Cyberthreat.id – Kepala Pusat Studi Forensik Digital Universitas Islam Indonesia (UII) Yogyakarta, Yudi Prayudi, menyarankan agar pemerintah segera melakukan audit besar-besaran terkait dugaan kebocoran data orang yang menjalani tes Covid-19.

“Perlu audit yang cukup lama untuk memahami perjalanan data dan di mana ada celah-celahnya,” ujar Yudi saat dihubungi Cyberthreat.id, Senin (22 Juni 2020).

Kebocoran data kesehatan, menurut Yudi, sangat berisiko bagi pemilik data. Apalagi untuk saat ini, data kesehatan tentang Covid-19 banyak dicari broker data di dunia.

Yudi mengatakan, data Covid-19 di Indonesia yang begitu besar dan tersebar hingga ke daerah-daerah berdampak pada celah keamanan, karena permukaan serangan (surface attack) menjadi sangat luas.

“Sehingga celahnya itu di mana-mana ada. Kalau, misal, ada kebocoran-kebocoran data, ya auditnya harus sedemikian besar. Karena kita tidak tahu data itu alurnya seperti apa,” kata dia.

“Bagaimana data ini diserahkan kepada siapa, dikoleksi oleh siapa, kemudian dilaporkan kepada siapa, kemudian dikumpulkan oleh siapa, diverifikasi oleh siapa. Ini kan berkaitan dengan administrasi publik ya”.

---

Berita Terkait:

• Melacak Asal Usul Database Uji Covid19 yang Bocor dan Dijual di Darkweb, dari Sinikah Datanya?
• Pernyataan BSSN Tanggapi Penjualan 230 Ribu Data yang Diklaim Terkait Tes Covid-19 di Indonesia

---

“Nah, data-data berkaitan administrasi publik, termasuk data-data yang cukup menjadi target sasaran dari pencurian data, kenapa? Karena data itu rata-rata memuat identitas personal,” tutur Yudi.

Dengan panjangnya laporan data Covid-19, Yudi mempertanyakan di level manakah perlindungan data dilakukan.

“Karena data-data yang terkait kesehatan itu data yang sifatnya privat, tidak boleh diekspos,” kata dia.

“Kalau akan diekspos, harus menggunakan pendekatan anonim. Nah di mana mekanisme menganonimkan data itu? Ini menjadi satu titik penting untuk menelusuri.”

Yudi juga menyinggung perlunya pemerintah saat ini konsen terhadap pengelolaan dan pengamanan data Covid-19i lantaran kasus ini terus berkembang.

“Sistem yang dikembangkan pun juga tidak bisa langsung perfect. Nah, ada kemungkinan dari proses-proses tersebut juga ada celah-celah yang kemungkinan dimanfaatkan ya [oleh attacker],” kata dia.

Pemerintah, kata dia, bisa mendesain kembali pendataan mulai pelaporan, pengelolaan, persetujuan data, dan penghapusan data.

Pada 18 Juni 2020, di forum peretas RaidForums, seseorang dengan nama akun "Database Shopping" menjual basis data yang diklaim berisi data pribadi 230 ribu orang yang menjalani tes Covid-19 di Indonesia. Basis data dalam format Mysql itu.

Penjual memberikan informasi sampel data yang dijual, antara lain tanggal laporan, nama, kewarganegaraan, kelamin, umur, telepon, alamat tinggal, jenis kontak, hubungan kasus, tanggal awal risiko, tanggal akhir risiko, tanggal mulai sakit, tanggal rawat jalan, faskes rawat jalan, tanggal rawat inap, keluhan sakit, tanggal ambil sampel, jenis periksa, tanggal kirim sampel, tanggal ambil hasil, status akhir, tanggal rapid test, hasil rapid test, tanggal PCR test, dan hasil PCR test.[]

Redaktur: Andi Nugroho