Kebocoran Data E-HAC dan Lambannya Respons Pemerintah

LAGI, khalayak dikejutkan dengan laporan kebocoran tak kurang 1,3 juta data pengguna aplikasi E-HAC Kemenkes.

Sedikit kilas balik sekaligus menyegarkan ingatan kita semua, E-HAC adalah singkatan dari Electronic - Health Alert Card, yaitu Kartu Kewaspadaan Kesehatan.

Aplikasi E-HAC awalnya dikembangkan oleh Kementerian Kesehatan dengan melibatkan pihak ketiga dan tersedia di Google Play Store serta wajib diisi oleh orang yang hendak masuk ke Indonesia baik WNI maupun WNA.

Data yang dimasukkan dalam apliasi ini sangatlah lengkap, meliputi data diri, alamat, tujuan pergi/destinasi, sampai hasil test Covid-19 terakhir.

Penulis selalu tak jemu mengingatkan bahwa di era digitalisasi kini, data adalah "emas hitam" baru yang kaya manfaat dan bernilai ekonomi kian tinggi. Nah, di sinilah titik peluang sekaligus kerentanan terpapar risiko tersebut!

Sepanjang Selasa (31/8/2021) kemarin, polemik kebocoran data pribadi dari aplikasi E-HAC Kemenkes membetot perhatian publik disertai beragam hujan kritik bernuansa hujatan.

Salah satu akar masalah kita di Indonesia kembali mengapung ke permukaan: habitus saling lempar tanggung-jawab, saling menyalahkan lebih mengemuka tinimbang mencari solusi dan berbenah diri.

Adalah para awak vpnMentor yang pada mulanya melaporkan kebocoran data ini ke pihak Kemenkes, namun tidak direspons segera.

Noam Rotem dan Ran Locar selaku bos vpnMentor menyatakan, diungkapnya bocornya data tersebut adalah bagian dari usaha mereka menekan kasus semacam ini.

Mereka bisa menembus rekaman data E-HAC tanpa halangan karena kurangnya protokol keamanan yang ditempatkan oleh developer aplikasi.

Google selaku host dari E-HAC juga tidak menanggapi laporan mereka. Akhirnya Badan Siber dan Sandi Negara (BSSN) yang memberi respons pada 22 Agustus lalu. Selanjutnya, pada 24 Agustus barulah servernya ditutup.

Lamban merespons

Kelambanan dalam merespon dalam dunia digital jelas amat berbahaya, hitungan menit dan detik selalu membuka celah risiko yang makin dahsyat.

Pengalaman penulis selama lebih sedasawarsa melakukan audit sistem manajemen keamanan informasi (ISMS, information security management system) selalu berulang pada kelambatan dalam me-mitigasi risiko (risk mitigation).

Pengamat keamanan siber dari Vaksincom, Alfons Tanujaya mengkritik respons Kemenkes yang lamban terhadap laporan vpnMentor.

Menurutnya, catatan merah juga perlu diberikan kepada tim IT Kemenkes yang dikontak tapi tidak ada tanggapan.

Setali tiga uang, demikian juga CERT Indonesia yang dikontak dan diinformasikan tetapi tidak memberikan tanggapan sama sekali pada waktunya.

Lantas, dimanakah letak masalah kelambanan respon ini?

Bukan soal kecanggihan infrastruktur yang menjadi halangan. Indonesia telah cukup mumpuni dalam hal ini, sepengamatan penulis.

Akar masalah yang acapkali dijumpai pada akhirnya bermuara pada sumberdaya manusianya. Pengembangan suatu aplikasi yang melibatkan pihak ketiga sebagaimana diakui oleh Kemenkes dalam versi awal aplikasi E-HAC kemungkinan besar mengandung backdoor sebagai "cinderamata" yang ditinggalkan oleh si pengembang.

Hal ini lazim di dunia cyber dan developer aplikasi. Laksana seorang maestro dunia seni, pengembang aplikasi seringkali tergoda atau sengaja membuat kenang-kenangan dari karyanya berupa jalan tikus yang bisa disusupi.

