Jaga Kepercayaan Publik, KPU Perlu Audit Insiden Siber
KPU menegaskan bahwa data yang disimpan KPU, termasuk data pemilih, aman. Meski begitu, KPU tetap perlu melakukan audit demi menjaga kepercayaan masyarakat.
Oleh
IQBAL BASYARI, DIAN DEWI PURNAMASARI
·4 menit baca
JAKARTA, KOMPAS — Komisi Pemilihan Umum menepis dugaan kebocoran 105 juta data pemilih yang dijual di situs Breached Forum. Namun, bantahan itu semestinya diikuti dengan audit insiden siber untuk menjaga kepercayaan publik bahwa seluruh data pemilih benar-benar aman.
Anggota Komisi Pemilihan Umum, Betty Epsilon Idroos, yang dihubungi dari Jakarta, Kamis (8/9/2022), mengatakan, KPU sudah melakukan pengecekan terhadap setiap isi dari elemen data di forum underground tersebut. Hasil analisis menunjukkan bahwa data tersebut bukan bersumber dari KPU. ”Data yang dikelola KPU adalah data yang dijaga dari sisi otentitas, keamanan, dan kerahasiaannya, termasuk dalam hal ini data pemilih,” ujarnya.
Sebagai tindak lanjut terkait dugaan kebocoran data itu, lanjut Betty, KPU akan bekerja sama dengan Kepolisian RI khususnya siber polri untuk mengusut pelaku tersebut. Pengusutan dan penelusuran dilakukan dari sisi penjual ataupun orang yang dengan sengaja membuat seolah-olah merupakan data pemilih Pemilu 2019.
Sebelumnya, akun Bjorka di laman breached.to menjual data yang diklaim berasal dari KPU. Dalam sampel data yang dibagikan terdapat beberapa data yang identik dengan data pemilih tetap dari KPU, di antaranya nomor induk kependudukan, nama, tempat lahir, tanggal lahir, TPS, dan disabilitas.
Anggota KPU, Idham Holik, menambahkan, data di laman tersebut berbeda dengan data milik KPU. Jika dibandingkan dengan data di daftar pemilih tetap (DPT), urutan datanya berbeda. Selain itu, tidak semua data DPT tercantum dalam situs tersebut. ”Kami tegaskan bahwa data di KPU aman, baik data pemilih di server Sidalih maupun data keanggotaan parpol di server Sipol,” katanya.
Adapun data di DPT secara urut adalah nomor, nomor kartu keluarga, nomor induk kependudukan, nama, tempat lahir, tanggal lahir, status perkawinan, jenis kelamin, alamat, disabilitas, dan keterangan. Sementara data yang dijual di forum tersebut secara urut adalah kode provinsi, kode kota, kode kecamatan, kode kelurahan, provinsi, kabupaten, kecamatan, kelurahan, TPS, nomor kartu keluarga, nomor induk kependudukan, nama, tempat lahir, tanggal lahir, usia, jenis kelamin, alamat, dan disabilitas.
Kami tegaskan bahwa data di KPU aman, baik data pemilih di server Sidalih maupun data keanggotaan parpol di server Sipol.
Direktur Lembaga Riset Keamanan Siber (Cissrec) Pratama Persada menyampaikan, temuan dugaan kebocoran data 105 juta data pemilih seharusnya ditindaklanjuti Komisi Pemilihan Umum (KPU) dengan melakukan audit insiden siber. Auditor insiden tersebut seharusnya berasal dari pihak eksternal yang profesional dan independen sehingga hasil audit digital forensik dan investigasinya dapat dipertanggungjawabkan.
Hasil audit digital forensik dan investigasi itu juga akan mengetahui apakah ada jejak peretasan atau tidak. Jejak peretasan yang dimaksud adalah celah keamanan yang digunakan peretas untuk masuk. Tak hanya itu, audit juga bisa mengetahui apakah ada aktivitas mencurigakan yang dilakukan oleh orang dalam KPU.
”Untuk melakukan investigasi digital forensik dan melakukan pengecekan semua sistem komputer yang ada, itu cukup membutuhkan waktu. Biasanya, organisasi sebesar KPU membutuhkan waktu 2-3 minggu. Kalau dalam satu-dua hari sudah bisa menyimpulkan hasil audit digital forensiknya, agak bingung juga. Hebat sekali tim TI KPU,” tutur Pratama.
Dia membeberkan, jika audit menemukan tidak ada serangan digital, tetapi kebocoran dari oknum orang dalam KPU, pelaku bisa terancam Pasal 30 Ayat (1), (2), dan (3) Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (UU ITE). Ancaman pasal itu adalah hukuman pidana maksimal delapan tahun penjara dan denda Rp 800 juta.
”Jika memang hasil audit menyebutkan bahwa ada insider threat (kebocoran dari orang dalam KPU), berarti sistem tata kelola IT di KPU memang berantakan dan harus segera diperbaiki. Sebab, data Daftar Pemilih Tetap (DPT) dan data yang ada di KPU adalah data yang diinginkan oleh semua orang yang berkepentingan dengan pemilu,” tuturnya.
Menurut dia, orang-orang yang berkepentingan dengan data pemilu itu beragam, seperti lembaga survei, pemerintah, dan partai peserta pemilu. Jika ada oknum yang membocorkan data itu dari dalam, dampaknya sangat fatal. Sebab, bisa membuat hasil pemilu tidak natural.
Selain itu, kata Pratama, data pribadi pemilih ini juga rawan digunakan untuk iklan-iklan politik dan semua hal yang berkaitan dengan Pemilu 2024. Dia menyebut saat pemilu presiden di Amerika Serikat tahun 2016, ada skandal besar bernama Cambridge Analityca yang menggunakan data Facebook secara ilegal. Data itu digunakan untuk iklan politik tertarget dengan konten iklan sesuai profil masing-masing pemilik data. Ini berdampak pada hasil pemilu yang tak natural karena bisa membujuk rayu pemilih untuk memilih calon yang diarahkan.
Sekretaris Jenderal Komite Independen Pemantau Pemilu (KIPP) Kaka Suminta sependapat, audit mesti dilakukan oleh KPU untuk memastikan tidak ada data yang dicuri. Sebab, setiap penggunaan teknologi selalu berpotensi mendapatkan serangan pencurian data. ”Harus ada tim independen untuk melakukan audit demi memastikan tidak ada data yang bocor," ujarnya.
Selain itu, lanjutnya, peningkatan perangkat keamanan mutlak dilakukan agar potensi kebocoran data bisa dikurangi. Sebab pemilu amat membutuhkan kepercayaan publik, terlebih seluruh data pemilih tersimpan di server milik KPU.