Kebocoran Data Pasien Covid-19

Selain musibah pandemik Covid-19 yang masih belum menunjukkan tanda-tanda akan berakhir, kini muncul musibah lainnya dalam bentuk kebocoran data pasien Covid-19 yang terungkap melalui situs darkweb RaidForums. Konon pemilik akun Database Shopping pada situs tersebut menyebutkan kepemilikannya atas 230 ribu data pasien Covid yang memuat sejumlah informasi personal dari pasien Covid-19 di Indonesia. Mengutip pendapat dari seorang pakar keamanan data, Sherri Davidoff mengatakan bahwa jumlah kebocoran data (data breach) yang dilaporkan atau diketahui hanyalah  “a small fraction” dari jumlah kebocoran data yang sesungguhnya terjadi. Kebocoran data pasien Covid-19 yang terekpos tersebut bisa saja merupakan bagian kecil dari kebocoran data yang terjadi sesungguhnya.

Screenshot 2020 06 20 indonesia covid 19 database RaidForums

Bocornya data pasien Covid-19 sebenarnya sudah lama dikhawatirkan oleh banyak pihak. Lazimnya data yang akan diekspos kepada publik, maka prinsip anonim dan data minimalis  adalah sebuah keharusan. Hal ini yang terjadi mengapa dalam release perkembangan data Covid-19 yang disampaikan oleh Gugus Tugas Percepatan Penanganan Covid-19 menggunakan identitas pasien nomor X untuk menunjukkan kasus baru ataupun kasus kematian maupun kasus sembuh. Tanda-tanda adanya permasalahan dalam hal penerapan prinsip anonim ini terlihat ketika pasien awal Covid-19 yang direlase oleh team ternyata bocor kepada kalangan media, sehingga pada saat itu terlihat bagaimana media berlomba-lomba untuk melakukan reportase lapangan terhadap pasien Covid tersebut.

Rentang pengelolaan data pasien Covid-19 demikian luas, panjangnya adalah mengikuti jenjang bertingkat pelaporan mulai dari tingkat puskesmas hingga ke pusat data di Gugus Tugas Percepatan Penanganan Covid-19 yang dikoordinasi oleh BNPB. Lebarnya adalah meliputi semua instansi dari mulai tingkat desa hingga ke tingkat nasional. Pengelolaan data yang demikian luas tersebut disiapkan semuanya dalam waktu singkat. Bisa kita bandingkan, lingkup pengelolaan yang luasnya lebih sedikit sebagaimana data pemilu serentak pada April 2019 lalu, disiapkan lebih dari 3 tahun dengan prosedur yang ketat dalam perencanaan dan implementasinya. Itupun masih menyisakan celah-celah kebocoran data yang masih berdampak hingga saat ini.

Terdapat dua dimensi dari data pasien covid yang dapat dikritisi. Pertama data pasien Covid sebagai data kesehatan. Menurut laporan Trend Micro, data yang terkait dengan sektor kesehatan adalah kelompok data yang paling banyak dilaporkan mengalami kebocoran data, disusul kemudian data untuk sektor pemerintahan dan retail. Dalam lingkup wilayah hukum Indonesia, data pasien adalah data yang sifatnya rahasia dan dilindungi oleh sejumlah UU. Misalnya termuat pada UU no 44 tahun 2009 tentang Rumah Sakit, Pasal 32 Huruf  i menyebutkan tentang hak setiap pasien untuk mendapatkan privasi dan kerahasiaan penyakit yang diderita termasuk data-data medisnya. Hal serupa juga termuat pada UU No 36 Tahun 2009 tentang Kesehatan serta UU No 14 Tahun 2009 tentang Keterbukaan Informasi Publik. Sehingga ketika release dari Gugus Tugas Covid-19 baik di tingkat Kabupaten, Provinsi maupun Pusat tentang perkembangan data Covid-19 harus di sampaikan kepada publik, maka semuanya berpedoman pada prinsip-prinsip kerahasiaan data pasien Covid itu sendiri. Maka yang menjadi titik kritis adalah rancangan alur data pasien covid sehingga akhirnya disampaikan kepada publik dalam bentuk data anonim. Alur data ini akan memudahkan untuk melakukan proses audit ketika issue kebocoran data pasien Covid terpublikasi.

Dimensi kedua adalah menyangkut administrasi publik dari data pasien Covid. Hal ini menyangkut keterkaitan antar institusi dalam hal data Covid ini, meliputi aspek data diberikan kepada siapa, diverifikasi oleh siapa, digunakan oleh siapa saja, disetujui oleh siapa, dipelihara oleh siapa. Dalam hal ini, hampir setiap Kabupaten dan Provinsi menyiapkan website tersendiri untuk menyampaikan informasi dan update perkembangan Covid-19 di wilayahnya. Data-data tersebut diolah sedemikian rupa untuk kemudian ditampilkan dalam bentuk data geospatial berbasis wilayah untuk menunjukkan persebaran data covid. Data lengkap ataukah data yang telah dipilah yang digunakan oleh masing-masing institusi menunjukkan bagaimana transparansi administrasi publik untuk tata kelola data covid.

