Jakarta, Komite.id- Disinyalir terjadi kebocoran data Kependudukan kategori data Social Security yang telah membuat banyak masyarakat Indonesia terekspos profil dan data pribadi nya oleh serangan digital dari peringatan seorang ahli keamanan siber.
Kementerian Kominfo mencurigai data pribadi minimal 100,000 (100K) record telah bocor, ditengarai dari institusi atau lembaga, apakah berasal dari BPJS Kesehatan? Karena itu, dihimbau agar institusi tersebut memberitahukan kepada para penggunanya. Data yang ditengarai bocor ini adalah sample database yang diberikan secara gratis di Dark Web, tempat para hacker bercengkrama oleh seseorang yang kemudian memakai nama samaran Kotz di pasar gelap Raidforum.
Sejak pertengahan Mei 2021 yang lalu, Kotz mencoba menjual data yang sangat besar yakni lebih dari 279 juta records populasi data berisi data penting seperti data kependudukan, nomor telepon, nomor wajib pajak NPWP, kartu keluarga, data keluarga, jenis golongan darah hingga gaji. Namun sepertinya Kotz ini hanya sesumbar saja (bluffing) karena data-data tersebut terlalu dibesar-besarkan. Padahal, data dari BPJS Kesehatan menyebutkan pada akhir tahun lalu baru mencapai 222.5 juta atau melayani 82% dari 270.2 juta jumlah penduduk Indonesia, sehingga jangan terlalu terburu-buru percaya dengan informasi yang di sampaikan Cyberspace. Sementara itu, data dari Dukcapil saja baru mencapai 268.6 juta record, masih jauh dibawah angka yang di gadang-gadang oleh Kotz.
Memang kita harus berhati hati mempercayai Kotz dan dunia siber, apalagi dark web, karena Kotz sendiri tidak jelas darimana dia berasal, bisa saja berupa mahluk virtual, botnet dengan akun anonim terinkripsi dengan bitcoin di darkweb yang sangat sulit dilacak. Kementerian Kominfo juga sudah meminta agar tiga buah portal yang hosting sample database agar menghapus databasenya diikuti oleh dua portal lainnya. Namun sepertinya portal Raidforum pasar gelap darkweb belum menghapus data-data yang dimaksud tersebut.
Tim Kebijakan Siber Bidang Politik Hukum dan Keamanan dan Pusat Pemantau Krisis mengadakan rapat koordiniasi dengan para stakeholder dari BPJS, Kominfo, BSSN dan perwakilan dari Komunitas dan Akademis membahas mengenai bagaimana data social yang ada di Darkweb diperoleh, meski informasi di media mensinyalir data dari ekosistem BPJS mengingat BPJS pun memiliki stakeholder dari supplier, technology provider, subkontraktor dan network Rumahsakit, Klinik, Peserta BPJS, Petugas medis dan lain-lain.
SinghHealth & APT Data Breach
Tahun 2018 terjadi serangan siber terbesar di ASEAN yang dialami juga oleh institusi jaringan rumah sakit, pasien & klinik, seperti BPJS, yaitu SingHealth di Singapura, dimana tercatat 1.5 juta data personal non medis termasuk data Perdana Menteri Singapura juga di unduh oleh hacker yang sampai sekarang motifnya belum jelas apakah Politis oleh State Own Actors atau Komerisal Lonewolf.
Namun serangan di Singapura tergolong APT ( Advanced Persistent Threat) dimana hacker menggunakan segala macam cara, mulai dari phishing untuk masuk, lalu melakukan lateral movement dan tinggal dormant didalam system selama hampir setahun sebelum ketahuan oleh personil SingHealth dan dilaporkan ke otoritas Singapore Cyber Security Agency (CSA) menjadi momen zero day attack saat discovery.
