Isu Terkini 28 July 2021

Dua Juta Data Nasabah BRI Life Bocor, Ada Peran Orang Dalam?

Ilham — Asumsi.co

Sebuah akun bernama Alon Gal @underthebreach lagi-lagi mengunggah soal kebocoran data dari penduduk Indonesia, kali ini berasal BRI Life. Perusahaan ini merupakan anak usaha BRI yang bergerak di bidang asuransi.

“Pelaku penjual data sensitif dari BRI Life, cabang asuransi Bank Rakyat Indonesia.Dalam video berdurasi 30 menit itu, mereka mendemonstrasikan sejumlah besar data (250 GB) yang berhasil mereka peroleh adalah 2.000.000 klien, 463.000 dokumen yang berhasil diretas. Data tersebut dijual seharga $7.000 atau di kisaran Rp 101 juta,” tulis akun tersebut.

Huge breach – threat actor is selling sensitive data from BRI Life, the insurance arm of Bank Rakyat Indonesia ??.

In a 30 minutes video they demonstrate the vast amount of data (250gb) they managed to obtain.

– 2,000,000 clients
– 463,000 documents
– $7,000 asking price pic.twitter.com/3nm8StPLIa

— Alon Gal (Under the Breach) (@UnderTheBreach) July 27, 2021

Akun lain Hudson Rock @hrock yang mengabarkan kebocoran tersebut ada kemungkinan komputer karyawan BRI Life yang menjadi sarana bagi hacker untuk menggondol data.

We identified multiple compromised employee computers of BRI Life and Bank Rakyat Indonesia which may have helped the hacker obtain an initial access to the company.

Learn how to use Cavalier to protect your organization from this attack vector –https://t.co/slsshxX51N pic.twitter.com/EjfdpPHdGr

— Hudson Rock (@HRock) July 27, 2021

“Kami mengidentifikasi beberapa komputer karyawan BRI Life dan Bank Rakyat Indonesia yang mungkin membantu hacker mendapatkan akses awal pada perusahaan ini,” tulisnya.

Data yang diangkut disebutkan termasuk kartu identifikasi, foto buku rekening, akte kelahiran, data terkait kesehatan dan lain sebagainya. Ditampilkan pula beberapa contoh dokumen yang bocor seperti KTP dan dokumen pemeriksaan kesehatan.

BRI Life klarifikasi

BRI Life akhirnya buka suara terkait dugaan kebocoran data nasabah yang ramai diperbincangkan di sejumlah media sosial. Saat ini, perusahaan tersebut bersama dengan tim independen tengah melakukan penelusuran jejak digital dalam rangka investigasi.

“BRI Life berkomitmen untuk terus memberikan perlindungan asuransi jiwa bagi sebanyak mungkin masyarakat di Indonesia dengan terus mengembangkan penerapan prinsip tata kelola yang baik sesuai dengan ketentuan yang berlaku,” kata Corporate Secretary BRI Life Ade Nasution dalam keterangan diterima Asumsi.co, Selasa (27/7/2021).

Ade menjamin para nasabah pemegang polis BRI Life dan menjamin hak pemegang polis sesuai dengan polis yang dimiliki.

“BRI Life terus melakukan upaya maksimal untuk melindungi data pemegang polis melalui penerapan tata kelola teknologi informasi dan tata kelola data sesuai ketentuan dan standar serta peraturan perundang-undangan yang berlaku,” ujarnya.

Ia menyarankan apabila ada permintaan data pribadi yang mengatasnamakan atau mengaitkan dengan kepemilikan polis di BRI Life, maka pemegang polis diharapkan dapat menghubungi layanan resmi melalui Call Center di Nomor 1500087, WhatsApp Corporate 0811-935-0087 atau email cs@brilife.co.id.

Kemkominfo dan Polri lakukan penelusuran

Terkait kebocoran pada perusahaan BUMN tersebut, Bareskrim Polri menyatakan sedang melakukan penyelidikan, “Sedang dilidik Eksus,” kata Kabareskrim Polri Komjen Agus Andrianto, Jakarta, Rabu (28/7/2021).

Kepolisian juga sedang mendalami dugaan awal data tersebut dapat tersebar di jagat maya. Perkara tersebut akan ditindaklanjuti oleh Direktorat Tindak Pidana Ekonomi Khusus (Dittipideksus) Bareskrim Polri.

