Pengamat menilai ada kemungkinan data BPJS Kesehatan (Badan Penyelenggara Jaminan Sosial) bocor ke pihak ketiga ketika sistem TI mereka diaudit asing. Hal ini diungkap menanggapi pernyataan Menteri Koordinator Bidang Kemaritiman Luhut Binsar Panjaitan.
Sebelumnya Luhut mengungkap perusahaan asuransi China, Ping An Insurance menawarkan bantuan untuk mengevaluasi sistem Teknologi dan Informasi (TI) BPJS Kesehatan.
Menurut pengamat keamanan siber, Kun Arief, data BPJS sangat mungkin terjadi kebocoran.
"Ya, sangat mungkin untuk tercompromise (bocor)," tuturnya saat dihubungi CNNIndonesia.com, Kamis (29/8).
Hal serupa juga diungkap Pratama Persadha, pengamat keamanan siber dari Communication and Information System Security Research Center (CISSReC).
"Sudah pasti. Mereka akan tau data detail peserta BPJS dan seluruh layanan kesehatan di Indonesia [...] Kecuali kalau database BPJS sudah diamankan dengan sistem sandi atau enkripsi," jelasnya.
Country Director Fortinet Indonesia, Edwin Lim menyatakan potensi kebocoran data dengan adanya audit dari asing mungkin terjadi. Namun, ia mengingatkan bahwa potensi kebocoran data bukan hanya dari asing. Tapi sebagian besar bisa terjadi akibat orang dalam institusi itu sendiri. Ia pun tak menutup kemungkinan terjadi pada institusi selain BPJS.
"70 persen peretasan keamanan berasal dari internal bukan eksternal. Tapi (kalau ditanya soal) potensi kebocoran data, kemungkinan iya," jelasnya dalam konferensi pers, Rabu (28/8).
BPJS berhak tentukan akses data
Sementara pengamat keamanan siber dari Vaksin.com, Alforns Tanudjaya menyebut keamanan data masih bisa dijaga. Menurutnya, BPJS yang mesti meregulasi data apa saja yang bisa diakses oleh pengaudit asing ini. BPJS berhak menentukan data apa saja yang bisa diakses oleh mereka.
"Audit harusnya tidak minta semua data. Harusnya mereka melihat alur proses dan potensi kebocoran. Lalu memberikan penilaian dan saran," jelasnya.
Menurut Alfons sejauh data yang diminta adalah contoh (sampling) data dan data pembayaran premi hal tersebut masih relevan.
"Kalau konteksnya Ping An mau membantu memperbaiki tingkat pembayaran premi yang sekarang jelek, yah bisa diberikan. Sejauh data yang diminta relevan dan tidak mengada ada," lanjutnya.
Namun lebih jauh, Pratama menyebut jika audit yang dilakukan adalah audit komprehensif maka pengaudit bisa mendapat akses kemana saja secara bebas.
"Kalau audit komprehensif beneran, ya pasti mereka bisa akses kemana saja."
BPJS sendiri belum bisa memastikan terkait audit sistem TI yang diwacanakan Luhut. Terkait bentuk audit dan evaluasi yang akan dilakukan terhadap BPJS, Kepala Humas BPJS Kesehatan, M Iqbal Anas Ma'ruf menyebut hingga saat ini masih belum jelas.
"(Saat ini) kondisinya Dirut BPJS Kesehatan diminta menghadap pak Luhut. Masih kenalan, belum bicara banyak," tulisnya saat dihubungi, Jumat (30/8).
Lebih lanjut, Arief mengingatkan pentingnya menjaga kerahasiaan data kesehatan.
"Data kesehatan adalah data yang terpenting untuk dijaga kerahasiaannya [...] US sendiri sampai membuat aturan khusus untuk menjaga data-data kesehatan warganya, yang bernama HIPAA," lanjutnya.
