdaftar di aplikasi Electronic Health Alert Card atau eHAC milik Kementerian Kesehatan diduga mengalami kebocoran.
ADVERTISEMENT
Data tersebut terdiri dari informasi pribadi masyarakat seperti nama dan NIK yang sebelumnya diwajibkan diisi melalui aplikasi ini terkait syarat menggunakan transportasi udara selama pandemi COVID-19.
Kemenkes mengklarifikasi dugaan kebocoran tersebut terjadi pada aplikasi eHAC yang lama. Saat ini aplikasi tersebut sudah terintegrasi dengan aplikasi PeduliLindungi sejak 2 Juli.
"Kebocoran data terjadi di aplikasi eHAC yang lama yang sudah tidak digunakan lagi sejak Juli 2021 tepatnya 2 Juli 2021, sesuai dengan Surat Edaran dari Kemenkes No. HK/02/01/Menkes/847/2021 tentang digitalisasi dokumen kesehatan bagi penggunaan transportasi udara yang terintegrasi dengan PeduliLindungi," kata Kepala Pusat Data dan Informasi Kemenkes, Anas Ma'ruf.
Dugaan kebocoran data ini tak ada kaitannya dengan PeduliLindungi. Terkait kabar ini, pihak kementerian dan lembaga terkait dengan melakukan investigasi lanjutan. Anas menambahkan, dugaan kebocoran ini kemungkinan terjadi pada pihak mitra dari Kemenkes.
ADVERTISEMENT
"Dugaan kebocoran data di eHAC yang lama diakibatkan kemungkinan adanya dugaan kebocoran di pihak mitra dan ini sudah diketahui pemerintah," ucap dia.
Aplikasi Peduli Lindungi saat ini perannya begitu vital. Setiap masyarakat yang ingin masuk mal dan naik transportasi udara wajib mengisi data di aplikasi ini. Ke depannya hampir seluruh aspek kehidupan disinkronkan ke aplikasi Peduli Lindungi.
Anas menyampaikan bentuk upaya pencegahan yang dilakukan yakni dengan melibatkan Kemkominfo maupun lembaga terkait lainnya.
"Dan saat ini pemerintah sudah melakukan tindakan pencegahan serta melakukan upaya lebih lanjut dengan melibatkan Kemkominfo dan pihak berwajib dengan amanat peraturan pemerintah No. 17 tahun 2017 tentang penyelenggaraan sistem dan transaksi elektronik," jelas Anas.
Kemenkes meminta masyarakat tak lagi menggunakan aplikasi lama tersebut dan segera menghapusnya. Aplikasi tersebut bisa digunakan melalui PeduliLindungi.
Kronologi dugaan kebocoran data 1,3 juta pengguna aplikasi eHAC Kemenkes
Kasus dugaan data pengguna eHAC bocor pertama kali diungkap dalam laporan tim peneliti vpnMentor, yang digawangi oleh Noam Rotem dan Ran Locar. Mereka mempublikasikan hasil temuan terkait terjadinya kerentanan sistem keamanan pada aplikasi eHAC yang dikelola oleh Kemenkes.
ADVERTISEMENT
Lebih lanjut lagi, vpnMentor menyampaikan kerentanan kebocoran data aplikasi eHAC terjadi karena pengembang aplikasi gagal dalam mengimplementasikan protokol privasi data yang memadai. Alhasil, bisa mengekspos data sensitif lebih dari satu juta orang melalui server terbuka.
Selain kebocoran data sensitif pengguna, para peneliti menemukan bahwa semua infrastruktur di sekitar eHAC terekspos, termasuk informasi pribadi tentang rumah sakit lokal Indonesia serta pejabat pemerintah yang menggunakan aplikasi tersebut.
Temuan adanya kebocoran data pribadi databases aplikasi e-HAC ini pertama kali diketahui vpnMentor pada 15 Juli 2021. Mereka berusaha menginformasikan kepada Kemenkes pada 21 dan 26 Juli 2021, tetapi tidak ditanggapi.
Tindak lanjut dan penanggulangan kebocoran data aplikasi eHAC baru dilakukan 1 bulan kemudian, pada 24 Agustus 2021, ketika vpnMentor menginformasikan temuannya kepada BSSN.
Kominfo Investigasi Dugaan Kebocoran Data 1,3 Juta Pengguna eHAC
Kominfo ikut turun tangan melakukan investigasi dugaan kebocoran data eHAC. Juru Bicara Kementerian Kominfo, Dedy Permadi, menjelaskan Kominfo sudah bertemu dengan Kemenkes dan Badan Siber dan Sandi Negara pada Selasa (31/8).
ADVERTISEMENT
"Sebagai tindak lanjut dari pertemuan tersebut, Kementerian Kominfo bersama dengan pihak-pihak terkait akan melanjutkan investigasi lebih mendalam terhadap dugaan insiden kebocoran data pribadi pada aplikasi eHAC," kata Dedy.
Dedy menegaskan dugaan insiden kebocoran data pribadi ini, tidak mempengaruhi keamanan data pada aplikasi eHAC yang terintegrasi dengan aplikasi PeduliLindungi, di mana penyimpanan data telah dilakukan di Pusat Data Nasional (PDN).
