TEMPO.CO, Yogyakarta - Laporan Tren Micro mengungkap data sektor kesehatan paling banyak dilaporkan mengalami kebocoran, disusul kemudian data untuk sektor pemerintahan dan retail.

Kebocoran data kesehatan baru-baru ini diduga terjadi pada data personal pasien Covid-19 di Indonesia yang dijual melalui situs Raid Forums. Pemilik akun Database Shopping mengklaim telah mengantongi 230 ribu data personal tersebut.

“Karena data kesehatan memuat informasi yang sangat lengkap,” kata Kepala Pusat Studi Forensika Digital Universitas Islam Indonesia (UII) Yogyakarta, Yudi Prayudi, saat dihubungi Tempo, Rabu, 24 Juni 2020.

Data kesehatan tidak hanya memuat informasi terkait data kependudukan pasien, melainkan juga memuat data keuangan, seperti akun bank, kartu kredit, dan asuransi hingga data riwayat penyakit dan pengobatannya.

Sesuai dengan pepatah yang dianut dalam komunitas hacker dan pengguna data ilegal bahwa “data kesehatan 10 kali lebih bernilai bagi peretas ketimbang informasi kartu kredit”. Artinya, nilai tinggi dari data kesehatan karena kelengkapan informasi yang termuat di dalamnya. “Sekali didapat data kesehatan yang bocor, berdampak terbukanya banyak data penting lainnya,” kata Yudi.

Persoalannya, dukungan keamanan data kesehatan kurang maksimal sehingga wajar data kesehatan menjadi incaran dari pencurian data.

Yudi mengutip data dari seorang peneliti data kesehatan Adil Hussain bersama teman-temannya yang melakukan kajian sejak 2015-2019. Hasilnya, laporan pencurian data bidang kesehatan dari seluruh sumber utama yang terpublikasi mencapai angka 76,59 persen. Urutan kedua adalah bidang bisnis dan keuangan yang hanya mencapai angka 9,36 persen.

Yudi menengarai ada dua hal penyebab data kesehatan rentan dibobol. Pertama, data kesehatan kompleks dan rumit karena banyak jenis informasi yang direkam di dalamnya. Mulai dari data personal pasien hingga data berkaitan dengan kesehatan pasien.

Kompleksitas ini berdampak pada besarnya sistem data kesehatan dengan tuntutan interoperabilitas yang tinggi. “Sementara sumber datanya heterogen, pengguna datanya banyak pihak dan harus terintegrasi,” kata Yudi.

Kedua, dunia kesehatan lamban menerapkan aspek-aspek keamanan terhadap data dan sistemnya. Berbeda dengan dunia perbankan, di mana keamanan data menjadi prioritas utamanya.

Mengutip dari Varonis, yaitu lembaga yang melakukan pembaruan laporan kasus-kasus pencurian data seluruh dunia sejak 2013, kasus terbanyak terjadi di Amerika Serikat sebanyak 64 persen. Negara lain adalah India, Cina, Korea Selatan, Inggris, dan Turki.

“Kebocoran data kesehatan sering dialami negara-negara yang punya sistem terintegrasi secara matang,” kata Yudi menjelaskan.

Namun tak ada data laporan pencurian data di Indonesia yang dihimpun Varonis. Menurut Yudi, bukan berarti di Indonesia tidak terjadi kasus-kasus pencurian atau kebocoran data. Bisa jadi karena tidak adanya instrumen pelaporan yang dipercayai sebagai sumber data.

Dia mengutip pendapat dari pakar keamanan data, Sherri Davidoff, yang mengatakan jumlah kebocoran data (data breach) yang dilaporkan atau diketahui hanyalah “sebagian kecil” dari jumlah kebocoran data yang sesungguhnya terjadi.

“Kebocoran data pasien Covid-19 yang terekspos itu bisa saja bagian kecil dari kebocoran data yang terjadi sesungguhnya,” kata Yudi.

Pelaporan pencurian atau kebocoran data di Indonesia lebih banyak bersumber dari komunitas siber, seperti Twitter, forum, atau blog, dan bukan bersumber dari lembaga resmi seperti BSSN. Menurut Yudi, BSSN mestinya menyiapkan mekanisme pelaporan dan rilis resmi tentang insiden pencurian atau kebocoran data.

“Selama penadah atau broker data, supplier data, dan orang yang memerlukan data masih ada, selama itu pula dark web yang memperjualbelikan data ilegal tetap eksis,” kata Yudi.

Upaya mengatasi kebocoran data, menurut Yudi, melalui penerapan trilogi solusi pada layer PPT (People-Process-Technology). Audit dilakukan untuk memastikan ketiga layer solusi itu berjalan dengan baik.

Selain itu, menempatkan Data Protection Officer sebagai pekerjaan baru yang merupakan bagian dari organisasi IT. Peran ini bertanggung jawab untuk memastikan proses bisnis institusi telah memenuhi kaidah-kaidah keamanan data dari upaya kebocoran dan penyalahgunaan. “Pencurian atau kebocoran data bukan lagi aib yang harus ditutupi, tapi penyakit yang harus diobati,” kata Yudi memungkasi.

PITO AGUSTIN RUDIANA