Heboh di jagat dunia maya. Mendadak beredar Sertifikat vaksinasi atas nama Ir Joko Widodo. Diduga kartu vaksin tersebut atas nama Presiden RI, Ir Joko Widodo. Sertifikasi ini beredar luas di Twitter.
Beredarnya sertifikat atas nama Jokowi, kemudian melebar. Kasus ini di masyarakat “digoreng” dikaitkan dengan bocornya data di aplikasi PeduliLindungi.
Sertifikat vaksinasi itu memuat nama Jokowi beserta NIK. Selain itu, ada juga tanggal lahir Jokowi dan barcode.
Surat keterangan vaksinasi COVID-19 itu menyatakan bahwa Jokowi telah divaksinasi untuk dosis kedua pada 27 Januari 2021.
Di bagian bawah sertifikat tersebut, ada logo KPC-PEN, Kementerian Kominfo, Kementerian Kesehatan, dan Kementerian BUMN. Tak hanya itu, tersebar juga nomor HP ajudan Presiden.
Selain itu, terdapat pula keterangan bahwa Jokowi sudah menjalani vaksinasi Covid-19 untuk dosis kedua pada 27 Januari 2021.
Terlihat dari aktivitasnya, pengunggah dapat bebas mengakses sertifikat vaksin milik orang lain. Terbukti halnya ia bisa memeriksa sertifikat milik Jokowi.
Imbas sejumlah kasus kebocoran dan pengabaian perlindungan data pribadi warga yang terjadi secara berulang semakin nyata. Nomor induk kependudukan Presiden Joko Widodo pun diketahui publik.
Data pribadi yang diduga milik Presiden Joko Widodo itu,menjadi perbincangan di Twitter sejak Kamis (2/9/2021) sampai sekarang.
Direktur Lembaga Studi dan Advokasi Masyarakat (Elsam) Wahyudi Djafar menilai, beredarnya sertifikat vaksinasi Presiden Jokowi merupakan “imbas” dari sejumlah kasus kebocoran data pribadi yang terus berulang.
Pada Mei lalu diduga 279 juta data yang dikelola Badan Penyelenggara Jaminan Sosial (BPJS) Kesehatan bocor, dua bulan setelahnya terungkap kebocoran 2 juta data BRI Life, dan akhir Agustus terdapat indikasi kebocoran data 1,3 juta pengguna aplikasi e-HAC yang dikelola Kementerian Kesehatan.
Data yang ada di aplikasi e-HAC saat ini diintegrasikan dalam sistem aplikasi PeduliLindungi.
Elemen data yang terekspos lewat sejumlah kebocoran itu mencakup hampir semua informasi mengenai warga. Tidak tertutup kemungkinan, salah satunya merupakan data pribadi Presiden.
βIni terkait dengan kasus-kasus sebelumnya yang menyebabkan data bocor kemudian digunakan oleh orang lain. Selain itu, otentikasi sistem juga belum memastikan akurasi dan keamanan dengan baik,β kata Direktur Eksekutif Lembaga Studi dan Advokasi Masyarakat Wahyudi Djafar.
Ia menambahkan, beredarnya sertifikat vaksinasi Covid-19 atas nama Presiden juga menunjukkan problem perlindungan data pada aplikasi PeduliLindungi. Proses otentikasi di aplikasi itu hanya mensyaratkan NIK dan nomor telepon. Semestinya, otentikasi ditambah dengan unsur yang juga dapat memastikan keamanan dan akurasi pengguna.
Benarkah Aplikasi PeduliLindungi Problem?
Beredarnya sertifikat vaksinasi Covid-19 atas nama Presiden juga menunjukkan problem perlindungan data pada aplikasi PeduliLindungi.
Aplikasi juga dinilai masih mengabaikan prinsip perlindungan data pribadi. Salah satunya terkait integritas dan kerahasiaan. Semestinya aplikasi dibangun dengan sistem keamanan yang tidak memungkinkan orang yang tidak berkepentingan dapat mengakses data orang lain.
Selain itu, mekanisme pengambilan data juga dianggap tidak sesuai dengan tujuan pembuatan aplikasi. Terlalu banyak jenis data yang diminta sebagai syarat agar warga dapat menggunakannya. Mulai dari identitas, titik lokasi daring, hingga akses ke dokumen foto dan video yang ada di ponsel pengguna. Padahal, semula aplikasi PeduliLindungi hanya ditujukan untuk pelacakan kasus Covid-19.
Pengabaian keamanan
Juru bicara Badan Siber dan Sandi Negara (BSSN), Anton Setiawan, mengakui, kesadaran institusi pengelola data untuk melindungi data pribadi yang dikelola masih minim, terutama di jajaran pimpinan. Selama ini hal itu dianggap sebatas tanggung jawab divisi teknologi informasi, bukan organisasi secara keseluruhan.
Dari sejumlah kasus kebocoran dan peretasan yang terjadi di instansi pemerintah, kata Anton, umumnya disebabkan kerentanan pada level dasar, bukan disebabkan kemampuan tingkat tinggi dari para peretas. β
Kerentanan dasar, seperti tidak menerapkan enkripsi, otentikasi, database yang terbuka, dan manajemen sesi, adalah contoh umum yang sering diabaikan,β ujarnya.
Padahal, BSSN telah menerbitkan Peraturan BSSN Nomor 4 Tahun 2021 tentang Pedoman Manajemen Keamanan Informasi Sistem Pemerintahan Berbasis Elektronik (SPBE) dan Standar Teknis dan Prosedur Keamanan SPBE.
