LAGI, khalayak dikejutkan dengan laporan kebocoran tak kurang 1,3 juta data pengguna aplikasi E-HAC Kemenkes.
Sedikit kilas balik sekaligus menyegarkan ingatan kita semua, E-HAC adalah singkatan dari Electronic - Health Alert Card, yaitu Kartu Kewaspadaan Kesehatan.
Baca juga: Merunut Kebocoran Data E-HAC Kemenkes, dari Kronologi hingga Hapus Aplikasi
Aplikasi E-HAC awalnya dikembangkan oleh Kementerian Kesehatan dengan melibatkan pihak ketiga dan tersedia di Google Play Store serta wajib diisi oleh orang yang hendak masuk ke Indonesia baik WNI maupun WNA.
Data yang dimasukkan dalam apliasi ini sangatlah lengkap, meliputi data diri, alamat, tujuan pergi/destinasi, sampai hasil test Covid-19 terakhir.
Penulis selalu tak jemu mengingatkan bahwa di era digitalisasi kini, data adalah "emas hitam" baru yang kaya manfaat dan bernilai ekonomi kian tinggi. Nah, di sinilah titik peluang sekaligus kerentanan terpapar risiko tersebut!
Sepanjang Selasa (31/8/2021) kemarin, polemik kebocoran data pribadi dari aplikasi E-HAC Kemenkes membetot perhatian publik disertai beragam hujan kritik bernuansa hujatan.
Baca juga: Kemenkes Pastikan Data Masyarakat di Sistem E-HAC Tidak Bocor
Salah satu akar masalah kita di Indonesia kembali mengapung ke permukaan: habitus saling lempar tanggung-jawab, saling menyalahkan lebih mengemuka tinimbang mencari solusi dan berbenah diri.
Adalah para awak vpnMentor yang pada mulanya melaporkan kebocoran data ini ke pihak Kemenkes, namun tidak direspons segera.
Noam Rotem dan Ran Locar selaku bos vpnMentor menyatakan, diungkapnya bocornya data tersebut adalah bagian dari usaha mereka menekan kasus semacam ini.
Mereka bisa menembus rekaman data E-HAC tanpa halangan karena kurangnya protokol keamanan yang ditempatkan oleh developer aplikasi.
Google selaku host dari E-HAC juga tidak menanggapi laporan mereka. Akhirnya Badan Siber dan Sandi Negara (BSSN) yang memberi respons pada 22 Agustus lalu. Selanjutnya, pada 24 Agustus barulah servernya ditutup.
Kelambanan dalam merespon dalam dunia digital jelas amat berbahaya, hitungan menit dan detik selalu membuka celah risiko yang makin dahsyat.
Pengalaman penulis selama lebih sedasawarsa melakukan audit sistem manajemen keamanan informasi (ISMS, information security management system) selalu berulang pada kelambatan dalam me-mitigasi risiko (risk mitigation).
Pengamat keamanan siber dari Vaksincom, Alfons Tanujaya mengkritik respons Kemenkes yang lamban terhadap laporan vpnMentor.
Menurutnya, catatan merah juga perlu diberikan kepada tim IT Kemenkes yang dikontak tapi tidak ada tanggapan.