Data Kita Ada di Mana-mana

Bagaimana hasil penelusuran tim Direktorat Jenderal Kependudukan dan Pencatatan Sipil terhadap kebocoran data pribadi 279 juta penduduk Indonesia di situs RaidForums?

Setelah menerima informasi di media sosial tentang kebocoran data, tim kami segera mengecek website RaidForums. Di dalamnya, pelaku mencantumkan tautan sampel data individu yang bisa diunduh. Ada satu juta baris data. Kami mengunduh dan menganalisisnya untuk melihat struktur dan pola datanya. Setiap pengelola data pasti memiliki struktur data masing-masing. Struktur data SIM (surat izin mengemudi), sertifikat tanah, perbankan, dan Dukcapil berbeda. Begitu kami buka struktur datanya, terdapat noka (nomor kartu), e-mail, nomor handphone, jumlah tanggungan, tanggal kepesertaan. Setelah melihat itu semua, kami memastikan struktur data itu bukan milik Dukcapil Kementerian Dalam Negeri. Makanya kami terkejut, kok, selalu disebutnya kebocoran data kependudukan.

Seperti apa struktur data kependudukan?

Struktur data kami ada nomor KK (kartu keluarga), NIK (nomor induk kependudukan), nama, tempat lahir, tanggal lahir, pekerjaan, status perkawinan.

Kementerian Komunikasi dan Informatika menyatakan data yang bocor identik dengan data Badan Penyelenggara Jaminan Sosial Kesehatan. Apakah tim Dukcapil memperoleh temuan serupa?

Kami tidak sampai melihat struktur datanya milik lembaga mana. Kami hanya memastikan struktur seperti itu bukan struktur data Dukcapil. Mengenai apakah data tersebut berasal dari instansi tertentu, kita harus menunggu hasil penyelidikan kepolisian.

Bagaimana Kementerian Dalam Negeri selama ini menjalankan audit sistem untuk perlindungan data pribadi?

Kami menggunakan VPN (virtual private network), jalur khusus seperti jalan tol. Kedua, dengan firewall atau aplikasi-aplikasi pengamanan. Untuk audit sistem, kami terbantu Badan Siber dan Sandi Negara, Badan Pengkajian dan Penerapan Teknologi, serta Badan Pemeriksa Keuangan yang memiliki auditor teknologi informasi.

Apakah data kependudukan kita rawan diretas?

Orang yang berusaha meretas kan selalu banyak. Saya enam tahun menjadi direktur jenderal deg-degan juga mengelola data. Keamanan siber itu dinamis, proses yang terus-menerus. Seperti kita merawat bayi, 24 jam selama 365 hari. Sabtu-Minggu semua kantor tutup, Dukcapil tidak. Kami harus menjaga data center. Jadi hati kami enggak sepenuhnya tenang. Semua pihak membantu kami, termasuk para hacker, dengan tidak mengganggu.

Mengapa Anda sangat khawatir data kependudukan diretas?

Data Dukcapil adalah big data terbesar keempat di dunia setelah Cina, India, dan Amerika Serikat. Sesuai dengan jumlah penduduk. Cukup dengan mengetikkan nama, data Anda keluar semua. Diketikkan NIK, keluar datanya. Ini sudah digunakan oleh berbagai lembaga. Polri, misalnya, menggunakannya untuk pencarian korban kejahatan, korban bencana, dan pelaku kejahatan.

Sejauh mana akurasinya?

Tidak perlu DNA (asam deoksiribonukleat) lagi. Cukup foto wajah dan sidik jari sudah bisa.

Apakah semua warga negara Indonesia bisa diidentifikasi lewat foto wajah?

Kalau dia sudah foto KTP elektronik, tidak perlu waktu lama. Dua-tiga menit sudah bisa diketahui identitasnya. Sekarang sangat mudah.

Bagaimana sistem bisa mengenali seseorang yang mungkin wajahnya sudah tampak berbeda dengan foto di KTP elektronik?

Garis wajahnya tidak berubah. Perihal foto wajah di KTP elektronik, masyarakat boleh menggantinya sewaktu-waktu. Misalnya dulu belum berjilbab, sekarang berjilbab. Dulu berkumis, sekarang tidak berkumis. Jika Anda tidak berkumis tapi di foto KTP masih berkumis, bisa saja jadi persoalan saat berurusan dengan bank.

