Baca berita dengan sedikit iklan, klik di sini
Poin penting
BSSN terus berkoordinasi dengan KPU dalam mengusut kasus dugaan kebocoran data DPT.
Dugaan kebocoran data tidak bakal mengganggu pencetakan suara dan salinan DPT untuk Pemilu 2024
Pengamat menilai penelusuran peretasan data tersebut sebetulnya tidaklah rumit.
JAKARTA – Badan Siber dan Sandi Negara (BSSN) menyatakan tengah melakukan forensik digital dalam menangani dugaan kasus kebocoran data yang dialami Komisi Pemilihan Umum. Badan Siber menyelisik aplikasi dan server atau peladen KPU untuk mencari penyebab adanya dugaan kebocoran 204 juta data pemilih tetap pada Pemilu 2024.
Baca berita dengan sedikit iklan, klik di sini
“BSSN melakukan analisis dan forensik digital dari sisi aplikasi dan server untuk mengetahui root cause dari insiden siber di KPU,” ujar juru bicara BSSN Ariandi Putra lewat siaran persnya pada Jumat, 1 Desember 2023. Root cause dilakukan untuk menemukan akar penyebab masalah guna mengidentifikasi solusi yang tepat.
Ariandi menjelaskan, lembaganya terus berkoordinasi dengan KPU dalam mengusut kasus ini. Badan Siber nantinya melaporkan hasil penyelisikan tersebut dan menyampaikan rekomendasi peningkatan keamanan sistem informasi milik KPU. “Hasil investigasi serta perkembangan tindak lanjut dari dugaan insiden kebocoran data akan disampaikan langsung oleh KPU selaku penyelenggara sistem elektronik,” ujarnya.
Baca berita dengan sedikit iklan, klik di sini
Baca berita dengan sedikit iklan, klik di sini
Penyelidikan ini bermula dari dugaan bocornya 252 juta data daftar pemilih tetap (DPT) Pemilu 2024. Data tersebut diduga bocor dan diperjualbelikan di forum daring. Insiden dugaan kebocoran data pribadi itu menyasar situs web resmi KPU pada Senin, 27 November lalu. Peretas dengan akun anonim “Jimbo” mengklaim mendapatkan data tersebut dari situs web lembaga penyelenggara pemilu. Jimbo ditengarai menjual data tersebut di forum daring BreachForums dengan harga US$ 74 ribu atau sekitar Rp 1,1 miliar.
Data yang dijual sang peretas meliputi data privasi pemilih, dari nomor kartu identitas, hingga alamat rumah. Dugaan kebocoran data di KPU ini sejatinya bukan yang pertama kali terjadi. Pada September 2020, ditengarai ada 105 juta data pribadi pemilih pada DPT Pemilu 2014 bocor di Internet. Peretas Bjorka disebut-sebut menjual 105 juta data penduduk yang diklaim didapat dari situs web KPU.
Petugas Komisi Pemilihan Umum (KPU) beraktivitas di kantor KPU, Jakarta, 8 Mei 2024. ANTARA FOTO/M Risyal Hidayat
Ariandi menegaskan lembaganya terus berkoordinasi dengan KPU untuk menelusuri dugaan peretasan data pemilih itu. “Kami siap memberikan asistensi serta rekomendasi peningkatan keamanan terhadap sistem informasi milik KPU,” ujarnya.
Kementerian Komunikasi dan Informatika (Kominfo), sebagai pengampu untuk Undang-Undang Pelindungan Data Pribadi, telah meminta klarifikasi kepada KPU. Klarifikasi itu dilakukan karena KPU merupakan penyelenggara sistem elektronik sehubungan dengan dugaan kebocoran data DPT.
Direktur Jenderal Aplikasi Informatika Kementerian Kominfo Semuel Abrijani Pangerapan menyebutkan langkah klarifikasi itu sesuai dengan amanat Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi. Semuel menjelaskan, lembaganya mengirim surat lewat e-mail atau surat elektronik kepada KPU dan memberi waktu tiga hari untuk merespons hal tersebut. “Sambil menunggu, kami juga menelusuri dengan mengumpulkan data yang ada di publik,” ujarnya seperti dilansir Antara, kemarin.
Saat ini, Kementerian Kominfo masih menunggu jawaban KPU terhadap dugaan kebocoran data pemilih tersebut. “Kami tetap tunggu jawaban dan klarifikasinya,” ujar Semuel.
Komisioner KPU Idham Holik mengatakan lembaganya masih menunggu hasil investigasi BSSN terhadap dugaan kebocoran data pemilih. KPU menegaskan bakal segera memberikan informasi dugaan kebocoran data DPT tersebut setelah hasil investigasi BSSN selesai dilakukan. Idham mengakui selama ini memang banyak serangan terhadap sistem informasi yang dikelola KPU. Namun, menurut dia, dari laporan dan reportase tim informasi dan teknologi, selama ini sistem di KPU terproteksi. “Data yang bocor sekarang ini, kami juga belum tahu apakah data dari KPU atau bukan,” ujarnya.
