Prahara pengelolaan data pribadi di Indonesia

Jagat dunia maya disuguhkan dua peristiwa menyedihkan seminggu terakhir terkait pengelolaan data pribadi.

Peristiwa pertama adalah dugaan bocornya data pribadi di aplikasi besutan Kementrian Kesehatan (Kemenkes),  Electronic Health Alert Card (eHAC).

Aplikasi eHAC digunakan untuk pelacakan warga yang melewati bandara. Setiap warga yang akan masuk ke suatu wilayah lewat bandara wajib mengisi data berupa riwayat perjalanan. Aplikasi itu banyak digunakan pada awal-awal pandemi COVID-19. Namun sudah nonaktif atau tidak dipakai sejak 2 Juli 2021.

VPN Mentor, situs yang fokus pada Virtual Private Network (VPN), melaporkan adanya dugaan kebocoran 1,3 juta data pada eHAC.

Data- data yang bocor tidak hanya sekadar data yang ada di KTP, tapi juga sampai menyentuh data hasil tes COVID-19, paspor, data rumah sakit dan klinik yang telah melakukan pengetesan pada pengguna, hingga data pembuatan akun eHAC.

Dugaan kebocoran data tersebut terjadi karena pembuat aplikasi menggunakan database Elasticsearch yang tidak memiliki tingkat keamanan yang rumit sehingga mudah dan rawan diretas.

Badan Siber dan Sandi Negara (BSSN) telah menonaktifkan database tersebut terhitung sejak 24 Agustus 2021, maka dari itu laporan ini baru diterbitkan seminggu setelah database tersebut seharusnya tidak lagi dapat akses.

Peristiwa kedua lebih mencengangkan yakni beredarnya sertifikat vaksinasi Covid-19 milik Presiden Joko Widodo (Jokowi) di dunia maya.

Tidak tanggung-tanggung, sertifikat vaksinasi yang biasanya terdapat di aplikasi PeduliLindungi tersebut diunggah di internet. Pengunggahnya pun tidak menyensor nomor NIK dan kode QR di sertifikat yang diduga milik orang nomor satu Indonesia ini.

Bocornya sertifikat vaksinasi Presiden Joko Widodo kemungkinan karena sistem PeduliLindungi mengandalkan otentikasi NIK dan nama lengkap untuk menampilkan sertifikat vaksin. Pihak tak bertanggungjawab diduga menggunakan fitur pemeriksaan Sertifikat Vaksinasi Covid-19 yang tersedia pada Sistem PeduliLindungi.

Fungsi pemeriksaan Sertifikat Vaksinasi Covid-19 di sistem PeduliLindungi yang sebelumnya mensyaratkan pengguna menyertakan nomor handphone untuk pemeriksaan Sertifikat Vaksinasi Covid-19 kini hanya menggunakan 5 parameter (nama, Nomor Identitas Kependudukan (NIK), tanggal lahir, tanggal vaksin, dan jenis vaksin) untuk mempermudah masyarakat mengakses Sertifikat Vaksinasi Covid-19 setelah menimbang banyak masukan dari masyarakat.

Informasi terkait NIK dan tanggal vaksinasi Covid-19 Presiden Joko Widodo yang digunakan untuk mengakses Sertifikat Vaksinasi Covid-19 tidak berasal dari Sistem PeduliLindungi.  

Informasi NIK Presiden Joko Widodo telah terlebih dahulu tersedia pada situs Komisi Pemilihan Umum. Sementara Informasi tanggal vaksinasi Presiden Joko Widodo dapat ditemukan dalam pemberitaan media massa.

Puncak
Jika dirunut ke belakang dalam setahun tahun terakhir, bisa dikatakan dua peristiwa diatas adalah puncak prahara dalam pengelolaan data pribadi di Indonesia.

Bagaimana tidak, jika biasanya data yang bocor dialami oleh eCommerce atau Badan Usaha Milik Negara (BUMN), kali ini tak tanggung-tanggung data yang dikelola oleh pemerintah bisa dijebol oleh pihak tak bertanggungjawab.

Apalagi, dua aplikasi yang sedang “sial” yakni eHac dan PeduliLindungi di-endorse langsung oleh pemerintah sebagai bagian dalam pengelolaan dampak Covid-19 alias menjadi kewajiban bagi masyarakat jika ingin memiliki mobilitas di ruang publik.

Secara teknis, perbaikan harus segera diperbaiki oleh pengembang aplikasi PeduliLindungi dimana sekarang menjadi satu-satunya aplikasi yang diakui pemerintah untuk mengelola dampak Covid-19.

Pengembang harus mengganti metode untuk membuka akses masyarakat ke PeduliLindungi dimana memanfaatkan digital identity bisa menjadi salah satu pilihan ketimbang mengandalkan NIK yang sudah bocor dimana-mana.

Berikutnya, pemerintah harus memperbaiki cara memasukkan data dari sentra vaksinasi ke PeduliLindungi untuk menekan kebocoran data dari titik penyuntikan.

Kesimpulannya, amankan akses data dan proteksi proses pengolahan datanya. Memindahkan data ke Pusat Data Nasional bukanlah solusi karena itu baru mengamankan level infrastruktur.

Terakhir, tindak yang salah dan lalai sesuai dengan aturan yang ada. Berlindung terus dengan belum disahkannya Rancangan Perlindungan Data Pribadi adalah sebuah ketidakberdayaan karena sudah jelas sejumlah aturan dimiliki untuk penegakkan hukum.

Langkah ini bisa dimulai oleh Kementrian Komunikasi dan Informatika dengan mengumumkan dugaan kebocoran data terhadap 36 Penyelenggara Sistem Elektronik (PSE) sejak tahun 2019 sampai 31 Agustus 2021.

Kabarnya dari jumlah tersebut, 31 kasus telah selesai dilakukan investigasi dengan perincian sebagai berikut: 4 PSE telah dikenai sanksi teguran tertulis, 18 PSE diberikan rekomendasi teknis peningkatan tata kelola data dan Sistem Elektronik, sedangkan 9 PSE lainnya sedang dalam proses pemberian keputusan akhir terkait sanksi.

Transparansi penangangan kasus akan menjadi efek jera bagi pengelola dan membuat masyarakat berhati-hati memilih aplikasi yang digunakan.

@IndoTelko