Masyarakat diminta untuk menghapus atau uninstall aplikasi eHAC milik Kemenkes dari perangkat mereka.
BSSN Bantah Data di eHAC Bocor, Ini Penjelasannya
Juru Bicara BSSN Anton Setiyawan, dugaan tersebut ternyata tidak benar. Berdasarkan investigasi yang dilakukan BSSN, pihak vPN Mentor selaku tim yang menemukan kebocoran tersebut hanya memberikan informasi bahwa terdapat celah pada aplikasi eHAC.
ADVERTISEMENT
"Bahwa apa yang terjadi, yang kita alami saat ini bukan terkait dengan kebocoran data. Ini adalah bagian dari proses, kalau di keamanan siber kita mengenalnya sebagai thread information sharing, di mana pihak-pihak yang mempunyai concern terhadap keamanan siber saling bertukar informasi," jelas Anton.
Thread information sharing atau berbagi informasi ancaman merupakan salah hal yang umum dilakukan terkait saling berbagi informasi apabila terdapat celah atau ancaman terhadap serangan siber.
Tim peneliti dari vPN Mentor merupakan pihak yang dimaksud sebagai pemberi informasi tersebut. vPN Mentor diketahui telah menghubungi Kemenkes pada 23 Agustus lalu terkait dugaan kebocoran data tersebut yang kemudian segera ditindaklanjuti.
"Alhamdulillah kita dalam info yang sangat baik dari teman-teman di vPN Mentor dan kita bisa verifikasi dan ternyata teman-teman dari Kemenkes juga bisa melakukan tindak lanjut terhadap informasi kerentanan tersebut," tambah Anton.
ADVERTISEMENT
Terkait keamanan data pada aplikasi eHAC, Anton menyebutkan bahwa data tersebut dalam kondisi yang aman. Sehingga melalui pertukaran informasi celah tersebut, pemerintah dapat melakukan pencegahan terhadap kemungkinan kebocoran tersebut dengan menutup celahnya.
Komisi III Minta Polri Usut Data e-HAC Bocor
Wakil Ketua Komisi III DPR Ahmad Sahroni mengaku heran mengapa kebocoran data sering terjadi di Indonesia.
Sahroni menyebut kebocoran data ini menjadi pekerjaan rumah yang harus diselesaikan.
“Saya melihat kebocoran data di Indonesia ini masih tidak ada perubahan, baik swasta maupun pemerintah. Ada saja data yang bocor dari BPJS, pinjol, nasabah bank, sekarang data eHAC," kata Sahroni.
"Ini jadi PR yang benar-benar serius buat kita semua, agar meningkatkan upaya pengamanan data pribadi penduduk,” lanjutnya.
ADVERTISEMENT
Selain itu, Sahroni meminta Bareskrim Polri segera mengusut tuntas, aktor di balik pembocor e-HAC. Sebab, data yang bocor adalah data pribadi lengkap yang sangat penting.
Menurut dia, hal ini lebih penting dibanding memburu pembuat mural yang juga tengah ramai akhir-akhir ini. Jika tak segera diusut, Bendahara Umum NasDem ini khawatir data masyarakat dapat disalahgunakan oleh pihak tak bertanggung jawab.
Kemenkes Tanggung Jawab Kalau Data Pribadi di PeduliLindungi Bocor
Anas menegaskan, perlindungan data dalam aplikasi PeduliLindungi merupakan sepenuhnya tanggung jawab dari pemerintah.
"Untuk diketahui bahwa tetap keamanan dan perlindungan data adalah tanggung jawab dari pemerintah, karena kita sudah melakukan berbagai upaya untuk melindungi data di dalam Pusat Data Nasional," kata Anas.
ADVERTISEMENT
Kekhawatiran ini muncul lantaran dalam syarat dan ketentuan pada penggunakan aplikasi PeduliLindungi, tertulis bahwa pemerintah tak bertanggung jawab atas setiap kerugian akibat adanya pelanggaran pada aplikasi tersebut.
Kemenkes telah bekerja sama dengan Kominfo maupun BSSN. Sehingga, data pribadi pengguna yang kini berada di Pusat Dana Nasional bisa dijamin keamanannya dan merupakan tanggung jawab pemerintah.
"Saat ini pemerintah akan menggunakan PeduliLindungi, sudah dilakukan, dalam rangka untuk platform penanggulangan pandemi COVID-19. Dari sisi keamanan, sudah dilakukan kerja sama baik oleh Kemkominfo maupun juga BSSN," jelas Anas.
Kemenkes juga telah bekerja sama dengan Direktorat Siber Mabes Polri terkait tindak lanjut apabila terdapat laporan-laporan temuan adanya kebocoran data seperti yang terjadi pada eHAC.
ADVERTISEMENT
Anas mengungkapkan, seluruh tindak lanjut seperti pemberian sanksi bagi pihak yang bersalah merupakan wewenang pihak kepolisian.
"Kami Kemenkes juga sudah menggandeng kerja sama dengan Direktorat Siber Mabes Polri, mereka sudah turun bersama kita dan melakukan pendalaman terhadap hal ini. Tentu kita berikan kewenangan pada Mabes Polri kalaupun ada apa-apa dan sebagainya mereka yang punya kewenangan," tutup Anas.