Bersamaan dengan itu, Kementerian Komunikasi dan Informatika mengumumkan sedang menginvestigasi kebocoran data 2 juta nasabah asuransi BRI Life dan dijual peretas di Raid Forum.

“Kementerian Kominfo telah menerima informasi terkait dugaan kebocoran data pribadi BRI Life dan telah melakukan langkah-langkah cepat sesuai aturan perundangan yang berlaku,” kata Juru Bicara Kementerian Kominfo, Dedy Permadi dalam pernyataan tertulisnya yang diterima Asumsi.co, Rabu (28/7/2021).

Ia menambahkan juga sudah memanggil direksi BRI Life untuk meminta klarifikasi terkait bocornya data perusahaan tersebut di situs peretas.

“Sampai saat ini investigasi masih terus berjalan dan hasil belum dapat disimpulkan,” katanya.

Keamanan data di perusahaan Indonesia masih lemah

Imal dari Divisi Keamanan Online SAFEnet mengatakan bahwa keamanan di perusahaan Indonesia masih lemah. Ini terlihat banyaknya kasus kebocoran data selama ini di Indonesia. seperti Tokopedia, Bhinneka, BPJS, hingga sekarang BRI Life.

“Perusahaan di Indonesia sudah beberapa tahun berturut-turut kena terus. bisa disimpulkan, pengamanan data masih kurang. kalau dibilang lemah saya juga nggak sepakat, karena teman-teman data security di perusahaan itu juga kerjanya mati-matian. Mungkin kurang support atau entah apa masalahnya, ini bisa di cek ke perusahaan terkait yang terkena kasus,” katanya.

Sedangkan Pakar keamanan siber Alfons Tanuwijaya mengatakan bahwa kebocoran data sebetulnya tidak hanya terjadi di Indonesia, negara lain juga seperti ini. Namun, kondisi itu tidak bisa ditolerir. Ia melihat dari institusi kebanyakan pemerintah yang mengalami kebocoran data yang kemarin disinyalir BPJS sekarang BRI Life merupakan BUMN, perlu ada perhatian khusus dari pemerintah dan lembaga dibawahnya untuk konservatif dalam mengelola data.

“Sebetulnya metode pengamanan data di Indonesia sudah diterapkan. Namun, memang perlu kedisiplinan dalam mengamankan data privasi,” katanya saat dihubungi Asumsi.co, Rabu (28/7/2021).

Diduga diretas saat WFH

Alfons memperkirakan data BRI Life diretas dari salah satu komputer karyawan yang sedang melakukan work from home (WFH). Karyawan tersebut mengakses data dari komputer rumahnya sehingga peretas bisa menembus data BRI Life.

“Berbeda jika di kantor sudah terlindungi dari firewall dan relative sulit menembusnya. Tapi, menjadi masalah, kalau komputer di bawa pulang. Lalu melalui jaringan internet mengakses data yang ada di data center atau di kantor sehingga menyebabkan hacker dengan mudah mendapatkan data-data tersebut,” katanya.

Ia menggambarkan data seperti benteng yang dijaga oleh firewall dan aplikasi. Namun, kalau ada prajurit yang keluar benteng tersebut, jadi mudah menyerangnya.

“Seperti itulah mengapa hacker dapat menembus keamananan. Jadi memang komputer di rumah itu perlu menjadi perhatian dan fokus perusahaan, penyedia layanan atau institusi yang karyawannya mau tidak mau bekerja dari rumah. Tetap produktif yang ingin mengamankan datanya,” katanya.

Ia menegaskan bahwa tidak ada kemungkinan pihak dalam BRI Life yang menjual data tersebut.

“Kalau saya lihat dalam kasus ini tidak ya? Dari komputer korban untuk mengakses sistem. Itu karena pengamanannya kurang baik saja,” katanya.

Berbeda dengan Alfons, Imal mengatakan ada kemungkinan pelaku memanfaatkan akun pegawai yang punya pengamanan kurang bagus. Namun, memang harus ditelusuri lebih lanjut apakah murni hacker atau memang dijual.

“Jadi keamanan data nggak bisa bertumpu di satu alat saja, karena keamanan itu berkaitan dengan banyak hal,” katanya.