Dapat dilihat pada bagian bawah Regulasi terkait stakeholder Perpres SDI, dimana Sekretariat untuk Data Kesehatan di Kementrian Kesehatan dan BPJS mencakup seluruh cabang dinas kesehatan dan kantor cabang BPJS di daerah tingkat propinsi, kabupaten/kota, sehingga cakupannya sangat luas dan kompleks, Breach (Pembobolan) dapat dimulai dari tingkat daerah atau dari subkontraktor. ABDI menyarankan melakukan analytics metadata dari sample data 100,000 records untuk melacak entry point data breach ini, yang katanya dari populasi data raksasa 279 juta yang diluar volume data dari instansi di Indonesia.
Regulasi Mengatur Jika ada Pembobolan Data
Ternyata banyak sekali peraturan dan perundang-undangan yang berlaku di Indonesia yang mengatur data dan informasi, sehingga perlu sekali dilakukan harmonisasi terutama dengan rencana terbitnya draft RUU PDP (Perlidungan Data Pribadi).
Sayangnya Draft RUU PDP masih dalam pembahasan di Komisi I dan belum di sahkan Pemerintah menjadi UU yang komprehensif mengenai perlidungan data privasi. Draft berisi pasal tentang kewajiban lapor bagi Data Controller (versi GDPR) atau Wali Data (versi Draft RUU PDP), jika database nya dibobol dalam kurun waktu 3 hari juga belum diberlakukan.
Apalagi, di peraturan EU GDPR dendanya sangat signifikan dan massif membuat jera dan takut bahkan perusahaan Global sekalipun. Sedangkan di RUU PDP masih berupa sanksi administratif, apakah membuat jera Wali Data di tanah air ? karena itu, perlu dilakukan pengkajian ulang RUU PDP agar data controller di Indonesia bisa lebih bertanggung jawab dan jera oleh sanksi yang bukan administratif. Data Controller atau Wali Data mendapatkan data dari Data Produsen yang mengumpulkan dari data Pengguna, di GDPR disebut Data Owner, masyarakat pengguna data misalnya di Media Sosial (Medsos) atau Pusat Pelayanan Publik.
Dari sisi organisasi yang mengelolah berbagai regulasi ini pun juga masih tumpang tindih antara stakeholder yang ada di Perpres SDI (Satu Data Indonesia) meski focus dilingkungan Pemerintah, dimana sudah terbentuk Penyelenggara Tata Kelola SDI di tingkat Pusat dan di Pemerintah Daerah di pimpin oleh Ketua Pembina data (Bappenas) bersama anggotanya antara lain dari Kementrian Keuangan, BPS, Kemendagri, KemenPAN, BSSN. Di Forum SDI di Sekretariat Pusat di Bappeneas, Pembina Data dibantu Wali Data yang mengumpulkan dan memproses data dari Produsen Data. Diskusi lengkap terkait SDI akan diselenggarakan oleh ABDI pada WebSummit SDI Day 1 BRI Hall tanggal 6 July 2021 dan eGov Enterprise Services Day 2 ABDI Hall tanggal 8 July 2021.
Di Peraturan Pemerintah (PP) No 71 tahun 2019 tentang PSTE (Penyelenggara Sistem Transaksi Elektronik), maka PSE (Penyeenggara Sistem Elektronik) wajib melaksanakan prinsip perlindungan data pribadi dalam melakukan pemprosesan Data Pribadi meliputi antara lain pemprosesan Data Pribadi dilakukan dengan melindungi keamanan Data Pribadi dari kehilangan, penyalahgunaan, akses dan pengungkapan yang tidak sah, serta pengubahan atau pengrusakan Data Pribadi. JIka terjadi kegagalan dalam perlindungan terhadap Data Pribadi yang dikelola oleh PSE, maka PSE wajib memberitahukan secara tertulis kepada pemilik Data Pribadi tersebut. Pertanyaannya adalah apakah hal ini sudah dilakukan dan tercantum pada pasal 14 ayat 5 pada PP No 71 tahun 2019?. Coba kita simak beberapa kejadian pembobolan data mulai dari beberapa Unicorn hingga ditenggarainya BPJS.
