Pembobolan data di KPU menunjukkan gagalnya perlindungan unsur integritas
Integritas Komisi Pemilihan Umum (KPU) kembali dipertanyakan. Ini setelah beredar informasi soal bocornya 204 juta data DPT oleh akun anonim bernama Jimbo. Jimbo membagikan 500 data contoh dalam situs darkweb Breachforums.
Data yang dibagikan itu termasuk NIK, nomor Kartu Keluarga, nomor KTP, nomor passport untuk pemilih di luar negeri, nama lengkap, jenis kelamin, tanggal dan tempat lahor, status pernikahan, alamat lengkap, RT, RW, kodefikasi kelurahan, kecamatan dan kabupaten serta kodefikasi TPS.
Menyikapi itu, Ketua KPU Hasyim Asy'ari dalam keterangan resminya, Rabu (29/11) menyebutkan, tim KPU dan gugus tugas (BSSN, Cybercrime Polri, BIN dan Kemenkominfo) sedang bekerja menelusuri kebenaran informasi tersebut.
Namun dia memastikan kalau data DPT Pemilu 2024 (dalam bentuk softcopy), tidak hanya berada pada data center KPU. Tetapi banyak pihak yang memiliki data DPT tersebut.
"Karena memang UU Pemilu mengamanatkan kepada KPU untuk menyampaikan DPT softcopy kepada partai politik peserta Pemilu 2024 dan juga Bawaslu," kata Hasyim.
Yang dimaksud Hasyim berada di Pasal 208 ayat (4) pada UU Nomor 7 Tahun 2017 tentang Pemilu, yang menyebutkan Daftar Pemilih Tetap (DPT) disampaikan oleh KPU kabupaten/kota kepada KPU, KPU provinsi, PPK, dan PPS.
Kemudian pada ayat (5) menyatakan, KPU kabupaten/kota wajib memberikan salinan DPT kepada partai politik peserta pemilu di tingkat kabupaten/kota dan perwakilan partai politik peserta pemilu di tingkat kecamatan dalam bentuk salinan soficopy atau cakram padat dalam format yang tidak bisa diubah paling lambat tujuh hari setelah ditetapkan.
Namun Chairman & Founder of the Indonesia Cyber Security Forum (ICSF) Ardi Sutedja menegaskan, KPU harus tetap bertanggung jawab atas dugaan kebocoran data DPT tersebut. Ini karena KPU adalah walidata dalam hal kepemiluan. Di mana tugasnya di antaranya adalah mengumpulkan, memeriksa kesesuaian data, dan mengolah data.
Sehingga seharusnya, dalam menyebarkan data KPU harus berhati-hati agar tidak mudah dibocorkan oknum tertentu. Sehingga masyarakat tidak mempersoalkan integritas KPU. Di antaranya dengan menyusun regulasi berkaitan data akses dan data sharing untuk data-data pemilu. Hingga peningkatan kapasitas bagi seluruh penyelenggara pemilu terkait pentingnya pelindungan data pribadi dalam pemilu.
Apalagi kebocoran data DPT di KPU ditenggarai bukan sekali saja. Karena pada 2020, diduga juga terjadi kebocoran data DPT 2014. Hal itu disayangkan karena menandakan tidak ada perbaikan manajerial dan displin kerja di KPU.
"Kapan mau menyadari jika ada masalah. Ini sudah pernah terjadi. Mereka sepertinya enggak paham kalau data yang mereka kelola ini bahaya dan sensitif," kata dia saat dihubungi Alinea.id, Rabu (29/11).
"Kita tidak bisa berandai-andai. Memang kebocoran data bisa terjadi di KPU atau tempat lain. Tetapi yang jelas kebocoran data bukan dari satu sisi saja. Misalnya dari hardware atau perangkat saja. Makanya harus diaudit secara menyeluruh," ucap dia.
Dia juga menyoroti UU Pemilu yang menjadi rujukan KPU untuk menyebarkan data DPT. Dia menyebut, undang-undang tersebut dibuat pada saat banyak pihak belum mengerti tentang kebocoran data. Oleh karena itu, dia mengusulkan agar sebaiknya aturan soal itu disempurnakan lagi. Hal ini dimaksudkan untuk mencegah terulangnya penyebaran data pribadi secara ilegal.
Ditanya soal kekhawatiran pembobolan data pada saat penghitungan suara, dia menyebut, penyelenggara pemilu harus selalu mengecek ulang dalam setiap perhitungan dan tidak melulu mengandalkan otomatisasi. Karena dalam hal ini, peran manusia tetap menjadi penting untuk mencegah pembobolan data.
Sementara pengamat kejahatan siber Anton Setiyawan menyebut kalau pemilu adalah proses legitimasi bagi keberlanjutan kepemimpinan sebuah bangsa yang demokratis. Jadi, unsur integritas pada sistem pemilu menjadi poin penting yang harus dilindungi. Sehingga menjaga kepercayaan masyarakat terhadap proses dan hasil pemilu.
"Pembobolan data menunjukkan gagalnya perlindungan terhadap unsur integritas tersebut," kata dia yang juga mantan juru bicara BSSN ini.
KPU harus mengatur mekanisme saat menyebarkan data sehingga data tersebut tetap aman. Dan ada indikasi ini yang saat ini belum ada. Makanya, harus ada aturan yang menjamin penyebaran data secara aman dan memenuhi kaidah UU 27/2022 tentang Pelindungan Data Pribadi. Atau mengikuti saja Peraturan BSSN Nomor 8 Tahun 2020 tentang Sistem Pengamanan dalam Penyelenggaraan Sistem Elektronik
Dia pun mengungkapkan bahayanya serangan siber terhadap pelaksanaan pemilu. Di mana, merujuk pada beberapa pemilu sebelumnya di negara lain (US, Prancis, Inggris, dll), serangan siber pada pemilu dapat berupa illegal access, hacking, Denial of Services, dan hoax. Akibat yang ditimbulkan dapat meruntuhkan kepercayaan masyarakat, menimbulkan chaos karena saling gugat antarpartai politik, menurunkan minat investasi, bahkan mengancam keberlangsungan suksesi kepemimpinan
Di mana, target utama pelaku adalah menurunkan kredibilitas Pemerintah RI, mengganggu stabilitas politik, serta memengaruhi kebijakan dalam negeri. Kendati dari sisi pemerintah sudah dibentuk satgas. (Kemkominfo, Polri, dan BSSN). Tetapi, mereka hanya bertugas menjaga perimeter keamanan siber dari luar sistem. Mereka tidak bisa masuk ke sistem KPU karena dikhawatirkan mengganggu netralitas KPU. Untuk itu, perlu membentuk satgas dari internal KPU beserta unsur industri, praktisi, dan akademisi yang bisa membantu perkuatan sistem KPU dari dalam.
"Sebenarnya ini yang paling penting. Jangan sampai ada ilegal access pada sistem KPU pada proses penghitungan. Walapun penghitungan masih bersifat manual, tetapi prosesnya sudah digital. Harus dipastikan integritas data terjaga dan aman. Metoda yang mendasar adalah dengan enkripsi. Dan didukung dengan tata kelola Sistem Manajemen Keamanan Informasi yang baik sesuai amanat UU ITE," papar dia.