Peraturan itu merupakan pedoman bagi SPBE untuk melakukan proses manajemen keamanan informasi yang meliputi penetapan ruang lingkup, penetapan penanggung jawab, perencanaan, dukungan pengoperasian, evaluasi kinerja, dan perbaikan berkelanjutan. Namun, tidak ada ketentuan hukum yang dapat memaksa instansi pemerintah untuk tunduk pada pedoman tersebut.
βKami menghimbau agar (instansi) menjalankan Peraturan BSSN No 4/2021 sebagai bentuk tanggung jawab perlindungan kepada masyarakat/pengguna dan menjaga keberlangsungan proses bisnis layanan publik,β kata Anton.
Menurut Wahyudi, pemerintah memang telah membuat sejumlah regulasi untuk melindungi data pribadi baik yang dikelola oleh instansi publik maupun swasta.
Akan tetapi, sejumlah regulasi itu belum memiliki kekuatan mengikat dan cenderung tidak diimplementasikan. Selain Peraturan BSSN No 4/2021 untuk institusi pemerintah, ia mencontohkan, terdapat pula Peraturan Pemerintah Nomor 71 Tahun 2019.
Ini tentang Penyelenggaraan Sistem dan Transaksi Elektronik yang mengatur kewajiban instansi swasta dalam melindungi data pribadi yang dikelola. Dalam PP No 71/2019, diatur pula sanksi administratif yang dapat dikenakan pada instansi yang gagal melindungi data warga. Namun, hingga saat ini tidak ada catatan bahwa sanksi itu pernah diterapkan.
Dalam PP No 71/2019, diatur pula sanksi administratif yang dapat dikenakan pada instansi yang gagal melindungi data warga. Namun, hingga saat ini tidak ada catatan bahwa sanksi itu pernah diterapkan.
Oleh karena itu, tambah dia, pengesahan Rancangan Undang-Undang Perlindungan Data Pribadi semakin mendesak.
Tanpa aturan setingkat UU, persoalan kebocoran data masih akan terus terulang dan merugikan negara. Tidak hanya pada ranah kejahatan dan ekonomi, data yang tidak dilindungi juga dapat dieksploitasi untuk kepentingan politik.
Masih jadi perbincangan di hari minggu 1ni 5 September 2021, mengenai sertifikat elektronik itu juga menampilkan logo Komite Penanganan Covid-19 dan Pemulihan Ekonomi Nasional (KPC PEN), Kementerian Komunikasi dan Informatika, Kementerian Kesehatan, serta Kementerian Badan Usaha Milik Negara.
Kok bisa, sertifikat orang hebat semacam Ir Joko Widodo lengkap nomor induk kependudukan (NIK), tanggal lahir, dan waktu vaksinasi yang dilakukan. Bisa bocor, apakah kaitan tender dan korupsi. Wah, jadi panjang ceritanya.
Kini, masyarakat disuguhi kebijakan baru.
Sertifikat vaksinasi Covid-19 dapat diakses masyarakat melalui aplikasi PeduliLindungi atau laman daring Pedulilindungi.id yang dikelola Kementerian Kesehatan.
Untuk mengunduhnya, pengguna harus masuk dan menyertakan nama lengkap, NIK, tanggal lahir, dan nomor telepon. Aplikasi dan laman daring itu juga menyediakan fitur pemeriksaan status vaksinasi tanpa mengunduh sertifikat.
Untuk melakukannya, pengguna cukup memasukkan nama lengkap, NIK, dan mengklik otentikasi sebagai pengguna asli atau bukan robot.
Direktur Jenderal Kependudukan dan Pencatatan Sipil Kementerian Dalam Negeri Zudan Arif Fakrulloh menolak anggapan bahwa beredarnya sertifikat vaksinasi Covid-19 atas nama Joko Widodo itu terjadi karena ada kebocoran NIK.
Menurut dia, saat ini NIK seseorang bisa beredar di mana-mana karena sering kali warga meninggalkan salinan kartu tanda penduduk (KTP) dan kartu keluarga (KK) saat mengurus administrasi tertentu.
Direktur Jenderal Kependudukan dan Pencatatan Sipil Kementerian Dalam Negeri Zudan Arif Fakrulloh saat memberikan pemaparan di acara penandatanganan perjanjian kerja sama pemanfaatan data kependudukan antara Ditjen Dukcapil Kemendagri dan PT Jelas Karya Wasantara di Jakarta, Jumat (13/12/2019).
Zudan mengatakan, munculnya sertifikat vaksinasi Covid-19 yang diduga milik Presiden itu menandakan bahwa ada pihak yang menggunakan data orang lain untuk mendapatkan informasi tertentu. Hal itu tidak dibenarkan dalam undang-undang. βAda sanksi pidananya untuk hal seperti ini,β kata Zudan dihubungi dari Jakarta, Jumat.
Ketentuan yang dimaksud diatur dalam Undang-Undang Nomor 24 Tahun 2013 tentang Perubahan atas Undang-Undang Nomor 23 Tahun 2006 tentang Administrasi Kependudukan. Dalam Pasal 79 Ayat (3) UU No 24/2013 disebutkan bahwa petugas dan pengguna sebagaimana dimaksud pada Ayat (2) dilarang menyebarluaskan data kependudukan yang tidak sesuai dengan kewenangannya.
Kemudian pelanggaran atas pasal tersebut diatur selanjutnya pada Pasal 95A yang berbunyi, setiap orang yang tanpa hak menyebarluaskan data kependudukan sebagaimana dimaksud dalam Pasal 79 Ayat (3) dan data pribadi sebagaimana dimaksud dalam Pasal 86 Ayat (1a) dipidana dengan pidana penjara paling lama dua tahun dan/atau denda paling banyak Rp 25 juta.
