Bocor eHAC, Darurat Standar Keamanan Data Pemerintah

CNN Indonesia

Kamis, 02 Sep 2021 18:12 WIB

Ilustrasi. Bocor data eHAC menunjukkan situasi gawat standar keamanan pengelolaan data pemerintah dan darurat pengawasan. (CNN Indonesia/Eka Santhika)

Jakarta, CNN Indonesia --

Kebocoran data Health Alert Card atau eHAC besutan Kementerian Kesehatan Republik Indonesia (Kemenkes) sudah menjadi kasus keteledoran pemerintah menangani data penduduk yang kesekian kali.

Sebelumnya, kasus serupa sudah terjadi mulai dari bocor data pemilih KPU hingga kebocoran terbesar milik BPJS Kesehatan.

Pengamat IT dan media sosial Kun Arief Cahyantoro, menerangkan bahwa salah satu kesalahan yang menyebabkan kebocoran tersebut karena pemerintah kerap menempatkan prioritas keamanan di bagian akhir proses pengembangan.

SCROLL TO CONTINUE WITH CONTENT

"Kesalahan "yang tampak" pada sistem aplikasi mobile tersebut sama seperti lebih dari 50 persen sistem aplikasi mobile lain. Yaitu menempatkan prioritas keamanan aplikasi (mobile) pada proses bagian akhir dari pengembangan sehingga yang sering terjadi adalah pengabaian sisi keamanan dari aplikasi," kat Arief kepada CNNIndonesia.com, Rabu (1/9).

Menurut Arief, hal tersebut terbukti dari ditemukannya banyak versi installer aplikasi tersebut di situs tidak resmi, dengan ekstensi "xapk" yang merupakan file instalasi gabungan antara program (ekstensi apk) dan data (ekstensi obb).

Dari sisi informatika, kata Arief, aplikasi itu tidak melakukan obfuscation sehingga aplikasi tersebut dapat di-decompile dan di-modifikasi dengan mudah karena kode sumber tidak teracak atau terkaburkan (obfuscated).

Sedangkan dari sisi keamanan siber, aplikasi dengan kriteria semacam itu sangat dimungkinkan untuk menjadi pintu masuk atau penerobosan ke dalam sistem utama, baik untuk melakukan pengambilan data atau hal lainnya.

"Sehingga kesalahan umum dari pemilik aplikasi adalah tidak melakukan tes keamanan terlebih dahulu sebelum meluncurkan suatu aplikasi terutama aplikasi mobile," ujar Arief.

Sementara itu, ahli digital forensik Indonesia, Ruby Alamsyah, kesalahan lain yang dilakukan adalah banyaknya instansi pemerintahan di Indonesia yang memiliki sistem elektronik sendiri tidak diimbangin dengan jumlah sumber daya manusia yang mampu menangani IT Security.

"Walau pun ini tidak bisa dijadikan alasan, tetapi menurut saya karena sangat banyaknya instansi pemerintahan di Indonesia dan hampir semua instansi pemerintah memiliki sistem elektronik sendiri. Baik itu pemprov, pemkab, kementerian, Lembaga, badan dll," kata Ruby kepada CNNIndonesia melalui sambungan telepon, Rabu (1/9).

Menurut Ruby, pada dasarnya pemerintah harus mampu mengamankan seluruh sistem elektronik mereka karena isinya menyimpan data-data masyarakat.

"Tapi yang kurang adalah SDM yang paham dengan IT security itu sangat sedikit tidak sebanding dengan banyaknya sistem elektronik yang dimiliki pemerintah," katanya.

Belakangan, Juru Bicara Kementerian Komunikasi dan Informatika Dedy Permadi menyebut kewajiban untuk melakukan audit berkala pada sistem informasi pemerintah ada di tangan Badan Siber dan Sandi Negara (BSSN). Hal ini diungkap Dedy dalam wawancara dengan CNNIndonesia TV.

