Lokadata.ID

Kebocoran terjadi lagi, kapasitas perlindungan data belum mumpuni

ILUSTRASI | Warga melakukan pengecekan Daftar Pemilih Tetap (DPT) Pemilu 2019 dan Pilpres 2019 di Kelurahan Cilandak Barat, Jakarta, Rabu (17/10/2018).
ILUSTRASI | Warga melakukan pengecekan Daftar Pemilih Tetap (DPT) Pemilu 2019 dan Pilpres 2019 di Kelurahan Cilandak Barat, Jakarta, Rabu (17/10/2018). Rivan Awal Lingga / ANTARA FOTO

Dugaan kebocoran data Daftar Pemilih Tetap (DPT) Pemilu 2014 yang mencuat sejak Kamis (21/5/2020) malam menguatkan pandangan, masih banyaknya institusi publik dan swasta yang kurang sadar perihal keamanan data di dunia maya.

Pandangan ini muncul karena dugaan penyalahgunaan data DPT Pemilu 2014 terjadi hanya selang beberapa pekan pasca kasus serupa menimpa platform belanja daring Tokopedia. Ironisnya, data yang diduga bocor kali ini berasal dari institusi negara yakni Komisi Pemilihan Umum (KPU).

Dalam pernyataan resminya, KPU RI mengakui data yang diduga disalahgunakan pada dark web adalah milik mereka. Komisioner KPU RI Viryan Aziz menyebut, data itu memang bersifat terbuka dan diterbitkan sesuai regulasi.

“Pic (gambar) ini berdasarkan meta datanya tanggal 15 November 2013. KPU RI sudah bekerja sejak tadi malam menelusuri berita tersebut lebih lanjut, melakukan cek kondisi intenal (server data) dan berkoordinasi dengan pihak-pihak terkait,” tulis Viryan kepada wartawan, Jumat (22/5).

Dikonfirmasi lebih lanjut, Viryan mengindikasikan bocornya data DPT Pemilu 2014 karena adanya kewajiban KPU RI memberi salinan daftar pemilih kepada partai politik peserta pemilu. Kewajiban ini termaktub dalam Pasal 38 ayat 5 UU Nomor 8 tahun 2012 tentang Pemilu.

Beleid ini menyebut, KPU Kabupaten/Kota wajib memberi salinan DPT ke parpol peserta pemilu dalam bentuk salinan softcopy dalam format yang tidak bisa diubah maksimal 7 hari setelah ditetapkan.

Dugaan bocornya data DPT Pemilu 2014 juga sudah ditanggapi Direktorat Jenderal Kependudukan dan Pencatatan Sipil Kemendagri. Dirjen Dukcapil Kemendagri Zudan Arif Fakrulloh memastikan, dugaan kebocoran ini tak terkait dengan data kependudukan yang mereka kelola.

Menurut Zudan, sejauh ini tidak ada kasus dugaan pembobolan data kependudukan yang dialami Kemendagri. Dia juga menyebut, Ditjen Dukcapil sebenarnya telah lama meminta KPU untuk mengelola data pemilu dengan menjaga kerahasiaan data pribadi.

“Sejak penyerahan DP4, Dukcapil Kemdagri meminta KPU berkomitmen mengelola data dengan menjaga kerahasiaan data pribadi,” ujar Zudan dalam rilisnya. “Itulah mengapa Dukcapil Kemdagri setelah pemilu 2014 meminta kepada KPU agar (data) NIK dan Nomor KK diganti dengan tanda bintang. Tidak perlu ditampakkan agar tidak disalahgunakan,” sambungnya.

Kapasitas KPU dipertanyakan

Berdasarkan informasi yang beredar di media sosial, data yang diduga bocor dari DPT Pemilu 2014 mengandung nama, jenis kelamin, alamat, nomor KTP dan KK, tempat tanggal lahir, usia, hingga status perkawinan penduduk.