Pratama juga sepakat dengan hal ini. Sebab, menurutnya saat ini data adalah komoditi yang berharga yang harus dijaga. Sehingga ia merekomendasikan BPJS Kesehatan mencari alternatif audit yang aman dari sisi keamanan teknologi informasi terkait permasalahan yang dialami. Salah satunya adalah dengan melibatkan tenaga IT dan produk teknologi dalam negeri. cnnindonesia.com
Sebelumnya Luhut mengungkap perusahaan asuransi China, Ping An Insurance menawarkan bantuan untuk mengevaluasi sistem Teknologi dan Informasi (TI) BPJS Kesehatan.
Menurut pengamat keamanan siber, Kun Arief, data BPJS sangat mungkin terjadi kebocoran.
"Ya, sangat mungkin untuk tercompromise (bocor)," tuturnya saat dihubungi CNNIndonesia.com, Kamis (29/8).
Hal serupa juga diungkap Pratama Persadha, pengamat keamanan siber dari Communication and Information System Security Research Center (CISSReC).
"Sudah pasti. Mereka akan tau data detail peserta BPJS dan seluruh layanan kesehatan di Indonesia [...] Kecuali kalau database BPJS sudah diamankan dengan sistem sandi atau enkripsi," jelasnya.
Country Director Fortinet Indonesia, Edwin Lim menyatakan potensi kebocoran data dengan adanya audit dari asing mungkin terjadi. Namun, ia mengingatkan bahwa potensi kebocoran data bukan hanya dari asing. Tapi sebagian besar bisa terjadi akibat orang dalam institusi itu sendiri. Ia pun tak menutup kemungkinan terjadi pada institusi selain BPJS.
"70 persen peretasan keamanan berasal dari internal bukan eksternal. Tapi (kalau ditanya soal) potensi kebocoran data, kemungkinan iya," jelasnya dalam konferensi pers, Rabu (28/8).
BPJS berhak tentukan akses data
Sementara pengamat keamanan siber dari Vaksin.com, Alforns Tanudjaya menyebut keamanan data masih bisa dijaga. Menurutnya, BPJS yang mesti meregulasi data apa saja yang bisa diakses oleh pengaudit asing ini. BPJS berhak menentukan data apa saja yang bisa diakses oleh mereka.
"Audit harusnya tidak minta semua data. Harusnya mereka melihat alur proses dan potensi kebocoran. Lalu memberikan penilaian dan saran," jelasnya.
Menurut Alfons sejauh data yang diminta adalah contoh (sampling) data dan data pembayaran premi hal tersebut masih relevan.
"Kalau konteksnya Ping An mau membantu memperbaiki tingkat pembayaran premi yang sekarang jelek, yah bisa diberikan. Sejauh data yang diminta relevan dan tidak mengada ada," lanjutnya.
Namun lebih jauh, Pratama menyebut jika audit yang dilakukan adalah audit komprehensif maka pengaudit bisa mendapat akses kemana saja secara bebas.
"Kalau audit komprehensif beneran, ya pasti mereka bisa akses kemana saja."
BPJS sendiri belum bisa memastikan terkait audit sistem TI yang diwacanakan Luhut. Terkait bentuk audit dan evaluasi yang akan dilakukan terhadap BPJS, Kepala Humas BPJS Kesehatan, M Iqbal Anas Ma'ruf menyebut hingga saat ini masih belum jelas.
"(Saat ini) kondisinya Dirut BPJS Kesehatan diminta menghadap pak Luhut. Masih kenalan, belum bicara banyak," tulisnya saat dihubungi, Jumat (30/8).
Lebih lanjut, Arief mengingatkan pentingnya menjaga kerahasiaan data kesehatan.
"Data kesehatan adalah data yang terpenting untuk dijaga kerahasiaannya [...] US sendiri sampai membuat aturan khusus untuk menjaga data-data kesehatan warganya, yang bernama HIPAA," lanjutnya.
Pratama juga sepakat dengan hal ini. Sebab, menurutnya saat ini data adalah komoditi yang berharga yang harus dijaga. Sehingga ia merekomendasikan BPJS Kesehatan mencari alternatif audit yang aman dari sisi keamanan teknologi informasi terkait permasalahan yang dialami. Salah satunya adalah dengan melibatkan tenaga IT dan produk teknologi dalam negeri. cnnindonesia.com