Bagaimana mengatasi persoalan tersebut?

Dukcapil mendorong proses digitalisasi di berbagai sektor, terutama di industri keuangan. Dengan teknologi face recognition, membuka rekening dengan NIK dan foto wajah bisa dari mana pun, tidak harus datang ke bank.

Dengan perkembangan kemampuan peretas yang sangat pesat, apakah sistem yang dimiliki Dukcapil sudah cukup kuat?

Sistem berkaitan dengan infrastruktur, seperti server dan storage. Infrastruktur di Dukcapil termasuk tertinggal jauh dibanding perkembangan zamannya. Data center kami dibangun pada 2004. Data center KTP elektronik dibangun pada 2010. Jadi kami masih menggunakan infrastruktur server, storage, alat-alat dari masa lalu. Aplikasinya sedikit demi sedikit kami perbarui. Sejujurnya, sistem di Dukcapil itu masih bertahan lebih banyak karena kekuasaan Tuhan.

Bagaimana kondisi proyek e-KTP setelah terhenti karena kasus korupsi?

Dukcapil pernah mengalami masa pahit. Tiga tahun pertama saya menjadi dirjen, banyak pegawai turun motivasinya karena hampir setiap hari diperiksa KPK. Lelang KTP elektronik gagal karena semua takut. Lalu sistem kami pernah mati pada 2016-2017. KTP elektronik tumbuh kembali setelah sistem diperbaiki pada 2018. Ketika saya masuk, penduduk yang memiliki KTP elektronik masih di kisaran 70-80 persen. Sekarang 99,11 persen. Masih kurang sekitar 4 juta. Sistem lelangnya juga tidak lagi lelang umum, tapi sudah lewat E-Katalog.

Bagaimana dengan beberapa daerah yang masih sering mengeluhkan habisnya blangko KTP elektronik?

Sekarang saya pastikan tidak ada. Saya baru saja turun ke 12 daerah, dari Kabupaten Bekasi sampai Kota Solo. Tidak ada blangko habis. Masih ada sekitar 9 juta keping yang kami distribusikan ke daerah.

Masyarakat di beberapa daerah juga masih mengeluhkan rumitnya pembuatan KTP elektronik karena berkas persyaratan yang cukup banyak.

Dulu mengurus KTP elektronik dengan pengantar rukun tetangga-rukun warga. Sekarang, di era saya, pengantar RT-RW dihapus. Petugas dukcapil daerah memang banyak yang belum tahu. Di kecamatan banyak yang masih pakai pengantar, padahal dalam peraturan presiden dan peraturan Menteri Dalam Negeri sudah kami hapus. Cukup menunjukkan kartu keluarga.

(M.A. Murtadho dari Tempo mengecek prosedur pembuatan kartu tanda penduduk elektronik di Kecamatan Tanah Sareal, Kota Bogor, Jawa Barat, Senin, 31 Mei lalu. Meski sudah membawa kartu keluarga, akta lahir, dan ijazah, pemohon masih diminta melengkapi berkas dengan surat pengantar rukun tetangga dan rukun warga. Camat Tanah Sareal, Shahib Khan Bustomi, mengatakan surat pengantar berguna untuk memvalidasi data dan mencegah pemalsuan data oleh pemohon.)

Salah satu pertanyaan masyarakat saat kasus korupsi e-KTP merebak adalah perihal lokasi server. Di mana Dukcapil menempatkan server e-KTP?

Dari dulu di sini.

Tidak ada server yang ditempatkan di luar negeri?

Sejak dibangun, data KTP elektronik disimpan di data center di Medan Merdeka Utara, di samping kantor Menteri Dalam Negeri. Data SIAK (Sistem Informasi Administrasi Kependudukan) yang lain, yaitu akta kelahiran, akta kematian, orang pindah, ada di bekas kantor Dukcapil di Kalibata, yang sekarang digunakan Kementerian Desa. Dukcapil masih punya satu lantai di sana. Lalu DRC (Disaster Recovery Center) di Batam. Jadi server dan data center kami semuanya di Indonesia.