Dibutuhkan kesiap-siagaan sistem dan personel yang bertanggung-jawab penuh dalam mengantisipasi setiap gejala awal peretasan sistem dan/atau server.

Dibutuhkan konsistensi dalam mengawal sistem dan peladen serta melakukan maintenance keamanan yang berkesinambungan dan komprehensif, tidak asal.

Konsistensi menjadi kata kunci. Kita kerap abai akan hal ini dan cenderung berkutat pada ketergantungan akan teknologi canggih atau perangkat lunak terkini.

E-HAC lama dan baru

Selain itu, lebih runyam lagi, publik dibuat bingung dan ragu berkenaan dengan berbagai spekulasi serta kaburnya fakta antara aplikasi E-HAC yang mengalami kebocoran data dengan aplikasi serupa versi baru yang tersemat dalam aplikasi PeduliLindungi.

Sedikit kilas-balik, usai heboh laporan kebocoran data E-HAC oleh vpnMentor, Kemenkes pun memberikan klarifikasinya.

Menurut Kepala Pusat Data dan Informasi Kemenkes, yang mengalami kebocoran adalah data E-HAC versi lama yang sudah tidak digunakan lagi sejak Juli 2021 sesuai dengan Surat Edaran Kementerian Kesehatan Nomor HK.02.01/Menkes/847/2021 tentang Digitalisasi Dokumen Kesehatan bagi Pengguna Transportasi Udara yang Terintegrasi dengan Aplikasi Pedulilindungi.

Selanjutnya, sebagaimana disampaikan dr Siti Nadia Tarmizi selaku juru bicara vaksinasi Covid-19 Kementerian Kesehatan RI, bahwa Kemenkes sudah menutup E-HAC versi lama dan aplikasi ini tidak lagi digunakan.

Lebih lanjut ditandaskan bahwa PeduliLindungi merupakan aplikasi yang dikembangkan Kominfo, Kemenkes, Badan Nasional Penanggulangan Bencana (BPNB) dan operator telekomunikasi.

Aplikasi ini membantu pelacakan digital untuk menghentikan penyebaran Covid-19. Aplikasi PeduliLindungi juga sudah tersedia di Google Play Store sejak Maret 2020 dan App Store sejak April 2020.

Pada aplikasi PeduliLindungi, pengguna bisa memanfaatkan fitur pantau wilayah, informasi vaksinasi dan tentunya mendownload sertifikat vaksin. Dalam aplikasi PeduliLindungi juga ada fitur E-HAC.

Namun Menkominfo Johnny G Plate mengatakan data E-HAC di PeduliLindungi berbeda dan telah menjadi versi terbaru yang tak lagi melibatkan pihak ketiga serta lebih mumpuni dalam aspek cyber security-nya.

Infrastrukturnya juga diklaim berbeda dan berada di lokasi yang berbeda, alias berbeda server dan alur saluran datanya.

Hapus E-HAC lama

Dipantik oleh kejadian ini, Kemenkes meminta masyarakat menghapus aplikasi E-HAC di ponsel masing-masing. Pemerintah sudah meninggalkan penggunaan aplikasi E-HAC sejak Juli 2021.

Dalam implementasinya, meskipun ada perintah menghapus aplikasi E-HAC, aplikasi ini masih ada di Google Play Store.

Hal ini tetap membuka peluang masyarakat mengunduh dan berisiko datanya terpapar dan bocor.

Kembali mencuat, bahwa koordinasi lintas sektor dan lintas pemangku-kepentingan masihlah lambat dan kedodoran, suatu kelemahan endemis yang selama ini terus terjadi dan berulang.

Digitalisasi adalah suatu keniscayaan. Kita takkan mungkin menghindar darinya, terlebih hal ini dipacu dan dipaksa berakselerasi dalam kondisi pandemi Covid-19 ini.

Siap tidak siap, aparatur pemerintah harus siap. Tidak boleh lamban.