JawaPos.com – Belum rampung kasus kebocoran data peserta BPJS Kesehatan, kejadian serupa dialami PT Asuransi BRI Life. Data 463 ribu di antara dua jutaan peserta BRI Life diretas hacker. Data tersebut lalu ditawarkan di pasar gelap jual beli online. Bareskrim Mabes Polri dan Kementerian Komunikasi dan Informatika (Kominfo) kini mengusut kasus itu.
Informasi bocornya data nasabah BRI Life keluar Selasa lalu (27/7). Data tersebut dilansir kali pertama oleh Reuters merujuk posting-an di RaidForums. Data 463 ribu peserta asuransi itu dijual USD 7.000 atau sekitar Rp 101,5 juta.
Data yang tersedia mulai perincian nomor rekening bank, salinan KTP, sampai nomor pokok wajib pajak (NPWP). Ada juga catatan kesehatan atau hasil pemeriksaan laboratorium.
Kabareskrim Komjen Agus Andrianto menuturkan, dugaan awal perkara itu merupakan kebocoran data perbankan. ”Saat ini dalam penyelidikan dittipideksus,” paparnya di Mabes Polri kemarin (28/7). Namun, mantan Kapolda Sumut tersebut belum memberikan informasi detail terkait kasus itu.
Beberapa waktu lalu Bareskrim juga mengusut kebocoran data peserta BPJS Kesehatan. Namun, hingga kini pelaku belum tertangkap. Seorang penyidik sebenarnya telah mengetahui dan mendeteksi hacker bernama Kotz. Namun, entah mengapa pelaku sampai saat ini belum tertangkap.
Corporate Secretary BRI Life Ade Nasution mengatakan, pihaknya bersama tim independen spesialisasi cyber security sedang melakukan investigasi. Menelusuri jejak digital dan meningkatkan perlindungan data pemegang polis BRI Life. Dia memastikan, BRI Life tidak pernah memberikan data pribadi kepada pihak-pihak yang tidak bertanggung jawab.
’’Apabila ada permintaan data pribadi yang mengatasnamakan atau mengaitkan dengan kepemilikan polis di BRI Life, pemegang polis harus segera menghubungi layanan resmi kami melalui call center 1500087, WhatsApp corporate 08119350087, atau e-mail cs@brilife.co.id,’’ jelasnya.
Ade menjamin hak pemegang polis sesuai dengan polis yang dimiliki. BRI Life berkomitmen untuk berupaya maksimal melindungi data pemegang polis dengan menerapkan tata kelola teknologi informasi sesuai standar ketentuan dan peraturan perundang-undangan.
Chairman Communication and Information System Security Research Center (CISSReC) Pratama Persadha menyatakan bahwa dugaan kebocoran data pribadi milik nasabah BRI Life turut diamati perusahaan pemantau kejahatan siber, Hudson Rock. Menurut dia, dugaan kebocoran itu harus menjadi perhatian pemerintah. Ada tiga poin yang menjadi catatan Pratama berkaitan dengan dugaan kebocoran data tersebut.
Yakni, penguatan sistem dan SDM, adopsi teknologi untuk pengamanan data, serta perlunya UU PDP yang tegas dan ketat seperti aturan yang sudah diterapkan di Eropa. Itu dinilai penting oleh Pratama lantaran Indonesia masih dianggap rawan peretasan. ”Kebocoran data di Indonesia sudah kritis seperti ini, seharusnya pemerintah dan DPR bisa sepakat untuk mengegolkan UU PDP,” ungkap dia kepada awak media kemarin.
Tanpa UU tersebut, Pratama menyatakan bahwa pengelola data pribadi yang berada di bawah naungan instansi pemerintah maupun swasta tidak bisa dimintai pertanggungjawaban apabila ada kebocoran data. ”Dan tidak akan bisa memaksa mereka untuk meningkatkan teknologi, SDM, dan keamanan sistem informasinya,” jelas pakar keamanan siber tersebut.
Berdasar pengecekan yang dilakukan CISSReC di RaidForums, data BRI Life itu ditawarkan akun bernama Reckt. Total ada dua juta data nasabah dan 463 ribu data scan dokumen. Data yang dijual berisi informasi yang cukup lengkap. Mulai data pelanggan, total manfaat, total periode, KTP, KK, NPWP, foto buku rekening bank, akta kelahiran, akta kematian, surat perjanjian, bukti transfer, bukti keuangan, sampai bukti surat kesehatan seperti EKG.
