Direktur Utama BPJS Kesehatan Profesor Ali Ghufron Mukti saat rapat bersama Komisi IX DPR RI, Selasa sore hingga malam (25 Mei 2021)
Direktur Utama BPJS Kesehatan Profesor Ali Ghufron Mukti saat rapat bersama Komisi IX DPR RI, Selasa sore hingga malam (25 Mei 2021)
Cyberthreat.id - Ruang sidang Komisi IX DPR RI yang dilengkapi pendingin ruangan tampaknya terasa gerah bagi Direktur Utama Badan Penyelenggara Jaminan Sosial (BPJS) Kesehatan Profesor Ali Ghufron Mukti pada Selasa sore (25 Mei 2021). Bagaimana tidak, di ruangan itu, dia yang hadir bersama jajarannya, dicecar bertubi-tubi oleh anggota DPR RI soal dugaan peretasan yang mengakibatkan kebocoran data milik lebih 200 juta warga Indonesia yang menjadi peserta BPJS.
Mengenakan kemeja batik merah marun dan masker yang menutupi mulut dan hidungnya, Ghufron tampak berupaya meyakinkan anggota DPR RI bahwa isu kebocoran data itu terlalu dibesar-besarkan oleh media massa. Padahal, menurut Ghufron, pihaknya masih dalam proses untuk membuktikannya.
"jadi sebetulnya belum tahu ada kebocoran atau tidak, tetapi sudah ramai ini bocor, karena belum selesai (investigasinya). Sebetulnya yang dia tawarkan benar punya BPJS atau bukan? Belum tahu. Tapi apakah itu mirip? Iya," kata Ghufron dalam rapat yang ditayangkankan di kanal YouTube Komisi IX DPR RI.
Ghufron tak menampik bahwa data yang dijual di RaidForums oleh pemilik akun Kotz itu mirip dengan data BPJS. Namun, kata dia, belum diketahui apakah datanya bersumber dari data BPJS.
"Datanya apakah data BPJS? Belum tahu. Itu sedang diinvestigasi," ujarnya.
Ghufon bilang, timnya bersama Badan Siber dan Sandi Negara (BSSN(, Security Operation Center (SCO) masih melakukan digital forensik untuk menelusurinya.
"Sampel data yang bisa diakses itu juga sedang dianalisa bahkan analisisnya juga kami memakai semacam audit investgas digital, semacam itu," ujarnya.
Ghufron juga mengatakan bahwa pihaknya sudah menerapkan standar internasional untuk pengamanan data, termasuk menerapkan sistem manajemen keamanan informasi yang mengacu kepada regulasi pemerintah. Bahkan, kata dia, ada tim yang memonitor sistem keamanan selama 24 jam non stop dalam sepekan.
Meski pun Ghufron belum mengakui data yang bocor itu berasal dari BPJS Kesehatan, namun sejumlah indikasi yang ada menunjukkan data yang bocor dan menurut penjualnya dicolong dari situs bpjs-kesehatan.co.id, identik dengan data BPJS Kesehatan. Penelusuran oleh Vaksin.com, misalnya, menemukan sejumlah sampel data yang diuji cocok dengan data BPJS (Lihat: Vaksin.com Yakini Data yang Dijual di RaidForums ialah Data Peserta BPJS Kesehatan).
Mendengar penjelasan Ghufron, sejumlah anggota DPR RI tak tinggal diam. Saleh Partaonan Daulay, misalnya, mengkritisi tanggung jawab BPJS. Menurutnya, persoalan kebocoran data merupakan masalah besar dan tak bisa dibiarkan tanpa pertanggungjawaban lembaga itu. Ia menyesalkan sikap BPJS yang seolah-olah masih belum mengakui adanya kebocoran data itu.
Seperti diketahui, data itu sudah ditawarkan untuk dijual di RaidForums sejak 12 Mei 2021. Namun, setelah ramai diberitakan media massa sejak 20 Mei 2021, barulah BPJS sibuk."Pada 20 Mei BPJS sudah melakukan dugaan peretasan (mungkin maksudnya mengetahui adanya dugaan peretasan), lalu berkoordinasi dengan banyak pihak seperti Badan Sandi Negara, Cyber Kementerian Pertahanan hingga IT Security Expert. Tapi sampai titik ini belum mengakui ada kebocoran," tegas Saleh. (Baca juga: Belum Akui Data Warga RI Diretas, BPJS Laporkan Kasusnya ke Bareskrim)
Menurut Saleh, langkah BPJS untuk berkoordinasi dengan berbagai pihak yang berkecimpung di dunia IT dan keamanan data adalah pertanda bahwa BPJS telah menyimpulkan adanya kebocoran data. Dugaan itu, menurut Saleh, diperkuat dengan langkah BPJS yang meminta penutupan akses terhadap situs yang diduga membocorkan data peserta BPJS itu.