Perlu ada sertifikasi keamanan data

Alfons menyarankan agar kasus ini tidak berulang perlu adanya sertifikasi keamanan data jika Kemkominfo dan perusahaan yang bergerak dalam bidang data serius.

“Jadi sekuriti ini adalah proses sehingga tidak bisa membeli proses itu. Itu harus dilatih orangnya,. Jadi kalau Kemkominfo dan perusahaan ingin berperan, perlu melatih sumber daya yang ada dengan serius dan terprogram. Memang harus ada sertifikasi. Jadi kalau ada orang yang mengakses suatu database banyak orang, mereka perlu melewati sertifikasi itu. Ini harus menjadi suatu kebiasaan,” katanya.

Di samping itu, para karyawan, manajer, direksi baik itu di desk finansial atau berhubungan dengan database perusahaan juga perlu pengetahuan terkait keamanan data.

“Jadi tidak hanya bidang kemampuan saja yang dimilikinya, tapi juga belajar kesadaran keamanan data padahal sangat penting. Perlu dilakukan suatu training berkesinambungan khususnya IT Security untuk mengakses data,” katanya.

Perlu dukungan regulasi

Imal mengatakan perlu adanya dukungan Undang-Undang terkait pengamanan data pribadi, karena selama ini belum ada payung hukumnya. Menurutnya jika hanya mensuspend situs hacker tersebut tidak ada pengaruhnya.

“Apa pengaruhnya terhadap pelaku pencurian data? Nggak ada. Misalnya ada maling, malingnya suka bikin poster bahwa dia abis maling rumah a, b atau c. solusi, cabut posternya. Kan nggak ngaruh,” katanya.

Senada dengan Imal, Alfons mengatakan memang undang-undang itu bisa mendukung secara tidak langsung, karena kalau ada peraturan pengamanan data pribadi, institusi yang tidak mengamankan data akan dijerat hukuman sangat berat.

“Kalau ada UU-nya institusi akan serius mereka akan menganggarkan biaya dan manajemennya juga tahu. Kalau tanpa itu mereka kurang menyadari, itu peranannya ke sana peraturan yang mendorong. Namun, jangan sampai menunggu UU perlindungan data pribadi dan menyalahkan pemerintah. Adanya undang-undang juga tidak menjamin adanya data bocor,” katanya.

Chairman CISSReC, Pratama Persadha mengatakan data diambil karena pembobolan situs bila melihat tangkapan layar yang dibagikan peretas. Bisa dilihat bagaimana situs-situs BRI Life disebutkan bahkan beserta username atau akun login, password, dan IP.

“Perlu dilakukan forensik digital untuk mengetahui celah keamanan mana yang dipakai untuk menerobos, apakah dari sisi SQL (Structured Query Language) sehingga diekspos SQL Injection atau ada celah keamanan lain. Seperti adanya compromised dari akun BRI Life yang juga berpotensi dimanfaatkan hacker untuk masuk ke dalam sistem,” ujar Pratama dalam keterangan tertulis kepada Asumsi.co.

Pratama menjelaskan dari sini juga bisa disimpulkan bahwa sumber kebocoran data adalah akibat peretasan, bukan akibat jual beli data dari pihak internal atau pegawai. Oleh karena itu, dia menilai UU PDP (Perlindungan Data Pribadi) sangat diperlukan, namun dengan syarat mempunyai pasal yang benar-benar kuat dan bertujuan mengamankan data masyarakat.

Menurut Pratama, sebaiknya penguatan sistem dan SDM juga harus ditingkatkan, adopsi teknologi utamanya untuk pengamanan data juga perlu dilakukan.

Indonesia masih dianggap rawan peretasan karena memang kesadaran keamanan siber masih rendah. Sehingga dibutuhkan UU PDP yang isinya tegas dan ketat seperti di Eropa.

“Kebocoran data di Indonesia sudah kritis seperti ini seharusnya Pemerintah dan DPR bisa sepakat untuk menggolkan UU PDP. Tanpa UU PDP yang kuat, para pengelola data pribadi baik lembaga negara maupun swasta tidak akan bisa dimintai pertanggungjawaban lebih jauh dan tidak akan bisa memaksa mereka untuk meningkatkan teknologi, SDM dan keamanan sistem informasinya,” jelasnya.

Share: Dua Juta Data Nasabah BRI Life Bocor, Ada Peran Orang Dalam?