Oleh: Jian Budiarto, M.Eng
Peneliti di Lembaga Sinergi Analitika (LSA)
Sedang marak kita dengar aksi seorang hacker yang memperjualbelikan data penduduk Indonesia di sebuah forum RaidForums . Disebutkan sebanyak 279 juta data pengguna dikumpulkan termasuk yang telah meninggal dunia. Di antara data tersebut terdapat 20 juta pengguna memiliki foto personal. Kira-kira di mana letak bocornya data? Apa akibatnya jika data tersebut disebar? Ada beberapa sumber yang menduga-duga berasal dari kemungkinan seorang manager sedang Work From Home (WFH), atau bobolnya website BPJS Kesehatan, baik kita ulas satu per satu.
Pertama kita mengulas sumber dari seorang manager yang sedang WFH. Saat ini memang WFH menjadi kebiasaan di era pandemi. Kemungkinan seorang manager atau pimpinan lembaga sangat memungkinkan untuk membawa pulang data dan bekerja dari rumah. Nah data ini yang kemungkinan mendapat virus dan akhirnya data diambil oleh pelaku. Namun, ada hal yang saya pertanyakan. Seberapa besar kemungkinan seorang manager membawa data 279 juta pengguna BPJS ke rumah. Apakah ada pekerjaan yang membutuhkan data sebesar itu secara lengkap? Jawabannya adalah Tidak Mungkin. Mendapatkan data sebesar itu membutuhkan persetujuan dari beberapa orang secara berlapis. Mulai dari manager teknologi, sampai database engineer. Mereka tidak akan memberikan izin dengan mudah tanpa alasan yang jelas. Pekerjaan macam apa bagi seorang manager yang membutuhkan data sebesar itu. Biasanya,seorang manager hanya menerima sebuah laporan rekapan sederhana. Tentu kebutuhan ini untuk arah kebijakan instansi ke depan. jadi sangat kecil kemungkinan data ini bocor dari seorang manager yang sedang Work From Home.
Pendapat kedua mengira-ngira bahwa kebocoran berasal dari bobolnya website BPJS kesehatan. Perlu diketahui bahwa sebuah website yang berhubungan dengan data penting harus memisahkan letak website dan database yang digunakan.
Sebuah website biasanya telah difasilitasi dengan fitur web service. Fitur ini memungkinkan untuk berbagi data yang berasal dari tempat yang berbeda. Website nantinya diibaratkan hanyalah sebuah kertas kosong, yang dapat dicetak dengan apa saja. Rusaknya kertas tersebut tidak akan serta merta mengubah dokumen asli yang telah disimpan di tempat berbeda. Namun dalam hal ini saya tidak akan mengomentari apakah yang dilakukan BPJS telah baik atau tidak. Dalam hal ini kominfo dan BPJS juga telah membuat tim khusus untuk menyelediki dugaan tersebut. Namun sampai di situ, kita tidak dapat berkomentar lebih sampai fakta diungkap. Jadi dari sisi sini, akan sulit menerima bahwa data 279 juta pengguna dapat dengan mudah untuk diambil begitu saja.
Ada satu sisi menarik yang mungkin perlu saya ungkap. Apakah ada kemungkinan data bocor tersebut berasal dari Pengembang Aplikasi? Pengalaman sebagai seorang praktisi dan saat ini terjun sebagai peneliti memicu saya untuk memberikan rekomendasi yang lebih baik. Pengalaman dalam mengembangkan aplikasi dan kenyataan di lapangan sungguh memprihatinkan. Kelemahan saat ini yang pasti adalah instansi dalam mengembangkan aplikasi dengan mudah untuk memberikan data asli kepada pengembang. Di suatu kasus bahkkan boleh membawa data-data tersebut dengan alasan “memastikan proses migrasi berjalan dengan baik”. Saat ini dokumentasi, prosedur hanya ada berada pada batasan implementasi aplikasi, bukan pada saat pengembangan aplikasi. Jika terjadi kesalahan pada saat proses pengambangan seolah-olah diabaikan. Seharusnya, ada prosedur dan etika saat proses pengembangan. Bukannya ketika proses pengembangan data yang digunakan adalah data palsu (dummy)? Perlu diketahui bahwa ada 2 jenis data yang digunakan pada saat pengembangan. Pertama data palsu (dummy), data ini digunakan pada tahap awal pengembangan aplikasi. Hal ini bertujuan agar aplikasi dibuat sesuai dengan kebutuhan data. Kedua adalah data asli, data ini bertujuan agar data asli saat implementasi tidak mengalami konflik transaksional, sehingga perlu adanya uji coba sederhana. Jadi di sisi ini, data 279 juta pengguna besar kemungkinan kebocoran terjadi. Entah pengembang aplikasi yang terkena virus atau faktor lainnya. Lemahnya pengawasan pada tahap pengambangan ini perlu oleh pihak terkait dievaluasi.