"Oleh karena itu, BPJS harus bertanggung jawab atas kebocoran data ini karena ini juga menyangkut soal kedaulatan," kata politisi fraksi PAN itu.
Desakan juga datang dari anggota Komisi IX Yahya Zaini. Ia meminta Direksi BPJS harus menyegerakan proses digital forensik atas dugaan kebocoran itu.
"Jika ada kebocorran atau tidak, maka sampaikanlah apa adanya. Sebab ini menyangkut keamanan data nasional," ujarnya.
Politisi Golkar itu juga mewanti-wanti agar BPJS memperhatikan langkah penyelesaian kasus kebocoran data. Sebab, kata dia, itu dapat mempengaruhi citra BPJS Kesehatan di mata publik dan mengakibatkan berkurangnya kepercayaan publik terhadap BPJS.
Anggota Komisi IX yang lain, Rahmat Handoyo, mempertanyakan apakah teknologi informasi (TI) BPJS Kesehatan itu diselenggarakan secara mandiri atau melibatkan pihak ketiga.
"Apakah dikerjakan sendiri, saya tidak yakin itu, pasti akan melibatkan orang lain, vendor, dan itu hal biasa. Jika melibatkan pihak ketiga, siapa saja mereka," ujarnya.
Selain itu, anggota Komisi IX, Dewi Asmara menanyakan terkait lokasi penyimpanan data BPJS Kesehatan selama ini apakah berada di dalam atau luar negeri. Yang dia dengar, kata Dewi, penyimpanan datanya bekerja sama dengan Microsoft.
Dewi juga menyinggung mengenai ada 20 jenis aplikasi milik BPJS dan menyarankan untuk menyederhanakannya. Sebab, satu saja ada aplikasi yang rentan, maka akan menjadi celah masuk bagi pelaku kejahatan siber untuk membobol datanya.
Ghufron menjawab pertanyaan-pertanyaan itu dalam sesi kedua rapat yang berlangsung setelah salat Magrib.
Tentang keterlibatan pihak ketiga dalam pengelolaan IT, Ghufron mengakuinya. Menurutnya, memang ada beberapa pihak ketiga yang terlibat. Namun, Ghufron tidak menyebut siapa saja mereka, dengan alasan perlu diidentifikasi lagi.
"Kalau sistem ini dulu pengembangannya dengan pihak luar tadi, ini kita perlu cek lagi. Makanya perlu waktu," kata Ghufron.
Saat ditanya kembali oleh Rahmat apakah diduga yang bertanggungjawab atas segala hal ini adalah pihak ketiga. Ghufron mengatakan pihaknya belum bisa memastikan karena masih dalam proses investigasi.
"Justru itu perlu waktu. Jadi kita menganalisis, karena ada bagian produksi, development (pengembangan), kita investigasi, siapa saja orangnya, orang dalam atau luar," tuturnya. Selain bagian produksi dan development, ada juga bagian warehouse dan quality control. Semua bagian itu, kata Ghufron tugasnya berbada-beda atau tidak mengerti keseluruhan Di-check list satu-satu, ini tentu perlu waktu," ujarnya.
Terkait lokasi penyimpan data, menjelaskan bahwa penyimpanan data semuanya dilakukan dalam negeri atau di Indonesia bukan di luar negeri. Kerja sama dengan luar negeri atau crossborder pun tidak dilakukan karena memang data disimpan di dalam negeri, katanya.
Terkait banyaknya aplikasi, Ghufron mengatakan pihaknya memiliki peta jalan untuk menyederhanakannya tetapi memerlukan waktu dan sumber daya manusia.
Beberapa anggota Komisi IX DPR lainnya pun juga menyoroti bahwa BPJS Kesehatan perlu sejujur-jujurnya menyampaikan apa yang terjadi. Ghufron mengatakan bahwa pihaknya memang menanggap isu dugaan ini sangat serius sehingga sangat berhati-hati untuk menyimpulkan.
Namun, meski masih dugaan Ghufron mengatakan tidak menutup kemungkinan peretasan itu terjadi. Ghufron pun menggambarkan bahwa peretas dan pengembang sistem ini balapan, adu kepandaian.
"Jadi artinya tidak menutup kemungkinan, enggak. Tapi perlu pembuktian, jadi ini semua sangat kompleks, datanya besar jadi perlu waktu." tutur Ghufron.
Menjelang akhir rapat, pimpinan sidang menanyakan bagaimana cara BPJS mengembalikan kepercayaan dari masyarakat terkait pengelolaan data pribadi.
Menjawab itu, Ghufron mengatakan pihaknya menjamin bahwa pelayanan untuk kesehatan di BPJS tidak terganggu.
"Jadi kami memang berharap dukungan dari Anggota Dewan yang terhormat untuk menjelaskan kepada konstituennya apa yang terjadi. Mohon disampaikan kesabarannya untuk menunggu. Kalau kita tidak anggap penting, mungkin kita diam-diam saja. Jadi, pelayanan kita jamin tidak terganggu," katanya.