Lihat Juga :

Analisis

Menyoal Tanggung Jawab Pemerintah Kasus Bocor Data eHac

Selain itu kehadiran Kementerian Komunikasi dan Informasi (Kominfo) dan Badan Siber dan Sandi Negara (BSSN) yang dibuat untuk membantu keamanan sistem pemerintah, yang seharusnya membantu terkait IT security di Indonesia, dinilai Ruby belum bekerja secara optimal.

Jika sebelumnya Kemenkes menyatakan bahwa data eHAC mereka aman tapi data eHAC yang bocor itu ada di pihak mitra atau vendor, tanggung jawab itu ada di pihak mitra atau vendor karena merujuk pada peraturan terkait Penyelenggara Sistem Elektronik (PSE).

Menurut Arief, vendor pengembang aplikasi tidak serta merta bisa disalahkan jika terjadi hal seperti itu, karena dimungkinkan vendor bukanlah pelaku pengembangan sistem dari A hingga Z pada sistem itu, ada sisi jaringan, web server, database, dan lain lain.

Arief mengatakan masalah yang harus disoroti yaitu ketidaksadaraan dan ketidakpahaman pemilik aplikasi bahwa ketika target pengguna aplikasi yang dibuat tersebut adalah kalangan umum, maka prioritas utama bukan lagi pada fitur atau fungsi melainkan keamanan sistem aplikasi tersebut.

"Artinya, ketika suatu organisasi memiliki aplikasi yang diakses publik maka organisasi tersebut harus sudah siap dengan pengamanan sistem IT seluruh organisasinya bukan hanya keamanan aplikasinya saja," kata Arief.

Lihat Juga :

Deretan Kasus Bocor Data Penduduk RI dari Server Pemerintah

Darurat standarisasi dan pengawasan

Terkait proses pengawasan dan standarisasi dari sistem elektronik pemerintah, menurut Ruby sebenarnya itu sudah ada, yakni dibawah Kominfo dan BSSN namun pengawasan dan keamanannya masih dalam bentuk koordinasi dan rekomendasi yang belum memiliki kewenangan untuk menindak.

"Kan kita sama sama tahu BSSN itu hanya dibuat peraturan presiden belum dari undang-undang. BSSN itu belum punya kewenangan untuk menegakan hukum tetapi hanya sebagai badan koordinasi antar instansi pemerintah terkait keamanan di bidang IT," papar Ruby.

Lebih lanjut, Ruby juga menilai bahwa peran kominfo dan BSSN tersebut belum optimal sehingga masih ada celah dalam sistem elektronik instansi pemerintah yang bisa bocor atau diretas.

Lihat Juga :

Pemerintah Akan Tanggung Jawab Jika Data PeduliLindungi Bocor

"Ini elasticsearch databasenya itu menggunakan yang tidak diamanatkan, tidak dipergunakan dengan benar, itu contoh si mitra ini tidak melakukan sesuai prosedur standar keamanan yang ada, baik dari standar keamanan internasional pakai ISO 27001 ataupun dari Kominfo dan BSSN," pungkas Ruby.

Tidak jauh berbeda dari Rubby, menurut Arief pengawasan dan standarisasi memang harus diadakan demi keamanan. Namun beberapa lembaga yg fokus pada keamanan siber masih belum menyentuh hal teknis operasional seperti itu.

"Rata-rata mereka masih berkutat dengan administrasi dan tata kelola keamanan siber (non teknis) padahal yang dibutuhkan segera adalah praktek dan implementasi dari teknis pengawasan dan teknis standarisasi dari keamanan siber," kata Arief.

Lebih lanjut, Arief menuturkan bahwa negara membutuhkan sistem keamanan siber untuk pengawasan dan standarisasi yang mampu memberikan rasa aman.

"Benar, dibutuhkan sistem keamanan siber untuk pengawasan dan standarisasi," jelasnya.

Dari sisi pengguna, sistem keamanan siber itu mampu memberikan jaminan keamanan bahwa aplikasi tersebut tidak melakukan hal-hal yang merugikan penggunanya, misal aplikasi tersebut tidak melakukan pengambilan data-data pribadi dari perangkat seluler mereka.