PSE harus menjamin: (a). tersedianya perjanjian tingkat layanan; (b). tersedianya perjanjian keamanan informasi terhadap jasa layanan Teknologi Informasi yang digunakan; dan (c) keamanan informasi dan sarana komunikasi internal yang diselenggarakan. PSE harus menjamin setiap komponen dan keterpaduan seluruh system elektronik beroperasi sebagaimana mestinya. PSE harus menerapkan manajemen resiko terhadap kerusakan atau kerugian yang ditimbulkan. Perpres Satu Data Indonesia juga harus mengatur integritas dan keamanan data public yang dikelola oleh Kementrian dan instansi Pemeirntah.
DarkWeb dan TOR
Dark web, bagian dari internet yang gelap dan tersembunyi, sering digunakan untuk aktivitas ilegal termasuk transaksi obat terlarang (narkoba), senjata api, data perusahaan dan keuangan yang dicuri. Kalau transaksi di Surface Web atau World Wide Web (WWW) yang setiap hari kita gunakan misalnya akses google, facebook itu menampilkan IP source, destination, kadang alamat email, yang menjadi identitas pengguna Internet, namun di Darkweb semuanya dilakukan secara encrypted dan anonym, melalui beberapa nodes DarkWeb yang semuanya anonim dan tidak meneruskan informasi IP seperti halnya hopping atau berselancar di WWW, sehingga menjadi favorit para hacker, crackers & internet adversary.
Di Dark Web banyak portal, mall, toko, pasar gelap jual beli barang illegal, misalnya data sosial penduduk RI illegal yang dijual oleh Kotz di RaidForum di Darkweb. Banyak toko gelap seperti Hansa, yang ditutup oleh polisi nasional Belanda 2017, seperti pasar gelap SilkRoad, setelah pihak berwenang mengambil alih kendali pasar, karena Hansa mengumpulkan sekitar 10.000 alamat data keuangan dan menyerahkannya ke Europol..
Karena sifatnya unik & anonim, maka kita tidak mungkin berselancar di DarkWeb menggunakan browser umum seperti Mozilla, Firefox, IE (Explorer) dengan mesin pencari Google, namun harus menggunakan browser khusus TOR atau the Onion Router) dengan mesin pencari Duck Duck Go yang hopping khusus di Node node DarkWeb tanpa memberikan IP tujuan dan IP source nya, semuanya anonym, sehingga tidak mungkin melacak identitas hacker yang menggunakan TOR di Darkweb.
Inti (core) dari TOR di rancang sekitar 1996 lagi lagi oleh US Naval Research dana DARPA oleh Paul Syverson, Michael Reed & David Goldschlag dengan tujuan memfasilitasi komunikasi Pentagon (CIA) dengan para dissident (pemberontak) dan organisasi bawah tanah misalnya saat AS hendak menjatuhkan Khadafi di Libia (2011). Untuk mematahkan para pemberontak, Presiden Gaddafi mensensor dan memutuskan, menyadap semua jaringan Internet surface web, namun yang tidak bisa dilacak, disadap dan dipatahkan adalah jaringan DarkWeb mengggunakan TOR dan satelit. Onion routing dapat diimplementasikan dengan encryption di application layer dari TCP/IP communication protocol stack, berlapis lapis (nested) setiap hop, sehingga sulit dilacak dan disadap. Kemudian menjadi TOR Project dan versi komersialnya dapat diperoleh secara gratis di tahun 2004 lalu.
Mudaratnya jaringan Intelijen AS dengan TOR browser ini malah menjadi Dark Web (dunia hitam) digunakan juga oleh hacker, jaringan mafia & transaksi di pasar gelap. Sebagai perbandingan protocol Internet TCP/IP juga diciptakan dengan dana DARPA di US Naval Research oleh Vin Cerp dan Bob Kahn tahun 1974. Jaringan dan protocol TCP/IP ini kemudian menjadi platform World Wide Web (WWW) oleh Tim Berner 10 tahun kemudian yakni 1989, awalnya sebagai jaringan akademisi. Jadi memang teknologi itu seperti pisau ada dua sisi, dari sisi yang membawa manfaat hingga sisi yang mudarat. (RR)
