Video  

Digitalisasi Dipaksakan?

digitalisasi-dipaksakan?

Teguh Santoso

Oleh Teguh Santoso*)

KEMPALAN: PADA bulan Mei 2021 lalu sebuah lembaga riset ternama merilis laporan bertajuk ‘ASIA Digital Trust’ yang menandaskan bahwa mayoritas warga Asia mengutamakan pentingnya keamanan data (data security) sebagai fondasi paling utama dalam menumbuh-kembangkan digital trust dalam dinamika kesehariannya. Termasuk, tentu saja, di dalamnya adalah hasil riset atas masyarakat Indonesia.

Ironisnya, belum lama ini khalayak dikejutkan dengan laporan kebocoran tak kurang 1,3 juta data pengguna aplikasi eHAC Kemenkes. Sedikit kilas balik sekaligus menyegarkan ingatan kita semua, eHAC adalah singkatan dari Electronic – Health Alert Card, yaitu Kartu Kewaspadaan Kesehatan. Aplikasi eHAC awalnya dikembangkan oleh Kementerian Kesehatan dengan melibatkan pihak ketiga dan tersedia di Google Play Store serta wajib diisi oleh orang yang hendak masuk ke Indonesia baik WNI maupun WNA. Data yang dimasukkan dalam apliasi ini sangatlah lengkap, meliputi data diri, alamat, tujuan pergi/destinasi, sampai hasil test COVID-19 terakhir. Penulis selalu tak jemu mengingatkan bahwa di era digitalisasi kini, data adalah ‘emas hitam’ baru yang kaya manfaat dan bernilai ekonomi kian tinggi. Nah, disinilah titik peluang sekaligus kerentanan terpapar risiko tersebut!

Polemik kebocoran data pribadi dari aplikasi eHAC Kemenkes membetot perhatian publik disertai beragam hujan kritik bernuansa hujatan. Salah satu akar masalah kita di Indonesia kembali mengapung ke permukaan: habitus saling lempar tanggung-jawab, saling menyalahkan lebih mengemuka tinimbang mencari solusi dan berbenah diri. Adalah para awak vpnMentor yang pada mulanya melaporkan kebocoran data ini ke pihak Kemenkes, namun tidak direspons segera. Noam Rotem dan Ran Locar selaku bos vpnMentor menyatakan diungkapnya bocornya data tersebut adalah bagian dari usaha mereka menekan kasus semacam ini. Mereka bisa menembus rekaman data eHAC tanpa halangan karena kurangnya protokol keamanan yang ditempatkan oleh developer aplikasi. Google selaku host dari eHAC juga tidak menanggapi, hingga akhirnya Badan Siber dan Sandi Negara (BSSN) 22 Agustus lalu dan direspon di hari yang sama. Selanjutnya, tanggal 24 Agustus barulah servernya ditutup.

Kelambanan dalam merespon dalam dunia digital jelas amat berbahaya, hitungan menit dan detik selalu membuka celah risiko yang makin dahsyat. Pengalaman penulis selama lebih sedasawarsa melakukan audit sistem manajemen keamanan informasi (ISMS, information security management system) selalu berulang pada kelambatan dalam me-mitigasi risiko (risk mitigation). Pengamat keamanan siber dari Vaksincom, Alfons Tanujaya mengkritik respons Kemenkes yang lamban terhadap laporan vpnMentor. Menurutnya, catatan merah juga perlu diberikan kepada tim IT Kemenkes yang dikontak tapi tidak ada tanggapan. Setali tiga uang, demikian juga CERT Indonesia yang dikontak dan diinformasikan tetapi tidak memberikan tanggapan sama sekali pada waktunya.

Lantas, dimanakah letak masalah kelambanan respon ini? Bukan soal kecanggihan infrastruktur yang menjadi halangan, Indonesia telah cukup mumpuni dalam hal ini sepengamatan penulis. Akar masalah (root cause) yang acapkali dijumpai pada akhirnya bermuara pada sumberdaya manusianya. Pengembangan suatu aplikasi yang melibatkan pihak ketiga sebagaimana diakui oleh Kemenkes dalam versi awal aplikasi eHAC kemungkinan besar mengandung backdoor sebagai ‘cinderamata’ yang ditinggalkan oleh si pengembang. Hal ini lazim di dunia cyber dan developer aplikasi, laksana seorang maestro dunia seni pengembang aplikasi seringkali ‘tergoda’ atau ‘sengaja’ membuat kenang-kenangan dari karyanya berupa jalan tikus yang bisa disusupi.

