Pencurian data pribadi kini kembali terjadi di Indonesia. Kali ini sang peretas atas nama Database Shopping mengklaim telah berhasil mencuri 231.636 data pribadi dari database pasien COVID-19 di Indonesia.
Liciknya lagi data tersebut dijual di situs Raid Forums, situs di mana sebelumnya digunakan oleh hacker untuk menjual data pengguna Tokopedia beberapa waktu lalu.
Data yang dicuri oleh hacker ini adalah berupa data sensitif seperti nama, nomor telepon, alamat, hasil tes PCR serta lokasi pasien yang dirawat.
Hacker Curi Data Pribadi Pasien COVID-19 di Indonesia
Bahkan di dalamnya juga ada nomor NIK sekalipun tidak terisi. Sebagai bukti bahwa data akurat, hacker tersebut juga melampirkan sampel data yang sudah dimilikinya.
Sampel tersebut ada tujuh nama WNI dan tiga WNA dengan status pasien dalam pengawasan (PDP) di provisni Bali. Hacker tersebut mengklaim jika mereka juga memiliki database daerah lain.
“Daerah lain seperti Jakarta, Bandung dan lainnya” klaim sang peretas melalui e-mail seperti yang Dafunda Tekno kutip dari Kompas.com.
Sang hacker menjual database yang isinya itu data pasien COVID-19 di Indonesia seharga 300 dollar AS atau sekitar Rp 4,2 juta.
Menanggapi terkait pencurian database pasien COVID-19. Menteri Komunikasi dan Informastika RI Jhonny Plate mengatakan kalau database pasien COVID-19 dan hasil interporebilitas atau cleansing di data center Kominfo aman.
“Kami juga sedang melakukan penelusuran dan koordinasi dengan bssn yang menjaga keamanan dan recleansing data COVID-19” ungkap Menkominfo di dalam keterangan yang tertulis.
Setelah itu nantinya Kominfo bakal berkoordinasi untuk melakukan evaluasi data center lainnya dan turun menyimpan data base pasien COVID-19 di Indonesia.
Tidak ada payung hukum yang kuat
Jika menurut Chairman Lembaga Riset Keamanan Siber (Communication and Information System Security Research Center/CISSReC) Pratama Dahlian Prersadha, data pribadi dari pasien COVID-19 ini cukup beresiko, karena di dalamnya ada alamat rumah sampai statusnya.
Ia mengatakan kalau para peretas ini tidak hanya mengincar data kartu kredit. Kita belum ada payung hukum yang kuat soal perlindungan data pribadi di Indonesia. Ini menjadi tantangan menurut Pratama.
Untuk saat ini pemerintah masih mengandalkan pada Peraturan Pemerintah Nomo 71 Tahun 2019. Tentang Penyelenggara Sistem Transaksi Elektronik (PSTE) dengan landasan hukum kasus pencurian data.
Namun sampai saat ini Undang-undang perlindungan data pribadi masih belum kelar dibahas. Hal tersebut juga serupa dengan ungkapan Manager Indonesia Computer Emergency Response Team (ID-CERT) Ahmad Alkazimy.
Ahmad mengatakan kalau untuk saat ini tidak ada standar keamanan siber yang jelas, setiap institusi itu memiliki standar sendiri untuk keamanannya.
Ahmad juga menyarankan supaya Badan Siber dan Sandi Negara (BSSN) yang bergerak di Goverment Computer Security Incident Response Team (Gov-CSIRT) atau Tim Respons Insiden Keamanan Komputer Pemerintah dapat membuat standar keamanan ke depannya. Misalkan seperti mengeluarkan standar minimum terkait keamanan siber di lingkungan pemerintah.
