BRI Life bersama dengan tim independen yang memiliki spesialisasi di bidang cyber security, tengah melakukan penelusuran jejak digital dalam rangka investigasi dan melakukan hal-hal yang diperlukan guna meningkatkan perlindungan data pemegang polis BRI Life.
Hal tersebut dilakukan sebagai tindak lanjut atas adanya berita di sosial media pada 27 Juli 2021, mengenai dugaan kebocoran dan penjualan data nasabah.
Corporate Secretary BRI Life Ade Nasution mengungkapkan, BRI Life menjamin hak pemegang polis sesuai dengan polis yang dimiliki, sesuai dengan tata kelola teknologi informasi dan ketentuan yang berlaku.
“BRI Life terus melakukan upaya maksimal untuk melindungi data pemegang polis melalui penerapan tata kelola teknologi informasi dan tata kelola data sesuai ketentuan dan standar serta peraturan perundang-undangan yang berlaku,” ujarnya kepada wartawan, Rabu (28/7).
Terkait dugaan penjualan data tersebut BRI Life juga akan melaporkan dan berkoordinasi dengan pihak berwajib untuk diproses lebih lanjut.
Ade menegaskan, BRI Life tidak pernah memberikan data pribadi kepada pihak-pihak yang tidak bertanggung jawab.
Dia pun mengimbau apabila ada permintaan data pribadi yang mengatasnamakan atau mengkaitkan dengan kepemilikan polis di BRI Life, maka pemegang polis diharapkan dapat menghubungi layanan resmi BRI Life melalui Call Center di Nomor 1500087, WhatsApp Corporate 0811-935-0087 atau email cs@brilife.co.id.
“BRI Life berkomitmen untuk terus memberikan perlindungan asuransi jiwa bagi sebanyak mungkin masyarakat di Indonesia dengan terus mengembangkan penerapan prinsip tata kelola yang baik," ucap Ade.
Sementara, pakar keamanan siber Pratama Persadha menjelaskan kronologis data BRI Life yang bocor. Di mana di raidforums, ada akun bernama Reckt sempat mengupload sampel data yang dijual, namun beberapa saat kemudian dihapus. Akun tersebut menjual database nasabah BRI Life Insurance (dua juta lebih nasabah) dan scan dokumen (lebih dari 463.000).
Pratama menambahkan, databasenya memiliki pin polis asuransi (sha1), detail lengkap tentang pelanggan yang menggunakan asuransi BRI Life, total manfaat, total periode tahun. Lalu juga ada dokumen bermacam-macam seperti KTP, KK, NPWP, foto buku rekening bank, akta kelahiran, akta kematian, surat perjanjian, bukti transfer, bukti keuangan, bukti surat kesehatan seperti EKG, diabetes dan lainnya.
“Ada sebanyak 463.519 file dokumen dengan ukuran mencapai 252 GB dan juga ada file database berisi dua juta nasabah BRI Life berukuran 410MB. Untuk sampel sendiri yang diberikan berukuran 2,5 GB berisi banyak file dokumen. Dua file lengkap tersebut ditawarkan dengan harga US$7.000 dan dibayarkan dengan bitcoin,” terang chairman lembaga riset siber CISSReC (Communication & Information System Security Research Center) ini.
Dari sampel yang didapat, datanya sangat lengkap. Mulai dari data mutasi rekening, bukti trasnfer setoran asuransi, KTP, ada juga tangkapan layar perbicangan WA nasabah dengan pegawai BRILife, dokumen pendaftaran asuransi, KK, beberapa formulir pernyataan diri dan kesanggupan, bahkan lengkap dengan polis asuransi jiwa juga ada lengkap disertakan.
“Artinya dari klaim Hudson Rock sebagai pihak yang menginformasikan kebocoran maupun pelaku penjual data, kemungkinan besar benar. Bahwa data yang mereka klaim tersebut memang berisi berbagai data dari nasabah BRI Life,” jelasnya.
Ditambahkan olehnya tentu ini menjadi perhatian serius. Bila diperhatikan dari tangkapan layar yang dibagikan Hudson Rock, data jelas diambil karena pembobolan situs. Bisa dilihat bagaimana situs-situs BRI Life disebutkan bahkan beserta username atau akun login, password dan IP.
“Perlu dilakukan forensik digital untuk mengetahui celah keamanan mana yang dipakai untuk menerobos, apakah dari sisi SQL (Structured Query Language) sehingga diekspos SQL Injection atau ada celah keamanan lain. Seperti adanya compromised dari akun BRI Life yang juga berpotensi dimanfaatkan hacker untuk masuk ke dalam sistem,” imbuhnya.
Pratama menjelaskan, dari sini juga bisa disimpulkan bahwa sumber kebocoran data adalah akibat peretasan, bukan akibat jual beli data dari pihak internal atau pegawai. Tentu semua pihak tidak ingin kejadian ini berulang, karena itu UU PDP (Perlindungan Data Pribadi) sangat diperlukan kehadirannya, asalkan mempunyai pasal yang benar-benar kuat dan bertujuan mengamankan data masyarakat.
Selain itu, sebaiknya penguatan sistem dan SDM harus ditingkatkan, adopsi teknologi utamanya untuk pengamanan data juga perlu dilakukan. Indonesia sendiri masih dianggap rawan peretasan karena memang kesadaran keamanan siber masih rendah. Yang terpenting dibutuhkan UU PDP yang isinya tegas dan ketat seperti di Eropa. Ini menjadi faktor utama, banyak peretasan besar di Tanah Air yang menyasar pencurian data pribadi.
“Kebocoran data di Indonesia sudah kritis seperti ini seharusnya pemerintah dan DPR bisa sepakat untuk menggolkan UU PDP. Tanpa UU PDP yang kuat, para pengelola data pribadi baik lembaga negara maupun swasta tidak akan bisa dimintai pertanggungjawaban lebih jauh dan tidak akan bisa memaksa mereka untuk meningkatkan teknologi, SDM dan keamanan sistem informasinya,” jelasnya.
