Menyoal Keamanan Data Jika Asing Audit Sistem TI BPJS

Tim, CNN Indonesia | Jumat, 06/09/2019 18:41 WIB
Menyoal Keamanan Data Jika Asing Audit Sistem TI BPJS Ilustrasi. (Foto: CNN Indonesia/Adhi Wicaksono)
Jakarta, CNN Indonesia -- Pengamat keamanan siber, Kun Arief Cahyantoro menyebut kompromi pada salah satu lapisan sistem teknologi informasi berpotensi menimbulkan ketidakamanan seluruh sistem TI BPJS Kesehatan.

Hal ini diungkap terkait dengan evaluasi sistem TI BPJS Kesehatan yang diwacanakan Menko Kemaritiman Luhut Pandjaitan beberapa waktu lalu.

"Pada sistem IT, compromise pada salah satu layer, akan berpotensi terhadap ketidakamanan seluruh sistem," tulisnya saat dihubungi lewat pesan teks, Rabu (4/9).


Lebih lanjut Kun menjelaskan sistem TI bisa dilihat dari dua sisi, yaitu dari sisi internal dan eksternal. Sistem TI dari sisi internal dipandang sebagai proses kerja. Sementara sistem TU dari sisi eksternal dipndang sebagai proses bisnis.  

"Masing-masing memiliki obyektif yang berbeda, sehingga layer-layer audit pun turut berbeda," tuturnya.

Kun melanjutkan, untuk audit sistem TI internal, tujuannya adalah kesesuaian kerja sistem. Evaluasi sistem ini umumnya menggunakan CISA sebagai kerangka auditnya.

Sementara untuk evaluasi sisi eksternal sistem TI, tujuannya adalah kesesuaian bisnis. Untuk mengevaluasi sistem ini, terdapat beberapa kerangka audit yang bisa digunakan, yaitu COBIT, ITIL, dan SOX.

"Layer-layer pengecekan audit CISA mengikuti model 7 layer komputer (OSI Layer): physical, datalink, network, transport, session, presentation & application. Layer-layer audit COBIT, ITIL, & SOX mengikuti model Risk Management Layer," lanjutnya.

Sistem TI mana dan lapisan mana yang akan dievaluasi, menurut Kun akan menentukan seberapa besar pihak ketiga bisa memiliki akses terhadap data.

Menyoal Keamanan Data Jika Asing Audit Sistem TI BPJSIlustrasi. (Foto: CNN Indonesia/Adhi Wicaksono)

Tiap lapisan sistem TI ini diibaratkan Kun sebagai rumah yang punya banyak akses masuk, seperti pintu depan, samping, belakang. Selain itu terdapat juga jendela di kiri-kanan, atap, bahkan lubang angin. Sehingga, kelemahan pada tiap titik akses ini akan memberikan celah bobolnya keamanan data.

"Misal, pencuri masuk kerumah melalui titik akses di atap rumah yang (pertahanannya) lemah," jelasnya.

Sehingga evaluasi sistem TI yang diwacanakan akan dilakukan oleh perusahaan asuransi China Ping An, menurut Kun sangat mungkin untuk mengganggu keamanan data BPJS Kesehatan.

Sebelumnya, Kun sudah melakukan kajian untuk pembenahan BPJS dalam disertasinya di Fakultas Kesehatan Masyarakat Universitas Indonesia. Dari hasil kajiannya itu, Kun menilai pembenahan BPJS Kesehatan yang kerap merugi seharusnya bukan dari sisi sistem TI.

"Menurut saya, problem BPJS bukan pada sistem IT, tetapi pada (sisi) manajemen bisnis pelayanan kesehatan masyarakat di BPJS."

Sebab, Kun menyebut banyak mekanisme asuransi standar yang tidak dilakukan dan dilanggar BPJS. Padahal mekanisme tersebut jamak dilakukan oleh perusahaan asuransi kesehatan.

Salah satu pelanggaran yang dicontohkan Kun adalah tidak adanya pendataan dan pengecekan status kesehatan awal dari calon anggota BPJS. 

[Gambas:Video CNN] (eks/evn)