Lembaga riset siber Communication and Information System Security Research Center (CISSReC) menyebut, sebagian besar data yang diduga bocor ini adalah milik pemilih dari Provinsi Daerah Istimewa Yogyakarta (DIY). Akun yang menyebarkan di Raid Forums pada dark web adalah Arlinst.

Ketua CISSReC Pratama Persadha menyebut, data-data tersebut berbahaya dan berpotensi besar disalahgunakan. Alasannya, publikasi data tersebut di dark web tanpa sistem perlindungan atau enkripsi sama sekali.

“Nomor KTP dan KK bersamaan misalnya bisa digunakan untuk mendaftarkan nomor seluler dan juga melakukan pinjaman online bila pelaku mahir melengkapi data,” ujar Pratama dalam rilisnya.

Dia berkata, KPU seharusnya tetap berupaya melindungi data pemilih meski sifatnya terbuka. Minimal, perlindungan bisa diberikan dengan menggunakan metode enkripsi.

Lebih dari 1.200 lembaga dapat mengakses data Anda atas izin Kemendagri. Bagaimana dengan peluang penyalahgunaan?  Bagus Triwibowo / Beritagar.id
Lebih dari 1.200 lembaga dapat mengakses data Anda atas izin Kemendagri. Bagaimana dengan peluang penyalahgunaan? Bagus Triwibowo / Beritagar.id Bagus Triwibowo / Beritagar.id

Jika suatu file dienkripsi, maka data di dalamnya tak bisa dibuka kecuali menggunakan kata kunci tertentu. Sayangnya, keberadaan enkripsi ini disinyalir tak ada dalam salinan data-data DPT Pemilu 2014 yang dikeluarkan KPU RI.

Pratama lantas mempertanyakan kapasitas pengamanan sistem IT yang dimiliki KPU RI. Alasannya, dia mensinyalir kebocoran data DPT Pemilu 2014 bersumber dari pembobolan pada sistem IT KPU.

“Untuk memastikannya harus segera dilakukan audit keamanan informasi, atau audit digital forensic ke sistem IT KPU. Audit ini juga bisa menemukan sebab dan celah kebocoran sistem kalau memang ada,” ujarnya.

Akibat peraturan sektoral

Analisa lain dikemukakan Peneliti Lembaga Studi & Advokasi Masyarakat (ELSAM) Lintang Setianti. Menurutnya, kasus ini terjadi karena belum adanya pengaturan ihwal pengamanan data pribadi yang komprehensif di Indonesia.

Lintang menyebut aturan terkait data-data pribadi hingga kini masih bersifat sektoral. Ini juga yang menurutnya membuat munculnya celah dalam pengamanan data pribadi di instansi swasta atau pemerintah.

Karena itu, Lintang mendesak agar RUU Perlindungan Data Pribadi (RUU PDP) bisa segera disahkan oleh DPR RI dan Pemerintah. Beleid itu diyakini bisa menjadi pedoman bagi instansi pemerintah dan swasta. “Karena kita bisa lihat, instansi pemerintah juga sangat rentan mengalami kebocoran (data),’ tutur Lintang kepada Lokadata.id.

Sebagai catatan, dalam RUU PDP diatur mengenai kewajiban institusi pengendali dan pemroses data pribadi untuk melindungi dan memproses data pribadi sesuai prinsip perlindungan data. Aturan ini sebelumnya tak ada sama sekali di Indonesia.

Lintang juga menyebut, KPU RI harus segera memperbaiki tata kelola data masyarakat yang mereka simpan. Dia mendesak adanya pembentukan sistem yang melindungi pemilik data agar data-datanya tidak disalahgunakan.

“Ini tentu berkaitan dengan kewenangan partai politik yang mengakses data tersebut. Salah satunya ya dengan menjadikan parpol memiliki kewajiban menjaga data pribadi sebagai data controller dan prosesor,” tuturnya.