Lemahnya pengawasan pada tahapan pengelolaan data tidak hanya terjadi di lingkup BPJS. Ambil saja contoh, dalam melakukan analisis dan pengumpulan data oleh instansi seperti BPS masih menggunakan laptop personal? Jawabannya iya. Data diolah menggunakan aplikasi Excel dan SPSS untuk pengolahan. Kecenderungan ketika pengolahan tersebut data diimport dalam bentuk file tunggal seperti format csv atau excel (xls, xlsx). Apakah tidak takut data tersebut terkena virus dan disebarluaskan oleh pelaku kejahatan? Dari sini kita lihat bagaimana mudahnya data dapat diambil dari data pusat oleh seorang pengolah data. Hal ini juga terjadi di banyak instansi di Indonesia, mulai dari tingkat desa, kabupaten, provinsi, bahkan nasional.
Kalau data sudah bocor, data digunakan untuk apa saja sih?
Perlu diketahui bahwa data yang telah masuk ke BPJS kesehatan adalah data yang lengkap. Anda memasukkan nama, alamat , mobile phone, nama ibu, nama ayah, gaji, bahkan catatan kesehatan. Akan saya rinci kira-kira data ini dapat dipakai di mana saja.
- Data ini beresiko terhadap akses keuangan
Bukankah data-data yang anda berikan ke BPJS kesehatan merupakan data yang sama ketika anda memberikan data ke pihak Bank. Pihak Bank biasanya akan menanyakan nama ibu kandung, di BPJSpun data tersebut ada. Mobile phone yang anda gunakan dalam transaksi keuangan jangan-jangan anda juga taruh juga di data BPJS kesehatan.
- Mudah anda akan menjadi target pemasaran
Jika data kesehatan anda menjadi data pemasaran, anda tidak akan sanggup menolak promo sebuah produk kesehatan yang berhubungan dengan kesehatan anda. Anda akan berpikir, daripada membeli di apotek, kenapa tidak membeli harga yang lebih murah dari seorang agen.
- Mencerminkan area yang strategis.
Setiap usaha pasti menginginkan tempat yang memiliki area tingkat keuangan yang tinggi. Jika area tempat anda bermukim memiliki total pendapatan yang sangat tinggi, jangan heran akan berbondong-bondong pihak finance, waralaba akan membuka gerai di sekitar anda.
- Mencerminkan suara dalam pemilu.
Tahukah anda, karakter pemilihan suara pemilu dapat dilihat dari pekerjaan dan kekuatan keuangan dari seseorang. Kawasan yang memiliki tingkat perekonomian rendah, sosok politik akan membawa isu lapangan pekerjaan dan peningkatan ekonomi. Namun ketika bertemu di kawasan tingkat perekonomian menengah atas, sosok politik akan berbicara tentang kemudahan birokrasi, kemudahan perdagangan, kebijakan, pendidikan yang lebih baik.
Kasus bobolnya data BPJS seharusnya menyadarkan instansi lain untuk lebih giat memproteksi data. Undang para pakar dan peneliti untuk memfasilitasi antara instansi dan pihak pengembang. Lakukan pengembangan aplikasi dengan sangat transparan, bukankah tujuan dari teknologi adalah Transparasi. Hal sederhana, lakukan pengawasan data sedari dini, jangan sampai hal-hal di atas dapat terjadi. Maju Indonesia!