Dibutuhkan kesiap-siagaan sistem dan personal yang bertanggung-jawab penuh dalam mengantisipasi setiap gejala awal peretasan sistem dan/atau server. Dibutuhkan konsistensi dalam mengawal sistem dan peladen serta melakukan maintenance keamanan yang berkesinambungan dan komprehensif, tidak asal. Konsistensi menjadi kata kunci, kita kerap abai akan hal ini dan cenderung berkutat pada ketergantungan akan teknologi canggih atau perangkat lunak terkini.

Selain itu, lebih runyam lagi, publik dibuat bingung dan ragu berkenaan dengan berbagai spekulasi serta kaburnya fakta antara aplikasi eHAC yang mengalami kebocoran data dengan aplikasi serupa versi baru yang tersemat dalam aplikasi PeduliLindungi. Sedikit kilas-balik, usai heboh laporan kebocoran data eHAC oleh vpnMentor, Kemenkes pun memberikan klarifikasinya. Menurut Kepala Pusat Data dan Informasi Kemenkes, yang mengalami kebocoran adalah data eHAC versi lama. Kebocoran data yang terjadi di aplikasi eHAC yang lama, yang sudah tidak digunakan lagi sejak Juli 2021 sesuai dengan Surat Edaran Kementerian Kesehatan Nomor HK.02.01/Menkes/847/2021 tentang Digitalisasi Dokumen Kesehatan bagi Pengguna Transportasi Udara yang Terintegrasi dengan Aplikasi Pedulilindungi.

Selanjutnya, sebagaimana disampaikan dr Siti Nadia Tarmizi selaku juru bicara vaksinasi COVID-19 Kementerian Kesehatan RI, bahwa Kemenkes sudah menutup eHAC versi lama dan aplikasi ini tidak lagi digunakan. Lebih lanjut ditandaskan bahwa  PeduliLindungi merupakan aplikasi yang dikembangkan Kominfo, Kemenkes, Badan Nasional Penanggulangan Bencana (BPNB) dan operator telekomunikasi. Aplikasi ini membantu pelacakan digital untuk menghentikan penyebaran COVID-19. Aplikasi PeduliLindungi juga sudah tersedia di Google Play Store sejak Maret 2020 dan App Store sejak April 2020. Pada aplikasi PeduliLindungi, pengguna bisa memanfaatkan fitur pantau wilayah, informasi vaksinasi dan tentunya mendownload sertifikat vaksin. Dalam aplikasi PeduliLindungi juga ada fitur eHAC. Namun Menkominfo Johnny G Plate mengatakan data eHAC di PeduliLindungi berbeda dan telah menjadi versi terbaru yang tak lagi melibatkan pihak ketiga serta lebih mumpuni dalam aspek cyber security-nya. Infrastrukturnya juga diklaim berbeda dan berada di lokasi yang berbeda, alias berbeda server dan alur saluran datanya.

Dipantik oleh kejadian ini, Kemenkes meminta masyarakat menghapus aplikasi eHAC di ponsel masing-masing. Pemerintah sudah meninggalkan penggunaan aplikasi eHAC sejak Juli 2021. Dalam implementasinya, eskipun ada perintah menghapus aplikasi eHAC, aplikasi ini masih ada di Google Play Store. Hal ini tetap membuka peluang masyarakat mendownload dan berisiko datanya terpapar dan bocor. Kembali mencuat, bahwa koordinasi lintas sektor dan lintas pemangku-kepentingan masihlah lambat dan kedodoran, suatu kelemahan endemis yang selama ini terus terjadi dan berulang.

Digitalisasi adalah suatu keniscayaan, kita takkan mungkin menghindar darinya, terlebih hal ini dipacu dan dipaksa berakselerasi dalam kondisi pandemi COVID-19 ini. Proses digitalisasi yang sekiranya membutuhkan waktu beberapa tahun guna menyiapkan tak hanya infrastruktur dan teknologinya, dipaksa untuk bersiap dalam hitungan bulan. Beragam soal peretasan data yang bisa kita telusur ke belakang meninggalkan pertanyaan besar: apakah lompatan digitalisasi ini dipaksakan?

*) Teguh Santoso, dosen LB pada Fakultas Bisnis dan Ekonomika, UNIVERSITAS SURABAYA, Certified Lead Auditor ISO 27001 Information Security Management System.

Editor: Freddy Mutiara

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.