Idham menuturkan data DPT, selain dimiliki KPU, dipegang oleh Badan Pengawas Pemilu (Bawaslu) dan partai politik peserta pemilu. Sebab, Undang-Undang Pemilu memerintahkan KPU menyerahkan salinan DPT pemilu ataupun pemilihan kepala daerah kepada Bawaslu dan partai politik.
Meski begitu, KPU sebagai pengguna hak akses verifikasi data kependudukan dari Dinas Kependudukan dan Pencatatan Sipil menerapkan zero data sharing policy atau tidak berbagi pakai data dengan lembaga lain sesuai dengan peraturan Menteri Dalam Negeri. “Data berupa nomor induk kependudukan atau NIK data pemilih kami tutup sebagai bentuk pelindungan data pribadi,” ujarnya.
Idham menegaskan dugaan kebocoran data tersebut tidak bakal mengganggu pencetakan suara dan salinan DPT untuk pemungutan suara di tempat pemungutan suara yang akan berlangsung pada 14 Februari 2024. “Kami pastikan semuanya tidak terganggu dalam proses pemungutan suara,” ujarnya.
Menanggapi dugaan kebocoran data DPT, pakar keamanan siber dan forensik digital dari Vaksincom, Alfons Tanujaya, menilai penelusuran peretasan data tersebut tidaklah rumit. Menurut dia, BSSN dengan kapasitas yang dimiliki semestinya sudah bisa mengetahui data siapa yang dibobol, siapa yang menjebol data tersebut, hingga kapan data itu diretas. ”Dari proses digital forensik yang mereka lakukan sebenarnya juga sudah bisa langsung diketahui bagaimana dugaan pembobolan data tersebut terjadi,” ujarnya.
Ketua Komisi Pemilihan Umum (KPU) Hasyim Asy'ari menyampaikan keterangan terkait pengumuman pendaftaran partai politik calon peserta Pemilu 2024 di Jakarta, 29 Juli 2022. TEMPO / Hilman Fathurrahman W
Penerapan ISO 27001 dan ISO 27701
Alfons menilai pemerintah kerap mengulur waktu untuk menjelaskan insiden pencurian data pribadi. Bahkan lembaga pemerintah cenderung menutupi dugaan pembobolan data yang mereka alami. “Ini seperti mau dipetieskan. Jadi diulur waktunya hingga membuat publik lupa atas kejadian ini.”
Dugaan kebocoran data yang berulang terjadi di lembaga penyelenggara pemilu membuktikan bahwa mereka belum bisa melindungi data yang ada secara baik. Menurut Alfons, pengamanan data bakal lebih maksimal jika informasi dan teknologi di KPU berdisiplin mengikuti standar pengamanan, seperti menerapkan ISO 27001 dan ISO 27701. ”Meski tidak bisa memastikan bahwa data mereka tidak bakal jebol, disiplin dalam mengikuti standar ISO merupakan bentuk pelindungan data,” ujarnya.
ISO 27001 merupakan standar untuk sistem manajemen keamanan informasi. Persyaratan yang harus dipenuhi dalam penerapan ISO 27001 adalah memastikan organisasi atau lembaga memiliki kontrol dalam keamanan informasi, menunjukkan tata kelola dalam penanganan dan pengamanan informasi, serta adanya mekanisme untuk mengukur berhasil-tidaknya kontrol pengamanan.
Adapun standar internasional ISO 27701 memberikan pedoman bagi lembaga untuk melindungi privasi dan penanganan data pribadi. Ini juga sebagai cara untuk menunjukkan kepatuhan terhadap peraturan pelindungan data.
Mengikuti standar pengamanan ISO 27001 dan 27701 secara disiplin, Alfons menilai para hacker atau peretas data bisa terdeteksi dengan cepat. Deteksi tersebut bisa diketahui siapa penggunanya serta di mana dan kapan mereka membobol dan meretas. Sebab, semuanya tercatat dengan sistem pengamanan ISO. “Ini ada data lebih dari 200 juta dicuri, tapi tidak bisa terdeteksi langsung. Ini kan lucu,” ujarnya.
Menurut Alfons, nomor identitas dari data NIK yang diperlihatkan peretas tidak ditutup seperti yang dimiliki KPU. Adapun data NIK yang diserahkan ke Bawaslu, kata dia, bagian belakang nomor tersebut ditutup. “Data yang disebar oleh peretas tidak ditutup. Artinya, KPU bisa dikatakan tidak menjalankan pengamanan data dengan baik,” ujarnya.
IMAM HAMDI
- Akses edisi mingguan dari Tahun 1971
- Akses penuh seluruh artikel Tempo+
- Baca dengan lebih sedikit gangguan iklan
- Fitur baca cepat di edisi Mingguan
- Anda Mendukung Independensi Jurnalisme Tempo
Foto 