Dugaan Keterlibatan Orang Dalam
Sejumlah anggota DPR RI juga melontarkan pertanyaan seputar kemungkinan keterlibatan orang dalam terkait kebocoran data itu.
Dugaan itu dilontarkan oleh Alifuddin dari Fraksi PKS. Alifuddin bilang, pemikiran itu muncul lantaran dia pernah mengalaminya. Suatu ketika, dia pernah memberikan kode OTP kepada orang lain yang menyebabkan akunnya diretas. Dalam kasus yang dialaminya, kata dia, orang dalam itu adalah dirinya sendiri, karena memberikan kode OTP kepada orang lain.
"Yang saya khawatirkan ada orang dalam yang memberikan kode, seperti dalam kasus saya. Jadi saran saya perlu diselidiki. Kalau benar tidak ada, alhamdulillah, tapi kami curiga di sini ada orang dalam yang terlibat. Ini mohon dicek betul dan jangan sampai terjadi karena ini sangat membahayakan semuanya," ujarnya.
Saleh Daulay juga melontarkan dugaan serupa. Saleh bahkan sempat terlibat perdebatan kecil dengan Ghufron soal makna peretasan dan kebocoran data.
"Soal peretasan tadi, bisa atau tidak (disebut sebagai) peretasan dan kebocoran. Kan indikasi, pak. Indikasi itu kan bukan berarti pasti. Karena kalau peretasan itu orang luar aja yang main. Tapi kalau kebocoran, mungkin saja orang dalam. Tadi kan BPJS belum bisa memastikan apakah orang dalamnya terlibat," kata Saleh.
"Betul, makanya peretasan juga bisa melihatkan orang dalam dan orang luar. Kalau kebocoran itu hanya orang dalam," sergah Ghufron.
Belum selesai Ghufron menjawab, Saleh kembali menyergah.
"Kalau begitu, ini peretasan dan kebocoran ya?," tanya Saleh.
"Nggak. Kalau menurut saya ini peretasan, pak," sergah Gufron yang kini sudah membuka masker yang dikenakannya.
"Karena kan kalau peretasan orang dalam bisa kerja sama dengan orang luar. Orang luar bisa kerja sama dengan orang dalam. Tapi kalau kebocoran, nggak bisa..tapi bisa juga sebetulnya, tapi gak bisa, ini, jelas," tambah Ghufron.
"Jadi kalau kebocoran itu bahasa media. Soalnya kalau tidak pakai kata kebocoran kan nggak seru. Tapi, untuk merespon dan menjawab media ini gak apa-apa, pakai istilah peretasan dan atau kebocoran. Atau kebocoran aja," kata Saleh.
Ghufron kembali menyergah.
"Peretasan itu ada usaha orang, sejak Februari 2020 itu sudah berusaha dia. Kalau menurut saya sih ini peretasan," kata Ghufron.
Saleh Daulay pun kembali mengungkapkan pandangannnya.
"Kalau diretas, ada orang meretas, itu belum tentu bocor kalau pertahanannya kuat. Perbankan itu ya. ATM kita bisa aman itu kenapa? Karena security-nya bagus. Ini kan bocor. Berarti diretas dan bocor. Kecuali kalau memang tidak bocor, diretas aja, itu peretasan. Ini kan masalahnya BPJS belum memastikan ini bocor atau tidak. Jadi, sudah kan, ini peretasan dan kebocoran. Kalau peretasan saja, BPJS ini kan terkesan mau lepas tanggung jawab," sergah Saleh.
Pimpinan sidang kemudian memanyakan kepada peserta rapat apakah itu "peretasan dan kebocoran" atau hanya peretasan saja. Hal itu diperlukan untuk menyusun hasil kesimpulan rapat.
Seorang anggota DPR kemudian terdengar melontarkan celutukan,"menyesuaikan dengan isu rapat kita ini saja, bocoorr....."
Forum akhirnya menyepakati menggunakan istilah "peretasan atau kebocoran."
Rapat yang ditutup pukul 19.50 WIB itu menghasilkan sejumlah rekomendasi.
"Sebagai bentuk tanggung jawab BPJS Kesehatan terkait adanya indikasi peretasan/kebocoran data peserta, maka Komisi IX DPR RI mendesak Direksi BPJS Kesehatan bersama Dewan Pengwwas BPJS Kesehatan untuk segera;
a. melakukan forensik digital dan investigasi mendalam baik seara internal maupun eksternal, serta membuat klarifikasi secara transparan kepada publik.
b. menyiapkan rencana kontijensi untuk meminimalisir dampak, memulihkan keamanan data dan menjaga kepercayaan publik; dan
c. Melakukan langkah mitigasi atas seluruh potensi risiko yag timbul dan mencegah agar kejadian serupa tidak terulang lagi." []
Baca juga:
Share:
