Data eHAC Dibobol, Ini Saran Pengamat Siber ke Kemenkes

Uzone.id - Kementerian Kesehatan kecolongan karena data eHAC yang harusnya bisa mereka lindungi ternyata bisa diakses dengan miudah. Total ada lebih dari 1 juta data eHAC yang bisa dipantau oleh siapa saja, termasuk hacker yang bisa menggunakannya tanpa izin atau secara ilegal.

Pengamat siber dari CISSREC, Pratama Persadha menyayangkan terjadinya pengamanan yang lemah terhadap data tersebut. Meski data yang bisa diakses sudah lama, yakni per 2 Juli 2021, dan tidak lagi terpakai atau tidak ada hubungannya dengan aplikasi Peduli Lindungi, namun dia tetap menyarankan agar Kemenkes bisa lebih hati-hati dan memperkuat keamanan,

"Kelengahan dari developer ini bisa mengakibatkan pemilik akun e-HAC bisa menjadi target profiling dan penipuan dengan modus covid terutama, seperti telemedicine palsu maupun semacamnya," ujar Pratama kepada Uzone.id melalui pesan singkat, Selasa, 31 Agustus 2021.

Baca juga: Lebih dari 1,3 Juta Data Pengguna eHAC Bocor ke Publik

Dampak terburuk, kepercayaan masyarakat terhadap pemerintah dalam proses penanggulangan covid dan usaha vaksinasi makin turun. Oleh karena itu, Pratama memberikan beberapa saran yang bisa dilakukan Kemenkes, setidaknya agar hal ini tidak terjadi lagi di kemudian hari.

"Amankan server yang dipakai dan buat protokol akses ke sistem yang aman, sehingga tidak sembarang orang bisa masuk. Jangan biarkan sistem yang tidak ada authentication bebas diakses di internet. Lakukan pengecekan secara berkala, untuk semua sistem yang dimiliki, untuk mendeteksi kerawananm," ujarnya.

Salah satu yang harus diimplementasikan juga, kata dia, adalah enkripsi. Dalam kasus ini, sepertinya sistem e-HAC bisa bebas dimasuki dan diambil datanya karena benar-benar tidak secure dan tidak ada implementasi enkripsi, sehingga data yang diambil plain tidak diacak sama sekali.

Baca juga: Jenis Data eHAC yang Bocor

Dia juga mengapresiasi langkah BSSN yang cukup cepat melakukan respons setelah mendapatkan info dari tim vpnmentor, dengan rekomendasi melakukan takedown pada server aplikasi. Seharusnya saat pertama kali Kemenkes mendapatkan info tersebut, langsung melakukan aksi baik dengan kontak ke BSSN atau langsung mentakedown sendiri.

"Semoga ini menjadi pelajaran, untuk setiap informasi yang masuk bisa langsung direspon oleh Kementrian terkait. Serta harus ada pengawasan terhadap pekerjaan pihak ketiga dan juga secara berkala dilakukan pengetesan sistem informasi yang dimiliki," katanya.