Cyberthreat.id - Direktur Utama BPJS Kesehatan Ali Ghufron Mukti mengatakan pihaknya telah melakukan tindakan hukum dengan melaporkan kasus kebocoran data lebih dari 200 juta penduduk Indonesia peserta BPJS ke Bareskrim Polri. Namun begitu, Ghufron tidak secara tegas mengakui adanya peretasan.

"Walaupun BPJS Kesehatan sudah melakukan sistem pengamanan sesuai standar yang berlaku, tapi masih dimungkinkan terjadinya peretasan, mengingat sangat dinamisnya dunia peretasan," kata Ghufron dalam konferensi pers virtual pada Selasa (26 Mei 2021).

Ghufron juga mengingatkan bahwa peristiwa peretasan juga dialami oleh banyak lembaga baik di dalam maupun luar negeri.

Seperti diketahui, data 279 juta penduduk Indonesia peserta BPJS Kesehatan diduga bocor dan diperjualbelikan di situs raidsforum.com. Data tersebut mencakup nomor induk kependudukan, kartu tanda penduduk (KTP), nomor telepon, email, nama, alamat, hingga gaji.

Data tersebut dijual oleh pengguna forum dengan nama id 'Kotz' sejak 12 Mei 2021. Ia mengatakan data tersebut juga termasuk data penduduk yang sudah meninggal. Sebagai sampel, ia membagikan secara gratis 1.000.002 data yang disebutnya diambil dari situs bpjs-kesehatan.go.id.

Dilihat dari awal munculnya penjualan data itu, itu artinya sudah dua pekan pihak BPJS belum secara transparan mengakui data warga Indonesia telah diretas atau tidak. Padahal, penanganan lebih cepat seharusnya bisa mencegah penyalahgunaan data warga RI oleh pelaku kejahatanan siber.  

Sebelumnya, Kementerian Kominfo memastikan data itu identik dengan data BPJS. Namun, menurut Kominfo, data yang dibagikan gratis sejumlah 100.002, bukan 1.000.002 seperti yang disebut oleh si penjual data.

Ghufron bilang, sistem pengamanan data di BPJS telah memenujhi standar sertifikasi ISO 27001 dan Control Objective for Information Technologies (COBIT). Bahkan, kata dia, lembaganya mengoperasikan Security Opertion Center (SOC) dalam 24 jam 7 hari.

Faktanya, berdasarkan amatan Cyberthreat.id, sampel data yang dijual itu dalam format file CSV, tanpa dilindungi enkripsi yang menjadi standar perlindungan data.  

Terkait laporan ke Bareskrim Polri, Ghofron mengatakan itu dilakukan "mengingat adanya dugaan pelanggaran hukum yang dilakukan oleh pihak yang tidak bertanggung jawab yang merugikan BPJS Kesehatan."

Dia menambahkan, selain melakukan investigasi dan penelusuran jejak digital, pihaknya juga sedang melakukan mitigasi terhadap hal-hal yang mengganggu keamanan data dalam proses pelayanan dan administrasi.

"Kami juga sedang melakukan penguatan keamanan TI terhadap potensi gangguan keamanan data, antara lain meningkatkan proteksi dan ketahanan sistem," kata Ghufron.

Ghufron menegaskan, BPJS Kesehatan tidak pernah memberikan data pribadi kepada pihak-pihak yang tdak bertanggung jawab.

BPJS Kesehatan juga mengandeng Telkom untuk melakukan penyelidikan terkait kebocoran data peserta yang terjadi. Itu lantaran BPJS Kesehatan menggunakan layanan anak usaha PT Telkom Indonesia Tbk (Persero), Telkomsigma, untuk layanan data center mereka.

SVP Solution Delivery & Operation Telkomsigma, Iman Sukmana, mengatakan pihaknya akan memberikan dukungan untuk menyelesaikan pengusutan kasus kebocoran data penduduk Indonesia yang berasal dari situs BPJS Kesehatan.

Sebelumnya, peneliti keamanan siber dari Vaksin.com, Alfons Tanujaya mengatakan telah mencocokkan sampel data yang dibagikan gratis oleh akun Kotz dengan database BPJS Kesehatan yang dapat diakses secara online. Hasilnya, data itu cocok dengan data BPJS.

Pencocokan dilakukan Alfons lewat fasilitas yang disediakan oleh situs web BPJS Kesehatan, yakni melalui "Cek Iuran BPJS Kesehatan" di tautan https://daftar.bpjs-kesehatan.go.id/bpjs-checking/.  Kini, tautan itu telah dinonaktifkan oleh BPJS setelah kasus kebocoran data ini merebak.

Direktur Utama BPJS Ali Ghufron Mukti kepada Cyberthreat.id mengakui tautan itu telah dinonaktifkan.

"Kami mengamankan dari kemungkinan mereka yang tidak bertanggung jawab," katanya.

Saat ditanyakan kembali apakah ada alternatif lain jika masyarakat ingin memeriksa tagihan dan pembayaran iuran, tetapi Ali belum menanggapinya.[]

Baca juga:

• Yang Terjadi pada Saya Setelah Data BPJS Bocor