Konon pada era digital saat ini, data adalah sesuatu yang lebih bernilai daripada minyak bumi. Layaknya minyak yang diolah secara bertahap hingga akhirnya menjadi sebuah produk yang bernilai tinggi, maka demikian juga dengan data. Data diolah menjadi informasi, diolah lagi menjadi pengetahuan, kemudian ditransformasi menjadi kebajikan yang menghasilkan teori teori yang digunakan untuk meningkatkan kenyamanan dan kesejahteraan hidup manusia. Maka apa sesungguhnya yang bernilai dari data Covid sehingga menarik untuk diperjual belikan dalam situs darkweb. Berdasarkan screen shoot yang beredar mengenai bocornya data pasien Covid, terlihat beberapa field data yang terekspose pada data yang bocor tersebut. Nilai sebuah data yang bocor terlhat dari sejauh mana data regulated dan non regulated yang termuat dalam data yang bocor tersebut.

Data regulated adalah kelompok data yang sifatnya terkait dengan identifikasi personal, seperti misalnya NIK, HP, Alamat, No Kartu Kredit/ Akun Bank, Usernama, Password. Sementara data non regulated adalah data yang terkait dengan history dari aktivitas user, seperti data pembelian, data check-in tempat, data pilihan terhadap sesuatu. Bagi hacker dan orang-orang yang memiliki niat tidak baik, kelompok data regulated adalah menjadi incaran mereka. Sementara bagi kalangan bisnis, data non regulated lebih menarik karena menjadi bahan untuk dioleh lebih lanjut untuk kepentingan strategi bisnisnya. Maka melihat field data Covid yang bocor, terlihat hanya beberapa field saja yang menarik dalam katagori regulated data, demikian juga untuk data non regulated hanya ada beberapa field yang menarik untuk diolah secara bisnis.  Bagi pemerintah khususnya  Gugus Tugas Percepatan Penanganan field data tersebut bermanfaat untuk kepentingan evaluasi kebijakan serta strategi penanganan Covid kedepannya.

Bagi Hacker, data regulated terkait Nama Pasien, Alamat dan No Telepon bisa jadi adalah data yang bisa dimanfaatkan lebih lanjut. Sementara untuk kepentingan bisnis, data non regulated yang terkait dengan keluhan penyakit barangkali adalah data yang dapat diolah lebih lanjut. Dalam konteks ini, data Covid-19 yang bocor sebenarnya tidak terlalu bernilai dalam komoditas jual beli data di forum darkweb tersebut.

Selama masih ada sekelompok orang yang berperan sebagai penadah/broker data, sekelompok orang yang supplier data serta sekelompok orang yang memerlukan data, maka selama itu pula Darkweb sebagai pasar untuk jual beli data illegal akan tetap eksis. Namun selain sisi negatif dari adanya pasar jual beli data illegal, terdapat pula sisi positifnya. Sherri Davidoff menyebutkan diantara motivasi adanya laporan kebocoran data pada situs darkweb adalah untuk memberikan warning bagi pengelola data itu sendiri. Ternyata salah satu motivasi seseorang menyampaikan laporan kebocoran data adalah sebuah strategi politis untuk menyampaikan pesan akan potensi yang lebih besar dari kebocoran data institusi tertentu diluar data yang telah di klaim bocor. Melalui laporan tersebut, maka pemilik data ataupun instansi yang mengelola data diingatkan akan potensi besar kebocoran data sehingga memaksanya untuk memberikan perhatian lebih pada pengelolaan datanya. Maka audit secara keseluruhan dari pengelolaan data tersebut mau tidak mau harus diterapkan serta segala aspek dari penanganan data yang dikelolanya harus ditinjau ulang. Dampak yang diharapkan adalah adanya penanganan keamanan data yang lebih baik dari institusi tersebut. Tentunya kita berharap, motivasi ini pulalah yang muncul dari seseorang dibalik akun Database Shopping pada situs darkweb RaidForums.

Pandemik Covid-19 adalah sebuah musibah nasional, jangan sampai musibah ini diperberat dengan musibah kebocoran lebih luas dan besar pada data pasien Covid-19. Maka tanggung jawab bersama dari pihak-pihak yang bersentuhan dengan data pasien Covid untuk memahami nilai dari data tersebut untuk kemudian bersama-sama menjaganya sesuai dengan tugas dan kewenangannya. Kebocoran data pasien Covid-19 adalah menambah rentetan kasus kebocoran data lainnya yang terpublikasi luas. Hal ini seharusnya menjadi tekanan politis yang kuat bagi DPR maupun Pemerintah untuk bersegera menyelesaikan pembahasan tentang RUU Perlindungan Data Pribadi. Pada saat bersamaan, insiden kebocoran data pasien Covid-19 juga menjadi momentum bagi Pemerintah dan pihak yang terkait untuk melakukan perbaikan terhadap tata kelola data sebagai bagian dari sistem yang terintegrasi untuk meningkatkan pelindungan data pribadi.

Yogyakarta, 23 Juni 2020

Kepala Pusat Studi Forensika Digital

Universitas Islam Indonesia

Dr. Yudi Prayudi

Media:

https://bernasnews.com/kebocoran-data-pasien-covid-19/

https://www.jogpaper.net/2020/06/23/pakar-harapkan-dpr-selesaikan-ruu-perlindungan-data-pribadi/

https://cyberthreat.id/read/7250/Dugaan%20Bocornya%20Basis%20Data%20Covid-19:%20Perlu%20Audit%20Besar-besaran%20https://cyberthreat.id/read/7250/Dugaan-Bocornya-Basis-Data-Covid-19-Perlu-Audit-Besar-besaran

https://www.senayanpost.com/data-pasien-covid-19-yang-bocor-diduga-jauh-lebih-banyak/

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.