Pembobolan Database Pasien Covid-19 Masih Diselidiki

JAKARTA – Pemerintah sedang melakukan audit forensik untuk menelusuri kebenaran peretasan 230 ribu database Covid-19. Sebab, sang Peretas menjual data tersebut melalui situs gelap (dark web) RaidForums pada 20 Mei 2020 lalu.

Pengamat keamanan siber dari lembaga nirlaba Communication and Information System Security Research Center atau CISSReC, menyatakan jika kebocoran data pasien COVID-19 benar terjadi, akan menimbulkan masalah bagi keamanan siber.

“Ini tentu menambah buruk deretan peretasan yang berakhir dengan pengambilan data oleh peretas. Masih harus dicek secara forensik digital dari mana asal data tersebut. Apakah dari Kementerian Kesehatan atau lembaga lain yang mengelola data COVID-19,” kata Ketua CISSReC, Pratama Prasadha di Jakarta, Senin (22/6).

Seperti diketahui, data pasein COVID-19 Indonesia diperjualbelikan di situs gelap. Data yang dijual antara lain berupa tanggal laporan, status pasien, nama responden, kewarganegaraan, jenis kelamin, usia, nomor telepon, alamat tinggal, keluhan yang dialami sampai nomor induk kependudukan (NIK).

“Jika data seperti itu jatuh ke tangan peretas, risiko yang dihadapi negara bukan hanya tentang keamanan siber. Namun, juga kondisi sosial di masyarakat. Terutama jika yang mengantongi data bertujuan menimbulkan kegaduhan,” paparnya.

Menurut Pratama Prasadha, Indonesia perlu segera memiliki Undang-Undang Perlindungan Data Pribadi. Karena salah satunya berfungsi memperjelas standard keamanan siber dalam negeri. “UU PDP diharapkan bisa memberikan arahan standard keamanan dan sanksi bagi yang melanggar. Ini berlaku untuk semua lembaga. Baik swasta dan negara,” jelasnya.

Selama undang-undang perlindungan data belum ada, Indonesia akan selalu menjadi target peretasan. Indonesia saat ini memiliki Undang-Undang Nomor 11 tahun 2008 tentang Informasi dan Transaksi Elektronik atau dikenal sebagai UU ITE dan Peraturan Pemerintah Nomor 71 tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PP PSTE). Kedua peraturan tersebut dianggap belum kuat. Karena belum memberi kewajiban dan sanksi yang jelas untuk kasus pencurian data.(rh/fin)