Pratama pernah berada di dalamnya. Ketika itu dia sebagai Ketua Tim Lembaga Sandi Negara (sekarang Badan Siber dan Sandi Negara/BSSN) Pengamanan Teknologi Informasi (TI) KPU pada Pemilu 2014.
Wajar kalau Pratama mengingatkan KPU, apalagi pada tahun ini ada agenda pemilihan kepala daerah (pilkada) serentak yang penahapannya sempat mengalami penundaan.
Semula pilkada serentak di 270 daerah (9 provinsi, 37 kota, dan 224 kabupaten) dijadwalkan 23 September, kemudian ditunda hingga 9 Desember 2020 gegara pandemik Coronavirus Disease 2019 (COVID-19).
Oleh karena itu, Ketua Lembaga Riset Keamanan Siber dan Komunikasi CISSReC ini mewanti-wanti KPU jangan sampai menjadi isu tersendiri bagi penyelenggara pemilihan umum ini.
Setiap gelaran pemilu/pilkada, Pratama khawatir KPU selalu mendapat ancaman untuk diretas. Padahal, selama ini sistem TI KPU selalu dijadikan rujukan saat hitung cepat hasil pemilu maupun pilkada.
Pratama juga melihat ada kemungkinan data yang disebar sebelumnya sudah ada di publik karena data Pemilu 2014 sudah lama tersebar di forum internet.
Seluruh data daftar pemilih tetap (DPT) ternyata juga di-share ke beberapa pemangku kepentingan KPU. Akan tetapi, kalau melihat isi folder DPT DIY yang ikut dipublis, sepertinya ada kemungkinan memang si peretas bisa masuk ke sistem TI KPU atau sistem TI pemangku kepentingan KPU yang juga memiliki data ini.
Untuk memastikannya, pakar keamanan siber ini memandang perlu segera melakukan audit keamanan informasi atau audit digital forensic ke sistem TI KPU untuk menjawab isu kebocoran data ini. Audit ini juga bisa menemukan sebab dan celah kebocoran sistem kalau memang ada.
Kalau pelaku bisa masuk ke server KPU, ada kemungkinan tidak hanya DPT yang mereka ambil, tetapi juga bisa mengakses hasil perhitungan pemilu.
Secara teknis, kalau peretas bisa mencuri data, ada kemungkinan juga bisa mengubah data. Sangat bahaya sekali apabila hasil pemungutan suara pemilu diubah angkanya.
Pengecekan Server
Sehubungan dengan dugaan jutaan data warga yang diretas, KPU langsung melakukan pengecekan lebih lanjut terkait dengan keamanan server data milik penyelenggara pemilu ini.
Sejak adanya klaim peretasan tersebut, kata anggota KPU RI Viryan Azis di Jakarta, Jumat, pihaknya bekerja sejak Kamis (21/5) malam menelusuri berita tersebut lebih lanjut, kemudian melakukan cek kondisi internal (server data), lalu berkoordinasi dengan pihak-pihak terkait.
Terkait dengan unggahan salah satu akun media sosial mengenai kebocoran data pemilih itu, menurut Viryan, data tersebut merupakan soft file dari daftar pemilih tetap pada Pemilu 2014.
Dijelaskan pula bahwa soft file data KPU tersebut (format pdf) dikeluarkan sesuai dengan regulasi dan untuk memenuhi kebutuhan publik bersifat terbuka. Picture ini berdasarkan metadata (informasi tentang asal, struktur, karakteristik, dan sebagainya dari seperangkat data) pada tanggal 15 November 2013.
Menyinggung soal jumlah datar pemilih tetap pada Pemilu Presiden 2014, dia mengatakan bahwa data itu tidak sampai 200 juta jiwa, tetapi 190 juta jiwa.
Sebelumnya, pada hari Kamis (21/5) peretas mengklaim telah membobol 2,3 juta data warga Indonesia dari KPU. Informasi itu datang dari akun @underthebreach yang sebelumnya mengabarkan kebocoran data ecommerce Tokopedia di awal bulan ini.
"Aktor (peretas) membocorkan informasi 2.300.000 warga Indonesia. Data itu termasuk nama, alamat, nomor ID, tanggal lahir, dan lainnya," cuit @underthebreach.
