Disinyalir 100K Data Pribadi Bocor di DarkWeb & Strategisnya Satu Data Indonesia

0
3060

Jakarta, Komite.id- Disinyalir terjadi kebocoran data Kependudukan kategori data Social Security yang telah membuat banyak masyarakat Indonesia terekspos profil dan data pribadi nya oleh serangan digital dari peringatan seorang ahli keamanan siber.

Kementerian Kominfo mencurigai data pribadi minimal 100,000 (100K) record telah bocor, ditengarai dari institusi atau lembaga,  apakah berasal  dari BPJS Kesehatan? Karena itu, dihimbau  agar institusi tersebut memberitahukan kepada para penggunanya. Data yang ditengarai  bocor ini adalah sample database yang diberikan secara gratis di Dark Web, tempat para hacker bercengkrama oleh seseorang yang kemudian  memakai  nama samaran  Kotz di pasar gelap Raidforum.

Sejak pertengahan Mei 2021 yang lalu, Kotz mencoba menjual data yang sangat besar yakni  lebih dari 279 juta records populasi data berisi data penting  seperti data kependudukan, nomor telepon, nomor wajib pajak NPWP, kartu keluarga, data keluarga, jenis golongan  darah hingga gaji. Namun sepertinya Kotz ini hanya sesumbar saja  (bluffing) karena data-data tersebut  terlalu dibesar-besarkan. Padahal,  data dari BPJS Kesehatan menyebutkan pada  akhir tahun lalu baru mencapai  222.5 juta atau  melayani 82% dari 270.2 juta jumlah penduduk Indonesia, sehingga jangan terlalu  terburu-buru  percaya dengan informasi  yang di sampaikan  Cyberspace. Sementara itu,  data dari Dukcapil saja baru mencapai 268.6 juta record, masih jauh dibawah angka yang di gadang-gadang  oleh Kotz.

Memang kita  harus berhati hati mempercayai Kotz dan dunia siber, apalagi dark web, karena Kotz sendiri tidak jelas darimana dia berasal, bisa saja berupa mahluk virtual, botnet dengan akun anonim terinkripsi dengan bitcoin di darkweb yang sangat sulit dilacak. Kementerian Kominfo juga  sudah meminta agar tiga buah portal yang hosting sample database agar menghapus databasenya diikuti oleh dua portal lainnya.  Namun  sepertinya portal Raidforum pasar gelap darkweb belum menghapus data-data yang dimaksud tersebut.

Tim Kebijakan Siber Bidang Politik Hukum dan Keamanan  dan Pusat Pemantau Krisis mengadakan rapat koordiniasi dengan para stakeholder dari BPJS, Kominfo, BSSN dan perwakilan dari Komunitas dan Akademis membahas mengenai bagaimana data social yang ada di Darkweb diperoleh, meski informasi di media mensinyalir data dari ekosistem BPJS mengingat BPJS pun memiliki stakeholder dari supplier, technology provider, subkontraktor dan network Rumahsakit, Klinik, Peserta BPJS, Petugas medis dan lain-lain.

SinghHealth & APT Data Breach

Tahun 2018 terjadi serangan siber terbesar di ASEAN yang  dialami juga oleh institusi jaringan rumah sakit, pasien & klinik, seperti BPJS, yaitu SingHealth di Singapura, dimana tercatat  1.5 juta data personal non medis termasuk data Perdana Menteri Singapura juga di unduh oleh hacker yang sampai sekarang motifnya belum jelas apakah Politis oleh State Own Actors atau Komerisal Lonewolf.

Namun serangan di Singapura tergolong APT ( Advanced Persistent Threat) dimana hacker menggunakan segala macam cara, mulai  dari phishing untuk masuk, lalu melakukan lateral movement dan tinggal dormant didalam system selama hampir setahun sebelum ketahuan oleh personil SingHealth dan dilaporkan ke otoritas Singapore Cyber Security Agency (CSA) menjadi momen zero day attack saat discovery.

