KPU telah menelusuri informasi mengenai kebocoran data pemilih yang dikuasai oleh KPU. Hasilnya, KPU memastikan tidak terjadi kebocoran data. Data yang bocor sama dengan data yang diberikan KPU kepada pihak eksternal.
Oleh
NIKOLAUS HARBOWO/PRAYOGI DWI SULISTYO
·4 menit baca
JAKARTA, KOMPAS — Komisi Pemilihan Umum memastikan tidak terjadi kebocoran atau peretasan terhadap data daftar pemilih tetap pada Pemilu 2014. Meski demikian, penyelenggara pemilu tersebut tetap akan memproses secara hukum pihak yang telah menyalahgunakan data pribadi.
Sebelumnya, dugaan bocornya data pemilih diungkap akun Twitter @underthebreach pada Kamis (21/5/2020). Akun itu menyebutkan, 2,3 juta data pemilih dari daftar pemilih tetap (DPT) Pemilu 2014 diperjualbelikan lewat forum komunitas peretas (hacker).
Menurut akun @underthebreach, peretas mengambil data itu dari situs Komisi Pemilihan Umum (KPU) pada tahun 2013. Data DPT 2014 yang dimiliki berformat portable document format (PDF). Data tersebut berisi sejumlah informasi, seperti nama lengkap, nomor kartu keluarga (KK), nomor induk kependudukan (NIK), tempat dan tanggal lahir, alamat rumah, serta beberapa data pribadi lainnya.
Anggota KPU, Viryan Azis, saat dihubungi di Jakarta, Minggu (24/5/2020), mengatakan, pihaknya telah menelusuri dan mengecek data yang diunggah akun Twitter @underthebreach. Hasilnya, KPU memastikan tidak terjadi kebocoran atau peretasan terhadap data DPT Pemilu 2014, yang berada dalam penguasaan KPU.
”Saat ini, kondisi data DPT Pemilu 2014 di KPU RI dalam keadaan baik dan aman,” ujar Viryan.
Data yang ditampilkan akun Twitter @underthebreach merupakan data pada November 2013 dengan format PDF, di mana format tersebut sama dengan yang KPU berikan kepada pihak eksternal (stakeholder), dalam hal ini peserta pemilu. Pemberian data ini dilakukan dengan berita acara dan penandatanganan surat pernyataan resmi.
”Surat pernyataan tersebut menyatakan bahwa data DPT adalah data rahasia dan hanya untuk kepentingan pemilu,” ucap Viryan.
Penyelenggara pemilu, lanjut Viryan, berkomitmen untuk melindungi data pribadi, seperti yang tertuang dalam Peraturan KPU Nomor 11 Tahun 2018 tentang Penyusunan Daftar Pemilih di Dalam Negeri dalam Penyelenggaraan Pemilihan Umum.
Oleh karena itu, lanjutnya, KPU tidak pernah memberikan data secara utuh kepada pihak eksternal selama penyelenggaraan Pemilu 2019. Data diberikan dengan menutupi sejumlah digit nomor induk kependudukan (NIK) dan nomor kartu keluarga (NKK) dengan tanda bintang.
Viryan pun menegaskan, KPU tetap akan memproses secara hukum pihak yang telah menyalahgunakan data pemilih meskipun data itu bukan berasal dari KPU. Untuk itu, KPU berkoordinasi dengan Direktorat Tindak Pidana Siber (Dittipidsiber) Mabes Polri, Badan Siber dan Sandi Negara (BSSN), serta Kementerian Komunikasi dan Informatika.
”Kami ingin mengetahui secara pasti bagaimana data pemilih Pemilu 2014 tersebut diperoleh dan bagaimana mencegah penyalahgunaan data tersebut,” ujar Viryan.
Aturan lemah
Ketua Indonesia Cyber Security Forum (ICSF) Ardi Sutedja mengungkapkan, persoalan kebocoran data pemilih bisa terjadi karena ketidakjelasan undang-undang.
Ia menjelaskan, peretasan melanggar undang-undang apabila dilakukan secara ilegal. ”Kalau sumber data diberikan bebas oleh KPU (Komisi Pemilihan Umum) kepada partai politik kontestan pemilu tidak melanggar karena itu amanat UU Pemilu. Ini mengapa diizinkan di dalam UU?” ujar Ardi.
Menurut dia, daftar pemilih yang dibocorkan tersebut mirip dengan DPT yang dipajang bebas di tempat pemungutan suara (TPS) pada pemilu 2014 dan 2019. Hal itu mengindikasikan ada pembocoran yang diizinkan oleh undang-undang.
Kasus pembocoran yang diizinkan undang-undang ini menjadi kekeliruan besar terhadap prinsip-prinsip perlindungan data dan privasi. Selain itu, melemahkan upaya bersama untuk mendorong lahirnya RUU Perlindungan Data Pribadi.
”Ini baru di KPU, belum lagi di kementerian/lembaga pemerintah lainnya, seperti di manajemen KTP elektronik,” kata Ardi.
Pembocoran yang dizinkan undang-undang sekaligus menunjukkan, produk hukum yang mengatur pengolahan dan perlindungan data tidak mengacu pada prinsip dan tata kelola yang berlaku secara universal dan baku. Di antaranya yang berlaku di industri yang sudah mapan seperti industri keuangan.
Hal itu bisa terjadi karena pembentuk undang-undang tidak memiliki pengetahuan dan pemahaman yang cukup terkait isu tersebut. Pasalnya, topik atau isu tentang perlindungan data dan privasi merupakan hal baru di Indonesia. Ini sama persis seperti isu keamanan dan ketahanan siber di Indonesia.
Jika terus dibiarkan, fungsi keamanan siber, teknologi, dan lain-lain tidak akan berguna. Ardi mengungkapkan, sumber pembocoran data paling besar justru bukan di swasta, melainkan justru ada di kementerian/lembaga pemerintah karena keambiguan peraturan perundang-undangan.
Selain persoalan regulasi, ia curiga kebocoran data pemilih tidak berdiri sendiri. Ia meyakini kebocoran itu ada kaitannya dengan kasus korupsi proyek KTP elektronik yang diselidiki Komisi Pemberantasan Korupsi sejak 2012 dan hingga kini belum tuntas terungkap.
Tak hanya itu, ia juga curiga, kejadian peretasan data pemilih hanya puncak gunung es yang baru sebagian mencair. Di luar itu, masih banyak peretasan yang tidak terdeteksi dan tidak diketahui. Hal ini bisa terjadi karena saat ini masih ada pola pikir jika peretasan harus disertai adanya benda fisik yang hilang. Sementara proses peretasan yang dilakukan bertahun-tahun sering tidak diketahui jika tidak ada yang menawarkan untuk dijual.