Akun itu juga menyebutkan bahwa data tersebut tampaknya merupakan data tahun 2013. Tidak hanya itu, peretas juga mengklaim akan membocorkan 200 juta data lainnya.
Pelindungan Data
Doktor Pratama Persadha memandang penting KPU melindungi data pemilih dari peretas. Masalahnya, jika pihak tidak bertanggung jawab menyebarkan dan menggunakannya, khususnya nomor kartu tanda penduduk (KTP) dan kartu keluarga.
Ketika dicek di Raid Forums, data yang disajikan plain dan bisa di-download member secara gratis.
Adapun data yang disebar di forum internet mencakup nama, jenis kelamin, alamat, nomor KTP dan KK, tempat tanggal lahir, usia, status lajang atau menikah.
Data yang disebar pelaku adalah data pada tahun 2013, setahun sebelum Pemilu 2014. Sebagian besar di antaranya data pemilih DIY. Akun yang menyebarkan di Raid Forums adalah Arlinst.
Data yang disebar tanpa enkripsi sama sekali. Nomor KTP dan KK bersamaan, misalnya, bisa untuk mendaftarkan nomor seluler dan melakukan pinjaman daring (online) bila pelaku mahir melengkapi data.
Saat dicek kembali, halaman yang dibuka oleh akun Arlinst ini sudah hilang. Bahkan, saat dicek di Twitter banyak akun yang men-tracking akun Arlinst dan mencurigai akun tersebut sedang mencari sensasi, terlihat dari beberapa akun medsos dan marketplace-nya.
Terakhir di Raid Forums terpantau data sudah di-download oleh sekitar 100 akun. Untuk men-donwnload sendiri harus memiliki minimal delapan kredit, yang setiap 30 kredit harus dibeli seharga delapan euro via paypal.
Meski KPU menjelaskan bahwa itu adalah data terbuka, menurut Pratama, bukan berarti tidak perlu dilindungi. Bukan informasi rahasia, melainkan informasi yang perlu dilindungi minimal dienkripsi agar tidak sembarangan orang bisa memanfaatkan.
"Apalagi, verifikasi data DPT hanya perlu data nomor induk kependudukan (NIK), bukan semua data dijadikan satu, apalagi tanpa pengamanan," kata pria kelahiran Cepu, Kabupaten Blora, Jawa Tengah ini.
Bila data ini dikombinasikan dengan data Tokopedia dan Bukalapak yang lebih dahulu terekspos, akan dihasilkan data yang cukup berbahaya dan bisa dimanfaatkan untuk kejahatan. Misalnya, mengombinasikan data telepon dari marketplace dengan data KTP dan KK. Hal ini jelas ini sangat berbahaya.
Peretasan terhadap sistem TI KPU ini juga harus menjadi peringatan bagi Direktorat Jenderal Kependudukan dan Pencatatan Sipil (Ditjen Dukcapil) Kementerian Dalam Negeri RI agar bisa mengamankan data kependudukan. Perlu dipikirkan lebih jauh terkait dengan pengamanan enkripsi pada data penduduk.
Kerawanan ini harus menjadi catatan penting bagi dukcapil untuk selalu waspada. Jangan sampai sistem ditembus, kemudian dimodifikasi sesuka peretas, kata Pratama yang juga dosen Etnografi Dunia Maya pada Program Studi S-2 Antropologi Universitas Gadjah Mada (UGM) Yogyakarta.
Dengan demikian, kebocoran data pemilih ini tidak saja merugikan masyarakat, tetapi KPU perlu segera melakukan audit digital forensic ke sistem TI KPU, sebagaimana saran dari pakar keamanan siber Dr. Pratama Persadha.
Hal ini penting, tidak sekadar menjawab isu kebocoran data tersebut, tetapi juga mengamankan sistem TI KPU agar hackers tidak mudah meretas, apalagi sampai mengacak-acak data hasil Pilkada Serentak 2020.
Pewarta: D.Dj. Kliwantoro
Editor: Chandra Hamdani Noor
Copyright © ANTARA 2020