STUDI KASUS

Pada bacaan ini, Anda akan mempelajari penerapan

prinsip-prinsip manajemen risiko dari contoh kasus kebocoran
data BPJS Kesehatan di Indonesia. Berdasarkan fakta-fakta
yang terungkap di publik, Anda diminta untuk
mengidentifikasi prinsip manajemen risiko mana sajakah yang
telah diterapkan maupun belum diterapkan oleh BPJS
Kesehatan.

Sekilas BPJS Kesehatan

BPJS Kesehatan secara resmi beroperasi pada tanggal 1 Januari
2014, sebagai bentuk transformasi dari PT Askes (Persero).
Program jaminan sosial yang dimiliki pemerintah ini berawal
pada tahun 2004, di mana UU Nomor 40 Tahun 2004 tentang
Sistem Jaminan Sosial Nasional (SJSN) dibuat. Selanjutnya,
pada tahun 2011 pemerintah menetapkan UU Nomor 24 Tahun
2011 tentang Badan Penyelenggara Jaminan Sosial (BPJS). PT
Askes (Persero) kemudian ditunjuk menjadi penyelenggara
program jaminan sosial di bidang Kesehatan dan PT Askes
(Persero) pun berubah menjadi BPJS Kesehatan. BPJS
Kesehatan memiliki visi untuk mewujudkan jaminan
kesehatan yang berkualitas tanpa diskriminasi bagi seluruh
rakyat Indonesia.

01 MODUL 4 - PRINSIP MANAJEMEN RISIKO

 STUDI KASUS

Mengenai keamanan data, BPJS Kesehatan sebenarnya telah

memenuhi ISO 27001 (tersertifikasi) dan Control Objectives for
Information Technologies (COBIT). ISO 27001 merupakan salah
satu standar internasional yang mengatur penerapan
manajemen sistem informasi. Sebagai tambahan informasi,
BPJS juga telah mengoperasionalkan Security Operation
Center (SOC) dalam 24 jam 7 hari.

Kronologis Kasus
Pada Kamis, 20 Mei 2021, muncul kabar menghebohkan di
media sosial yang berisi bahwa telah terjadi kebocoran data
279 juta warga Indonesia (yang diduga merupakan data BPJS
Kesehatan) di dunia maya. Data ini dipublikasikan dan dijual di
salah satu forum online (Raid Forum), dengan harga 0,15
bitcoin, atau sekitar Rp 87,6 juta. Menanggapi kasus ini, pada
hari itu juga Direktur Utama BPJS Kesehatan Ali Ghufron Mukti
segera melakukan koordinasi dan investigasi terkait adanya
dugaan peretasan data.

02 MODUL 4 - PRINSIP MANAJEMEN RISIKO

 STUDI KASUS

Sehari setelahnya, pada hari Jumat, 21 Mei 2021, Direksi

melakukan koordinasi dengan Dewan Pengawas BPJS
Kesehatan, Badan Sandi dan Siber Negara (BSSN), Kementrian
Komunikasi dan Informatika (Kemkominfo), Kementrian
Pertahanan (Kemenhan), dan PT Sigma Cipta Caraka (Telkom
Sigma). Kemudian, pada hari Sabtu tim BPJS Kesehatan
bersama BSSN melakukan investigasi dengan melakukan
penelurusan forensik digital dan sampel data dari akun yang
menjual data di Raid Forum. Pada hari Minggu manajemen
BPJS Kesehatan menyiapkan surat permohonan perlindungan
hukum ke Bareskrim Polri dan surat pemberitahuan kepada
Kemkominfo.

Sebagai langkah pencegahan tersebarnya data ini secara lebih

luas, Kementrian Komunikasi dan Informatika (Kominfo)
langsung mengambil langkah memblokir situs Raid Forum.
Ghufron juga mengutarakan bahwa BPJS Kesehatan sedang
melakukan mitigasi terhadap hal-hal yang mengganggu
keamanan data dalam proses pelayanan dan administrasi.
BPJS Kesehatan melakukan penguatan sistem keamanan TI
terhadap potensi gangguan keamanan data, antara lain
dengan meningkatkan proteksi dan ketahanan sistem.

03 MODUL 4 - PRINSIP MANAJEMEN RISIKO

 STUDI KASUS

Dalam proses penanganannya, BPJS Kesehatan melakukan

investigasi yang dibantu oleh BSSN. Hal ini juga disertai
dengan adanya penyusunan langkah-langkah mitigasi, antara
lain dengan penerapan biometric fingerprint dan face
recognition untuk proses pelayanan dan administrasi.

04 MODUL 4 - PRINSIP MANAJEMEN RISIKO