Bocor eHAC, Darurat Standar Keamanan Data Pemerintah

Selain itu kehadiran Kementerian Komunikasi dan Informasi (Kominfo) dan Badan Siber dan Sandi Negara (BSSN) yang dibuat untuk membantu keamanan sistem pemerintah, yang seharusnya membantu terkait IT security di Indonesia, dinilai Ruby belum bekerja secara optimal.

Jika sebelumnya Kemenkes menyatakan bahwa data eHAC mereka aman tapi data eHAC yang bocor itu ada di pihak mitra atau vendor, tanggung jawab itu ada di pihak mitra atau vendor karena merujuk pada peraturan terkait Penyelenggara Sistem Elektronik (PSE).

Menurut Arief, vendor pengembang aplikasi tidak serta merta bisa disalahkan jika terjadi hal seperti itu, karena dimungkinkan vendor bukanlah pelaku pengembangan sistem dari A hingga Z pada sistem itu, ada sisi jaringan, web server, database, dan lain lain.

Arief mengatakan masalah yang harus disoroti yaitu ketidaksadaraan dan ketidakpahaman pemilik aplikasi bahwa ketika target pengguna aplikasi yang dibuat tersebut adalah kalangan umum, maka prioritas utama bukan lagi pada fitur atau fungsi melainkan keamanan sistem aplikasi tersebut.

"Artinya, ketika suatu organisasi memiliki aplikasi yang diakses publik maka organisasi tersebut harus sudah siap dengan pengamanan sistem IT seluruh organisasinya bukan hanya keamanan aplikasinya saja," kata Arief.

Lihat Juga : Deretan Kasus Bocor Data Penduduk RI dari Server Pemerintah

Darurat standarisasi dan pengawasan

Terkait proses pengawasan dan standarisasi dari sistem elektronik pemerintah, menurut Ruby sebenarnya itu sudah ada, yakni dibawah Kominfo dan BSSN namun pengawasan dan keamanannya masih dalam bentuk koordinasi dan rekomendasi yang belum memiliki kewenangan untuk menindak.

"Kan kita sama sama tahu BSSN itu hanya dibuat peraturan presiden belum dari undang-undang. BSSN itu belum punya kewenangan untuk menegakan hukum tetapi hanya sebagai badan koordinasi antar instansi pemerintah terkait keamanan di bidang IT," papar Ruby.

Lebih lanjut, Ruby juga menilai bahwa peran kominfo dan BSSN tersebut belum optimal sehingga masih ada celah dalam sistem elektronik instansi pemerintah yang bisa bocor atau diretas.

Lihat Juga : Pemerintah Akan Tanggung Jawab Jika Data PeduliLindungi Bocor

"Ini elasticsearch databasenya itu menggunakan yang tidak diamanatkan, tidak dipergunakan dengan benar, itu contoh si mitra ini tidak melakukan sesuai prosedur standar keamanan yang ada, baik dari standar keamanan internasional pakai ISO 27001 ataupun dari Kominfo dan BSSN," pungkas Ruby.

Tidak jauh berbeda dari Rubby, menurut Arief pengawasan dan standarisasi memang harus diadakan demi keamanan. Namun beberapa lembaga yg fokus pada keamanan siber masih belum menyentuh hal teknis operasional seperti itu.

"Rata-rata mereka masih berkutat dengan administrasi dan tata kelola keamanan siber (non teknis) padahal yang dibutuhkan segera adalah praktek dan implementasi dari teknis pengawasan dan teknis standarisasi dari keamanan siber," kata Arief.

Lebih lanjut, Arief menuturkan bahwa negara membutuhkan sistem keamanan siber untuk pengawasan dan standarisasi yang mampu memberikan rasa aman.

"Benar, dibutuhkan sistem keamanan siber untuk pengawasan dan standarisasi," jelasnya.

Dari sisi pengguna, sistem keamanan siber itu mampu memberikan jaminan keamanan bahwa aplikasi tersebut tidak melakukan hal-hal yang merugikan penggunanya, misal aplikasi tersebut tidak melakukan pengambilan data-data pribadi dari perangkat seluler mereka.