REPUBLIKA.CO.ID, JAKARTA -- Pakar keamanan siber, Pratama Persadha mengatakan Komisi Pemilihan Umum (KPU) harus melindungi data pemilih dari peretas yang akan menyalahgunakan informasi pribadi. Meskipun daftar pemilih tetap (DPT) bersifat terbuka dan bisa diakses publik, KPU harus mengamankan data yang tersimpan dengan enkripsi.
"Untuk mengaksesnya dibuat sistem dekripsi sandinya. Sehingga masyarakat tetap bisa akses. Tapi kalau ada hacker yang mencuri data dari databasenya, mereka enggak akan bisa membaca isiinya. Karena sudah diacak dengan sistem penyandian atau enkripsi," ujar Pratama saat dihubungi Republika.co.id, Jumat (22/5).
Menurutnya, KPU tidak perlu menampilkan seluruh digit dalam Nomor Induk Kependudukan (NIK) dan Nomor Kartu Keluarga (NKK). Informasi NIK dan NKK dapat ditampilkan hanya beberapa digit saja untuk lebih menjamin keamanannya dari penyalahgunaan data KTP Elektronik atau KTP-el.
Sebab, bahaya jika informasi NIK dan NKK yang didapatkan secara bersamaan. Misalnya saja, data tersebut dapat dimanfaatkan untuk mendaftarkan nomor seluler dan juga melakukan pinjaman daring, apabila peretas atau pelaku mahir melengkapi data. Apalagi, bila data NIK dan KK yang dikombinasikan dengan data akun Tokopedia dan Bukalapak yang lebih dulu terekspos. Maka akan dihasilkan data yang cukup berbahaya dan bisa dimanfaatkan untuk kejahatan.
Pratama menilai peristiwa ini juga harus menjadi peringatan bagi Direktorat Jenderal Kependudukan dan Pencatatan Sipil Kementerian Dalam Negeri agar bisa mengamankan data kependudukan. Pemerintah perlu memikirkan lebih jauh terkait pengamanan enkripsi pada data penduduk.
Ia melanjutkan, peristiwa ini membuat pengamanan sistem informasi teknologi milik KPU dipertanyakan yang juga dijadikan rujukan saat hitung cepat hasil pemilu maupun pilkada. Apalagi, pada 2020 ada agenda pilkada, jangan sampai ini menjadi isu tersendiri bagi KPU. Namun Pratama juga melihat ada kemungkinan data yang disebar memang sebelumnya sudah ada di publik. Sebab, data pemilu 2014 sudah lama tersebar di forum internet.
"Seluruh data DPT ternyata juga di share ke beberapa stakeholder KPU. Tetapi kalau melihat isi folder DPT DIY yang ikut dipublish, sepertinya ada kemungkinan memang si peretas bisa masuk ke sistem IT KPU atau sistem IT stakeholder KPU yang juga memiliki data ini," lanjutnya.
Untuk memastikannya, kata Pratama, KPU harus segera melakukan audit keamanan informasi atau audit digital forensik ke sistem IT KPU untuk menjawab isu kebocoran data ini. Audit ini juga bisa menemukan sebab dan celah kebocoran sistem kalau memang ada.
Kalau pelaku bisa masuk ke server KPU, ada kemungkinan tidak hanya DPT yang mereka ambil, tapi juga bisa mengakses hasil penghitungan Pemilu. Secara teknis, peretas bisa mencuri data, ada kemungkinan juga bisa mengubah data.
Pratama pun mengecek akun Arlinst, akun yang menyebarkan jutaan data penduduk di Raid Forums yang diungkap Under The Breach di Twitter-nya. Saat dicek di Raid Forums, data yang disajikan plain dan bisa didownload member secara gratis.
Adapun data yang disebar di forum internet mencakup nama, jenis kelamin, alamat, NIK dan KK, tempat tanggal lahir, usia, dan status perkawinan. Data yang disebar pelaku adalah data 2013, setahun sebelum Pemilu 2014, sebagian besar data pemilih DIY.
"Saat dicek kembali, halaman yang dibuka oleh akun Arlinst ini sudah hilang. Bahkan saat dicek di twitter banyak akun yang mentracking akun Arlinst dan mencurigai akun tersebut sedang mencari sensasi, terlihat dari beberapa akun medsos dan marketplacenya," kata Pratama.
Ia menyebutkan, terakhir di Raid Forums terpantau data tersebut sudah didownload oleh sekitar 100 akun. Untuk mendonwnload sendiri harus memiliki minimal delapan kredit, yang setiap 30 kredit harus dibeli seharga delapan euro via paypal.
"Meski KPU menjelaskan bahwa itu adalah data terbuka, tapi bukan berarti tidak perlu dilindungi. Bukan informasi rahasia, tapi informasi yang perlu dilindungi minimal dienkripsi agar tidak sembarangan orang bisa memanfaatkan. Apalagi verifikasi data DPT hanya perlu data NIK, bukan semua data dijadikan satu apalagi tanpa pengamanan," jelas dia.
Ikuti Whatsapp Channel Republika