Dapat dilihat pada bagian bawah Regulasi terkait stakeholder Perpres SDI, dimana Sekretariat untuk Data Kesehatan di Kementrian Kesehatan dan BPJS mencakup seluruh cabang dinas kesehatan dan kantor cabang BPJS di daerah tingkat propinsi, kabupaten/kota, sehingga cakupannya sangat luas dan kompleks, Breach (Pembobolan) dapat dimulai dari tingkat daerah atau dari subkontraktor. ABDI menyarankan melakukan analytics metadata dari sample data 100,000 records untuk melacak entry point data breach ini, yang katanya dari populasi data raksasa 279 juta yang diluar volume data dari instansi di Indonesia.

Regulasi Mengatur Jika ada Pembobolan Data

Ternyata banyak sekali peraturan dan perundang-undangan yang berlaku  di Indonesia yang mengatur data dan informasi, sehingga perlu sekali dilakukan harmonisasi terutama dengan rencana terbitnya draft RUU PDP (Perlidungan Data Pribadi).

Sayangnya Draft RUU PDP masih dalam pembahasan di Komisi I dan belum di sahkan Pemerintah menjadi UU yang komprehensif mengenai perlidungan data privasi. Draft berisi pasal tentang kewajiban lapor bagi Data Controller (versi GDPR) atau Wali Data (versi Draft RUU PDP), jika database nya dibobol dalam kurun waktu 3 hari juga  belum diberlakukan.

Apalagi, di peraturan EU GDPR dendanya sangat signifikan dan massif membuat jera dan takut bahkan perusahaan Global sekalipun. Sedangkan di RUU PDP masih berupa sanksi administratif, apakah membuat jera Wali Data di tanah air ?  karena itu, perlu dilakukan  pengkajian  ulang RUU PDP agar data controller di Indonesia bisa lebih bertanggung jawab dan jera oleh sanksi yang bukan administratif. Data Controller atau Wali Data mendapatkan data dari Data Produsen yang mengumpulkan dari data Pengguna, di GDPR disebut Data Owner, masyarakat pengguna data misalnya di Media Sosial (Medsos)   atau Pusat Pelayanan Publik.

Dari sisi organisasi yang mengelolah berbagai regulasi ini pun juga masih tumpang tindih antara stakeholder yang ada di Perpres SDI (Satu Data Indonesia) meski focus dilingkungan Pemerintah, dimana sudah terbentuk Penyelenggara Tata Kelola SDI di tingkat Pusat dan di Pemerintah Daerah di pimpin oleh Ketua Pembina data (Bappenas) bersama anggotanya antara lain dari Kementrian Keuangan, BPS, Kemendagri, KemenPAN, BSSN. Di Forum SDI di Sekretariat Pusat di Bappeneas, Pembina Data dibantu Wali Data yang mengumpulkan dan memproses data dari Produsen Data. Diskusi lengkap terkait SDI akan diselenggarakan oleh ABDI pada WebSummit SDI Day 1 BRI Hall tanggal 6 July 2021 dan eGov Enterprise Services Day 2 ABDI Hall tanggal 8 July 2021.

Di Peraturan Pemerintah (PP) No 71 tahun 2019 tentang PSTE (Penyelenggara Sistem Transaksi Elektronik), maka PSE (Penyeenggara Sistem Elektronik) wajib melaksanakan prinsip perlindungan data pribadi dalam melakukan pemprosesan Data Pribadi meliputi antara lain pemprosesan Data Pribadi dilakukan dengan melindungi keamanan Data Pribadi dari kehilangan, penyalahgunaan, akses dan pengungkapan yang tidak sah, serta pengubahan atau pengrusakan Data Pribadi. JIka terjadi kegagalan dalam perlindungan terhadap Data Pribadi yang dikelola oleh PSE, maka PSE wajib memberitahukan secara tertulis kepada pemilik Data Pribadi tersebut. Pertanyaannya adalah apakah  hal ini sudah dilakukan dan tercantum pada pasal 14 ayat 5 pada PP No 71 tahun 2019?. Coba kita simak beberapa kejadian pembobolan data mulai dari beberapa Unicorn hingga ditenggarainya BPJS.