Benarkah Dukcapil sedang kekurangan server untuk menyimpan data e-KTP?

Untuk menyimpan data saja cukup. Servernya tua-tua sehingga sulit untuk pengembangan.

Artinya server Dukcapil sekarang hanya cukup untuk menyimpan data?

Iya, betul. Kami kekurangan server sehingga sulit berinovasi dan mengembangkan kreativitas.

Kementerian Dalam Negeri berencana memungut penerimaan negara bukan pajak dari perusahaan-perusahaan swasta yang mengakses data dari Dukcapil. Bagaimana penjelasannya?

Kami sudah menggratiskan kerja sama pemanfaatan untuk verifikasi data selama delapan tahun sejak 2013. Kami ingin membangun sistem yang kuat, infrastruktur yang baru, karena infrastruktur kami sudah ketinggalan zaman. Apalagi teknologi berkembang sangat pesat. Kami membutuhkan sumber-sumber pembiayaan supaya kami bisa membangun itu. Maka kami desain penerimaan negara bukan pajak dari akses verifikasi data. Jadi kami tidak memberikan data, tapi akses verifikasi.

Direktur Jenderal Kependudukan dan Pencatatan Sipil Kementerian Dalam Negeri Zudan Arif Fakrulloh di acara Rapat Koordinasi Penyelenggaraan Adminduk se-Jawa Barat, Juni 2019. http://dukcapil.bangka.go.id/

Aturannya sudah ada?

Sedang dibahas bersama Kementerian Keuangan serta Kementerian Hukum dan Hak Asasi Manusia.

Berapa potensi pendapatan negara dengan skema ini?

Kami belum menghitung angka secara detail. Tapi dihitung saja, misalnya akses NIK untuk verifikasi per tahun bisa lebih dari satu miliar kali. Kalau sekali akses misalnya Rp 500, berarti Rp 500 miliar per tahun. Apabila kami gratiskan untuk lembaga negara, yang pelayanan publiknya gratis, misalnya BPJS Kesehatan, katakanlah hilang separuhnya, kita masih bisa mendapatkan pemasukan Rp 300 miliar per tahun. Tapi itu masuk ke negara, bukan Dukcapil. Nanti diberikan lagi ke Dukcapil untuk pembangunan infrastruktur, perbaikan aplikasi, dan pelatihan sumber daya manusia karena pegawai kami sampai kabupaten dan kota.

Bagaimana kerja sama pemanfaatan untuk verifikasi data yang berjalan selama ini?

Sekarang sudah ada 3.466 lembaga yang bekerja sama dengan Dukcapil. Pada awal saya menjadi dirjen, baru sekitar sepuluh lembaga, antara lain BPJS Kesehatan, BPJS Ketenagakerjaan.

Apa syarat dan ketentuan dalam kerja sama dengan lembaga negara dan pihak swasta?

Pertama, mereka harus membuat perjanjian kerja sama dulu. Kemudian sistem aplikasinya dicek aman atau tidak. Setelah itu ditentukan data apa yang hendak diverifikasi. Polri, misalnya, kami beri banyak, sampai verifikasi menggunakan sidik jari, nama keluarga. Semua anggota keluarga di kartu keluarga boleh dilihat. Sedangkan provider seluler hanya verifikasi NIK dan nomor KK.

Dengan pengaturan yang sangat ketat, apakah kebocoran data masih berpotensi terjadi?

Yang perlu diketahui adalah data kita ada di mana-mana. Setiap kali masuk sekolah atau kuliah diminta KTP dan KK. Begitu pula saat membuat sertifikat tanah, mengurus SIM dan BPJS. Coba Anda googling KTP elektronik, keluar jutaan foto KTP elektronik. Sama halnya dengan kartu keluarga, NPWP (nomor pokok wajib pajak), bahkan rekening bank dan sertifikat tanah. Itu fenomena di seluruh dunia karena masyarakat mudah membagikan data lewat pesan instan, e-mail, media sosial. Kita membagikannya gratis. Google jauh lebih kaya data daripada semua lembaga. Data nomor handphone saja punya.

Apa yang semestinya dilakukan masyarakat?

