Kepala Pusat Data dan Informasi Kemenkes Anas Ma’ruf mengklaim kebocoran data pengguna eHAC tidak terjadi. Kepastian ini diperoleh setelah pihaknya melakukan investigasi bersama dengan Badan Siber dan Sandi Negara (BSSN), Kementerian Komunikasi dan Informatika (Kemkominfo), serta Direktorat Tindak Pidana Siber Bareskrim Polri.
“Kemenkes memastikan bahwa data masyarakat yang ada dalam sistem eHAC tidak bocor dan dalam perlindungan. Data masyarakat yang di dalam eHAC, tidak mengalir ke platform mitra. Sedangkan data masyarakat yang ada dalam platform mitra adalah menjadi tanggung jawab penyelenggara sistem elektronik sesuai dengan amanah UU no 19 tahun 2016 tentang UU ITE dan juga sesuai dengan peraturan pemerintah no 71 tahun 2019 tentang penyelenggaraan sistem transaksi eletronik,” ungkap Anas dalam telekonferensi pers di Jakarta, Rabu (1/9).
Anas menjelaskan, pada 23 Agustus lalu, Kemenkes dan BSSN mendapat informasi mengenai kerentanan pada platform mitra eHAC sebagaimana dilaporkan oleh pihak vpnMentor. Segera setelah mendapatkan informasi tersebut, Kemenkes dan pihak terkait langsung melakukan penelusuran dan memang menemukan kerentanan tersebut pada platform mitra eHAC itu. Namun, dalam kesempatan ini, Anas tidak menyebutkan secara gamblang siapa sebenarnya mitra eHAC yang dimaksud.
“Kemudian Kemenkes langsung melakukan tindakan dan kemudian dilakukan perbaikan-perbaikan pada sistem mitra tersebut, dan memastikan bahwa tidak ada kerentanan lain yang bisa digunakan untuk mengeksploitasi sistem tersebut,” tuturnya.
Dalam kesempatan yang sama, Juru Bicara BSSN Anton Setiawan menjelaskan yang sebenarnya terjadi adalah bagian dari proses keamanan siber yang disebut threat information sharing, di mana pihak-pihak yang mempunyai keprihatinan terhadap keamanan siber saling bertukar informasi. Anton mengatakan, pemerintah bersyukur bahwa vpnMentor memberikan informasi yang kemudian diverifikasi dan mendapatkan tindak lanjut dari Kemenkes.
“Jadi, data-data yang ada masih tersimpan dengan baik, informasi ini sebagai bagian dari mitigasi risiko untuk melakukan langkah pencegahan,” ungkap Anton.
Menurut Anton, BSSN dalam permasalahan ini berperan melakukan IT Security Assesment (IT SA) dan memberikan masukan terkait penerapan keamanan di dalam sebuah sistem elektronik. IT Security Assesment itu sendiri adalah proses penilaian keamanan pada suatu platform atau aplikasi untuk mencari celah kerentanan yang mungkin digunakan pihak lain untuk mengeksploitasinya.
“Aspek yang dinilai mulai dari kode sumber, implementasi sistem, penerapan keamanan dan tentunya mitigasi risiko. Hasil dari IT SA tersebut adalah rekomendasi yang kita berikan yakni rekomendasi perkuatan keamanan untuk sistem atau aplikasi dalam hal ini IT SA kita berikan rekomendasi untuk platform PeduliLindungi yang sekarang kita gunakan bersama-sama, dan termasuk fitur eHAC ada di dalam situ, jadi mari sama-sama kita gunakan dengan baik dan juga menjaga supaya tidak pihak-pihak yang menyalahgunakan hal tersebut,” jelasnya.
Lalu, jenis kerentanan apa yang ditemukan? Anton menjawab: sensitive data exposure.
“Itu suatu kerentanan yang menyasar kepada port tertentu. Jadi kalau di sistem elektronik itu bekerja kan menggunakan port, port itu seperti pintu rumah kita untuk bertransaksi data. Nah port itu yang memiliki kerentanan dan kerentanannya adalah sensitive data exposure. Seharusnya di dalam port tersebut, data tidak seharusnya bisa dimasuki oleh pihak-pihak yang tidak berwenang. Ini yang ditemukan oleh tim vpnMentor dan kemudian ini juga yang kemudian oleh Kemenkes dan mitra dilakukan perbaikan untuk ditutup dan dikendalikan aksesnya,” pungkasnya. [gi/ab]