PSE harus menjamin: (a). tersedianya perjanjian tingkat layanan; (b). tersedianya perjanjian keamanan informasi terhadap jasa layanan Teknologi Informasi yang digunakan; dan (c) keamanan informasi dan sarana komunikasi internal yang diselenggarakan. PSE harus menjamin setiap komponen dan keterpaduan seluruh system elektronik beroperasi sebagaimana mestinya. PSE harus menerapkan manajemen resiko terhadap kerusakan atau kerugian yang ditimbulkan. Perpres Satu Data Indonesia juga harus mengatur integritas dan keamanan data public yang dikelola oleh Kementrian dan instansi Pemeirntah.

DarkWeb dan TOR
Dark web, bagian dari internet yang gelap dan tersembunyi, sering digunakan untuk aktivitas ilegal termasuk transaksi obat terlarang (narkoba), senjata api, data perusahaan dan keuangan yang dicuri. Kalau transaksi di Surface Web atau World Wide Web (WWW) yang setiap hari kita gunakan misalnya akses google, facebook itu menampilkan IP source, destination, kadang alamat email, yang menjadi identitas pengguna Internet, namun di Darkweb semuanya dilakukan secara encrypted dan anonym, melalui beberapa nodes DarkWeb yang semuanya anonim dan tidak meneruskan informasi IP seperti halnya hopping atau berselancar di WWW, sehingga menjadi favorit para hacker, crackers & internet adversary.

Di Dark Web banyak portal, mall, toko, pasar gelap jual beli barang illegal, misalnya data sosial penduduk RI illegal yang dijual oleh Kotz di RaidForum di Darkweb. Banyak toko gelap seperti Hansa, yang ditutup oleh polisi nasional Belanda 2017, seperti pasar gelap SilkRoad, setelah pihak berwenang mengambil alih kendali pasar, karena Hansa mengumpulkan sekitar 10.000 alamat data keuangan dan menyerahkannya ke Europol..

Karena sifatnya unik & anonim, maka kita tidak mungkin berselancar di DarkWeb menggunakan browser umum seperti Mozilla, Firefox, IE (Explorer) dengan mesin pencari Google, namun harus menggunakan browser khusus TOR atau  the Onion Router) dengan mesin pencari Duck Duck Go yang hopping khusus di Node node DarkWeb tanpa memberikan IP tujuan dan IP source nya, semuanya anonym, sehingga tidak mungkin melacak identitas hacker yang menggunakan TOR di Darkweb.

Inti (core) dari TOR di rancang sekitar 1996 lagi lagi oleh US Naval Research dana DARPA oleh Paul Syverson, Michael Reed & David Goldschlag dengan tujuan memfasilitasi komunikasi Pentagon (CIA) dengan para dissident (pemberontak) dan organisasi bawah tanah misalnya saat AS hendak menjatuhkan Khadafi di Libia (2011). Untuk mematahkan para pemberontak, Presiden Gaddafi mensensor dan memutuskan, menyadap semua jaringan Internet surface web, namun yang tidak bisa dilacak, disadap dan dipatahkan adalah jaringan DarkWeb mengggunakan TOR dan satelit. Onion routing dapat diimplementasikan  dengan encryption di application layer  dari TCP/IP communication protocol stack, berlapis lapis (nested) setiap hop, sehingga sulit dilacak dan disadap. Kemudian menjadi TOR Project dan versi komersialnya dapat diperoleh secara gratis di tahun 2004 lalu.

Mudaratnya jaringan Intelijen AS dengan TOR browser ini malah menjadi Dark Web (dunia hitam) digunakan juga oleh hacker, jaringan mafia & transaksi di pasar gelap. Sebagai perbandingan protocol Internet TCP/IP juga diciptakan dengan dana DARPA di US Naval Research oleh Vin Cerp dan Bob Kahn tahun 1974. Jaringan dan protocol TCP/IP ini kemudian menjadi platform World Wide Web (WWW) oleh Tim Berner 10 tahun kemudian yakni 1989, awalnya sebagai jaringan akademisi. Jadi memang teknologi itu seperti pisau ada dua  sisi, dari sisi yang membawa manfaat hingga sisi yang mudarat. (RR)