Masyarakat perlu membangun kewaspadaan, kepedulian tentang perlindungan data pribadi. Kita perlu saling mengedukasi bahwa data kita ada di mana-mana. Kita sering memberikan nomor handphone ke mana-mana. Jadi jangan mengatakan data saya aman, belum tentu.

Bagaimana masyarakat lebih mawas kalau dalam praktiknya untuk mengurus administrasi di instansi pemerintah masih diminta menyerahkan fotokopi KTP?

Tradisi kita di semua lembaga masih suka menyimpan dokumen. Semestinya yang disimpan kan data. Kalau mau semua lembaga bekerja sama dengan Dukcapil, mereka tidak perlu menyimpan datanya, cukup menyimpan NIK. Saat dibutuhkan baru dibuka.

Pemalsuan data KTP elektronik masih dijumpai di tengah masyarakat. Bagaimana Dukcapil mencegahnya?

Ke depan kami menggunakan minimal dua faktor untuk autentikasi, yaitu NIK dan foto wajah atau sidik jari. Sidik jari bisa langsung akses ke data center atau bisa juga dengan card reader. KTP dengan card reader. Kalau sekarang, banyak yang tertipu karena hanya satu faktor autentikasi, yaitu KTP. Kalau KTP sudah dipalsukan, enggak ada pembanding. Dengan dua faktor autentikasi, salah satu faktornya sebagai pembanding, misalnya NIK dan foto wajah, NIK dan sidik jari, atau NIK dan tanda tangan digital.

(Dari pengamatan Tempo di kantor Kecamatan Tanah Sareal, Kota Bogor, Senin, 31 Mei lalu, petugas pembuatan kartu tanda penduduk elektronik menerapkan empat langkah verifikasi dan pengecekan dokumen. Keabsahan dokumen dicek melalui aplikasi internal Dukcapil untuk menghindari duplikasi data. Melalui pemindaian biometrik, data pemohon dicek silang ke bank data e-KTP. Data baru yang diajukan pemohon akan dicocokkan dengan data lama yang telah tersimpan dalam database. Apabila ada perubahan data, misalnya status perkawinan, alamat, atau pekerjaan, pemohon diwajibkan menunjukkan bukti surat ketetapan pengadilan, surat pindah, atau dokumen penunjang lain.)

ZUDAN ARIF FAKRULLOH | Tempat dan tanggal lahir: Sleman, Daerah Istimewa Yogyakarta, 24 Agustus 1969 | Pendidikan: Fakultas Hukum Universitas Sebelas Maret, Surakarta, Jawa Tengah (1988-1992); Pascasarjana Ilmu Hukum Universitas Diponegoro, Semarang (1993-1995); Program Doktor Ilmu Hukum Universitas Diponegoro (1996-2001); Guru Besar Ilmu Hukum (sejak 2004) | Karier: Dosen Fakultas Hukum Universitas Wijaya Kusuma Surabaya (1993-2002); Dosen Fakultas Hukum Universitas 17 Agustus 1945 Surabaya (2002-2004); Dosen di Universitas Borobudur, Jakarta (sejak 2005); Dosen di Universitas Sebelas Maret (sejak 2017); Pegawai Negeri Sipil di Departemen Keuangan (1995-1996); Pegawai Negeri Sipil di Kementerian Dalam Negeri (sejak 1999); Kepala Biro Hukum Sekretariat Jenderal Kementerian Dalam Negeri (2011-2014); Ketua Program S-3 Ilmu Hukum Universitas Borobudur (2011-2016), Staf Ahli Menteri Dalam Negeri Bidang Hukum, Politik, dan Hak Asasi Manusia (2014-2015); Penjabat Gubernur Gorontalo (Oktober 2016-Mei 2017), Komisaris Independen Bank Mandiri Taspen (sejak 2018), Direktur Jenderal Kependudukan dan Pencatatan Sipil Kementerian Dalam Negeri (sejak 2015) | Organisasi: Ketua Umum Dewan Pengurus Korps Pegawai Republik Indonesia Nasional (sejak 2015), Ketua Umum Federasi Karate Tradisional Indonesia (2015-2019), Ketua Ikatan Keluarga Alumni Fakultas Hukum Universitas Sebelas Maret (sejak 2018) | Penghargaan: Satya Lencana PNS X dan XX, Penghargaan Menteri Dalam Negeri (2014)