Pihak BKN mengaku ada sebagian komputer untuk seleksi CASN milik BKN menggunakan pihak ketiga. Menurut ahli keamanan siber, ketika sudah menerapkan sistem komputerisasi, semestinya ditanamkan prinsip "zero trust".
Oleh
PRAYOGI DWI SULISTYO
·3 menit baca
JAKARTA, KOMPAS — Badan Kepegawaian Negara atau BKN berjanji akan memperketat standar operasional pengamanan dalam pelaksanaan tes seleksi calon aparatur sipil negara atau CASN selanjutnya. Kebijakan tersebut diambil setelah terindikasi adanya kecurangan dengan modus kendali jarak jauh saat pelaksanaan tahapan seleksi kompetensi dasar.
Sebelumnya, BKN menemukan kecurangan di Buol (Sulawesi Tengah), Enrekang, Sidenreng Rappang, Luwu, dan Makassar (Sulawesi Selatan), Mamuju, Pasang Kayu, dan Mamasa (Sulawesi Barat), Buton Selatan (Sulawesi Tenggara), serta Lampung. Kecurangan itu diduga melibatkan aparatur pemerintah setempat, dan ada 225 peserta tes yang terindikasi terlibat dalam kecurangan itu.
Kepala Biro Humas Hukum dan Kerja Sama BKN Satya Pratama mengatakan, kasus yang terjadi di delapan titik lokasi masih dalam tahap penyelidikan, sedangkan PNS yang terlibat di Buol sudah dinonaktifkan. Agar kecurangan tidak terjadi lagi pada tes selanjutnya, BKN akan menerapkan pengamanan lebih ketat lagi.
”Kami akan menerapkan SOP (standar operating procedure) pengamanan lebih ketat lagi dan lebih panjang prosedurnya serta beberapa hal lain juga,” kata Satya saat dihubungi di Jakarta, Kamis (28/10/2021). Satya enggan menjelaskan lebih lanjut SOP yang akan diterapkan karena sifatnya terbatas.
Ia mengungkapkan, pada kasus di Buol, seleksi dilakukan di titik lokasi mandiri instansi. Tidak semua komputer yang digunakan untuk seleksi milik BKN. Di titik lokasi mandiri, komputer yang digunakan ada yang milik instansi dan pihak ketiga. Adapun sistem CAT (computer assisted test) milik BKN.
Koordinator Indonesia Cyber Security Forum Ardi K Sutedja mengaku terkejut ketika seleksi sepenting ini menggunakan komputer pihak ketiga. Ketika sudah menerapkan sistem komputerisasi, harus ditanamkan prinsip zero trust.
Ia menjelaskan, modus kejahatan elektronik pasti terorganisasi dengan baik dan melibatkan orang internal. Karena itu, seharusnya ada kajian yang mendalam dan dampak analisis risiko ketika ingin menerapkan sistem komputerisasi untuk berbagai hal.
Pengguna teknologi dalam kerangka transformasi digital sangat bergantung pada pihak ketiga. Karena itu, perlu ada uji coba untuk mempersempit potensi kejahatan. ”Tidak ada sistem yang aman. Karena itu, harus ada uji kerentanan,” tegas Ardi.
Menurut Ardi, sistem yang digunakan dalam tes CPNS ini dapat dibobol karena tidak pernah diperhitungkan risikonya. Sebab, ketika terjadi kasus di beberapa tempat, hal itu menunjukkan bahwa sistem yang digunakan bermasalah.
Ombudsman RI menganalisis, salah satu pemicu kecurangan pada tes SKD calon aparatur sipil negara ada pada komputer peserta yang tidak dikonfigurasi dengan baik. Hal tersebut memungkinkan oknum dapat melakukan instalasi aplikasi pihak ketiga untuk melakukan kendali jarak jauh.
Anggota Ombudsman RI, Robert Na Endi Jaweng, mengatakan, Ombudsman memberikan beberapa masukan terkait persoalan ini. Penyelenggara harus memastikan komputer yang digunakan peserta steril dan tidak bisa diinstal perangkat lunak pihak ketiga atau perangkat lunak lain di luar yang dibutuhkan untuk mengerjakan CAT.
”Jaringan yang digunakan harus tertutup, memblokir seluruh koneksi internet kecuali ke sistem CAT atau menggunakan jaringan lokal di setiap titik lokasi SKD,” kata Robert.
Selain itu, perlu dipasang firewall atau sistem keamanan jaringan komputer pada setiap lokasi untuk memblokir network traffic atau data yang bergerak di jaringan yang bersifat kendali jarak jauh. Perlu juga dipastikan ada personel yang memonitor jaringan secara terus-menerus di setiap titik lokasi SKD selama CAT berlangsung.