Pratama menambahkan, informasi lain terkait bukti transfer setoran asuransi, KTP, dokumen pendaftaran asuransi, formulir pernyataan diri dan kesanggupan, hingga tangkapan layar perbincangan WhatsApp nasabah dengan pegawai BRI Life juga disertakan dalam penjualan. Lebih lanjut, dia menyatakan bahwa dari tangkapan layar yang dibagikan Hudson Rock, data tersebut diambil setelah pembobolan situs.
Karena itu, Pratama menilai perlu juga dilakukan forensik digital guna mengetahui celah keamanan yang dipakai peretas untuk menerobos sistem keamanan situs tersebut. ”Apakah dari sisi SQL (structured query language, Red) sehingga diekspos SQL injection atau ada celah keamanan lain,” ungkapnya. Dia juga menjelaskan bahwa sumber kebocoran data adalah peretasan, bukan jual beli data dari pihak internal atau pegawai.
Direktur Center of Economic and Law Studies (Celios) Bhima Yudhistira Adhinegara menilai, kebocoran data BRI Life akan memengaruhi kepercayaan (trust) masyarakat jika masalahnya berlarut-larut. Apalagi, profil nasabah asuransi cenderung kelas menengah ke atas yang sensitif soal perlindungan data pribadi.
Skenario terburuk, tentu data nasabah bisa disalahgunakan untuk penipuan atau tindak kriminal yang merugikan lainnya. Penipuan juga bisa mengatasnamakan pihak asuransi resmi. Lalu, nasabah mentransfer uang tertentu, padahal bukan untuk membayar premi.
’’Kasus-kasus kebocoran data sebelumnya mengakibatkan nasabah tiba-tiba dihujani tawaran kartu kredit, pinjol ilegal, sampai arisan online. Ada juga yang informasi pribadinya digunakan untuk mendaftarkan pinjol, tapi uangnya masuk ke rekening orang lain. Merugikan sekali,’’ beber lulusan University of Bradford itu kepada Jawa Pos.
Bhima mengatakan, langkah yang harus dilakukan BRI Life adalah segera memberitahukan kepada seluruh nasabah bahwa jika ada pihak yang mengatasnamakan asuransi BRI Life, perlu waspada dan hati hati. Tanggung jawab perusahaan jika telanjur data bocor adalah memperbaiki sistem keamanan dan memberikan transparansi progres penyelidikan kebocoran data.
Dari kejadian tersebut, artinya pengawasan data nasabah perlu disempurnakan. Misalnya, frekuensi pengecekan berkala keamanan sistem secara internal hingga audit sistem oleh OJK perlu ditambah. ’’Juga, memastikan perilaku pegawai dalam menjaga data nasabah menjadi prioritas utama untuk menghindari fraud atau kebocoran internal,’’ jelasnya.
Kementerian Kominfo telah memanggil direksi BRI Life Insurance untuk memberikan klarifikasi tentang dugaan kebocoran data pribadi milik nasabah mereka. Jubir Kominfo Dedy Permadi mengungkapkan, pemanggilan berlangsung kemarin (28/7) pukul 14.00 WIB. Pemanggilan itu, kata Dedy, adalah bagian dari proses investigasi.
”Sesuai dengan Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik,” kata Dedy. Beberapa hal yang didapatkan Kominfo adalah adanya dugaan kuat celah keamanan dalam sistem elektronik BRI Life yang disalahgunakan pihak-pihak yang tidak bertanggung jawab. ”Pihak BRI Life telah mengambil langkah responsif untuk menghentikan upaya akses secara tanpa hak tersebut,” jelasnya.
Baca juga: Alami Kebocoran Data, Ini Janji BRI Life ke Pemegang Polis
Dedy mengatakan, BRI Life saat ini melakukan pemeriksaan mendalam terhadap keamanan sistem elektronik yang mereka kelola. Tim internal BRI Life menggandeng konsultan forensik digital untuk mengusut kejadian tersebut. ”Dalam waktu dekat BRI Life menyampaikan temuan-temuan hasil pemeriksaan yang dilakukan kepada pihak-pihak terkait sesuai dengan amanat undang-undang,” kata Dedy.
Dari sisi Kominfo, Dedy mengungkapkan bahwa pihaknya akan memberikan pendampingan untuk mengamankan sistem maupun tata kelola data. Sesuai pasal 35 Peraturan Pemerintah (PP) No 71 Tahun 2019 tentang Penyelenggara Sistem dan Transaksi Elektronik, Kominfo berwenang melakukan pemeriksaan terhadap penyelenggaraan sistem elektronik.