SUMUTPOS.CO – Di tengah tahapan Pemilu 2024 yang kian mendekati puncaknya, keamanan data pemilih tengah menjadi sorotan. Pasalnya, ada dugaan jika data yang bersumber dari Daftar Pemilih Tetap (DPT) itu bocor.
DUGAAN kebocoran itu terungkap setelah akun Jimbo di situs peretasan BreachForums mengunggah data yang diduga dari situs KPU pada Senin (27/11) pukul 09.21 WIB. Dugaan itu menguat setelah menampilkan beberapa tangkapan layar dari situs pengecekan DPT website KPU.
Akun Jinggu mengklaim memiliki 252.327.304 data. Akun tersebut menyediakan 500 ribu data sebagai sampel. Elemen data yang dibobol terdiri dari nama, Nomor Induk Kependudukan (NIK), tanggal lahir, hingga alamat. Jimbo menawarkan bocoran data tersebut seharga 74 juta dollar atau sekitar Rp1,2 miliar.
Komisioner KPU RI Betty Epsilon Idroos mengatakan, pihaknya sudah memantau dugaan tersebut. Saat ini, pihaknya tengah melakukan pengecekan. “Tim KPU dan Gugus Tugas sedang bekerja menelusuri kebenaran dugaan sebagaimana pemberitaan,” ujarnya, Rabu (29/11).
Gugus tugas pengamanan siber sendiri, sudah dibentuk KPU sejak awal tahapan kampanye 2022 lalu. Tim terdiri dari BSSN, Cybercrime Polri, BIN dan Kemenkominfo.
Namun Betty menerangkan, data DPT 2024 dalam bentuk softcopy tidak hanya berada di data center KPU. Data itu juga dimiliki banyak pihak seperti partai politik dan Bawaslu. “Karena memang UU Pemilu mengamanatkan kepada KPU untuk menyampaikan DPT softcopy kepada partai politik peserta Pemilu 2024 dan juga Bawaslu,” imbuhnya.
Namun jika melihat jumlah data yang diklaim dimiliki, Betty menilai ada ketidakcocokan dengan data DPT KPU. Data DPT yang telah ditetapkan berjumlah 204,8 juta. Sementara yang diklaim Jimbo lebih dari 250 juta. “Ya kan teman-teman tau berapa jumlah data yang sudah kita tetapkan sedunia kan. Gak sampai segitu,” terangnya.
Chairman Lembaga Riset Keamanan Siber CISSReC Pratama Persadha mengatakan, dengan adanya tangkapan layar situs KPU dengan dashbord pengguna itu, maka diduga kuat Jimbo mendapatkan akses login dari domain sidalih.kpu.go.id. “Bisa jadi dengan metode phising, malware, atau social engineering,” paparnya.
Bila benar-benar Jimbo mendapatkan akses role admin, dampaknya bisa berbahaya. Sebab, bisa digunakan untuk kepentingan politik tertentu. “Ini bisa mencederai pesta demokrasi bahkan menimbulkan kericuhan,” ujarnya.
Menurutnya, pihaknya sebenarnya telah mengirimkan alert kepada Ketua KPU tentang kerentanan sistem KPU pada 7 Juni 2023 lalu. Namun, ternyata sistem masih semacam itu. “Untuk mengetahui titik serangan perlu dilakukan audit dan investigasi sistem keamanan server KPU,” jelasnya.
Sementara Direktur Tindak Pidana Siber (Dirtipid Siber) Bareskrim Brigjen Adi Vivid Agustiadi Bachtiar mengatakan, pihaknya telah mendeteksi adanya dugaan kebocoran data KPT melalui patroli siber. “Saat ini tengah dilakukan koordinasi untuk melakukan penyelidikan,” paparnya.
Sementara itu, Direktur Eksekutif Lembaga Studi dan Advokasi Masyarakat (ELSAM) Wahyudi Djafar turut menyoroti peretasan terhadap data pemilih di KPU. Dia menyatakan bahwa kebocoran data tersebut diduga terjadi pada data pemilih yang telah ditetapkan menjadi DPT.
Dengan sistem yang telah dikembangkan oleh KPU seperti Sistem Informasi Pendataan Pemilih (Sidalih), Wahyudi menilai, mestinya KPU harus mampu melindungi data tersebut. Dengan kebocoran data yang terjadi belakangan ini, Wahyudi menyampaikan bahwa KPU harus secepatnya memastikan implementasi standar dan prinsip perlindungan data pribadi sebagaimana diatur dalam Undang-Undang Perlindungan Data Pribadi (UU PDP). “Guna menjamin hak-hak subjek data, KPU perlu mengembangkan kebijakan perlindungan data pribadi untuk penyelenggaraan pemilu,” terang dia.
Tidak sampai di situ, ada beberapa hal lain yang juga perlu dilakukan oleh KPU. Di antaranya dengan melakukan pengembangan pedoman perilaku perlindungan data pribadi bagi penyelenggara pemilu. Kemudian pengadopsian standar kepatuhan perlindungan data pribadi pada seluruh sistem informasi yang dikembangkan juga perlu dilakukan. “Terutama yang memproses data pribadi. Baik pemilih maupun kandidat,” imbuh Wahyudi.
Lebih lanjut, ELSAM mendorong beberapa aspek yang perlu dilakukan pasca kasus kebocoran data tersebut. Salah satunya mereka meminta KPU segera melakukan investigasi internal untuk mengidentifikasi sumber kegagalan perlindungan, menganalisis informasi yang berkaitan dengan insiden selanjutnya, dan memprioritaskan penanganan insiden berdasarkan tingkat dampak yang terjadi. Selain itu, ELSAM meminta KPU mendokumentasikan bukti insiden yang terjadi. “Dan mengurangi dampak risiko,” kata Wahyudi.
Tidak hanya KPU, Wahyudi menyampaikan bahwa pihaknya juga meminta Badan Pengawas Pemilu (Bawaslu) sebagai lembaga pengawas pemilu memastikan KPU menjamin perlindungan data pribadi milik pemilih. “Sebagai bagian dari perlindungan hak pemilih sekaligus upaya menjaga integritas pemilu,” kata.
Di sisi lain, Badan Siber dan Sandi Negara (BSSN) segera mengevaluasi penerapan standar keamanan dalam pengembangan aplikasi khusus KPU. Menurut Wahyudi hal itu sesuai dengan aturan dalam Peraturan Presiden (Perpres) Nomor 95 Tahun 2018 tentang Sistem Pemerintahan Berbasis Elektronik. “Melalui suatu proses assessment dan audit berkala untuk mitigasi ke depan,” jelas dia. Selain itu, BSSN juga diminta segera melakukan berbagai upaya pengurangan risiko keamanan dan serangan yang dapat mengganggu keandalan sistem informasi tersebut.
Terakhir, ELSAM meminta Kementerian Komunikasi dan Informatika (Kemenkominfo) sebagai existing otoritas perlindungan data pribadi sesuai dengan PP Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik. Kemudian, mereka juga meminta Kemenkominfo memberikan asistensi dalam pengembangan standar kepatuhan perlindungan data pribadi bagi KPU. “Termasuk secara proaktif melakukan pemantauan atas penerapan standar kepatuhan tersebut,” jelasnya. (far/syn/idr/jpg)