Direktur Eksekutif Lembaga Studi dan Advokasi Masyarakat (ELSAM) Wahyudi Djafar memperingatkan besarnya risiko dan ancaman terhadap eksploitasi data pemilih dalam pemilu 2024. Hal ini dikarenakan rentannya keamanan sistem informasi yang dikembangkan oleh KPU.
“Apalagi kemudian melihat sejumlah dugaan insiden terhadap sistem informasi yang dikelola oleh KPU yang beberapa diantaranya bahkan sampai terjadi pengungkapan terhadap data-data pribadi pemilih, serangan terhadap confidentiality maupun serangan terhadap integrity of data,” ungkap Wahyudi dalam media briefing “Mengidentifikasi Ancaman dan Risiko Keamanan Siber dalam Pemilu 2024” di Jakarta, Rabu (20/12).
Risiko eksploitasi data ini selalu terjadi di tahun politik, tambahnya. Bahkan pada 27 November lalu, sebuah akun anonim Jimbo di BreachForum mengunggah 252 juta data yang diklaim berasal dari situs kpu.go.id. Data yang kemudian dijual dengan harga US$74.000 itu terdiri dari berbagai data, antara lain: NIK, NKK, No Paspor, alamat, jenis kelamin dan lain-lain.
Sebelumnya, pada 21 Mei 2020, melalui akun Twitter underthebreach, sebuah akun pemantauan dan pencegahan kebocoran data asal Israel juga menawarkan penjualan dua juta data pemilih yang berasal dari KPU. Penjual juga meyakinkan bahwa dia memiliki 200 juta data penduduk yang terdiri dari nama lengkap, alamat, nomor identitas, tanggal lahir, umur, status kewarganegaraan, dan jenis kelamin. Namun, pada saat itu, KPU menyatakan bahwa data pemilih Pemilu 2014 tersebut masuk dalam kategori data terbuka berdasarkan UU Pemilu.
“Artinya mulai dari pemilu 2014 pada dasarnya mayoritas dari penduduk Indonesia sudah tidak punya lagi integritas data pribadi,” tambah Wahyudi.
Peretasan Tak Pernah Diselidiki Tuntas, Serangan Semakin Merajalela
Ironisnya serangkaian insiden serangan siber dan kebocoran data pemilih yang terjadi ini tidak pernah diselidiki secara tuntas, sehingga tidak ada upaya dan jaminan untuk memastikan insiden serupa tidak terulang lagi. Padahal KPU, tegas Wahyudi, sedianya tunduk pada UU Pemilu terkait pemrosesan data pribadi, yang semestinya juga mengikuti seluruh standar kepatuhan perlindungan data pribadi yang diatur oleh UU No. 27/2022 tentang Perlindungan Data Pribadi.
Peraturan itu telah mengatur sejumlah syarat dan prosedur keamanan dalam setiap pengembangan sistem informasi yang dilakukan oleh pemerintah, termasuk kewajiban melakukan audit keamanan secara berkala.
Wahyudi menilai hal ini penting dilakukan mengingatnya besarnya ancaman dan risiko serangan siber terhadap sistem informasi pemerintah sebagaimana yang dikemukakan oleh Badan Siber dan Sandi Negara (BSSN). Dari catatan BSSN, terlihat adanya peningkatan masif serangan siber ke Indonesia pada saat penyelenggaraan pemilu seperti yang terjadi pada 2019.
Serangan siber terus naik dalam lima tahun terakhir ini. Jika pada tahun 2018 terjadi 232 juta kali serangan siber, maka pada Juli 2023 jumlah serangan telah mencapai 347 juta kali.
Lebih jauh Wahyudi mengatakan KPU sedianya menaruh perhatian besar terhadap berbagai insiden kebocoran data ini karena akan berdampak serius pada proses dan integritas hasil Pemilu 2024, termasuk permasalahan ketidakpercayaan kepada penyelenggara pemilu, khususnya KPU, yang dianggap tidak mampu untuk menyiapkan sistem informasi yang andal.
“Lalu potensi naiknya angka golput karena kekhawatiran terjadinya eksploitasi data Pemilu, sehingga publik enggan ikut Pemilu,” jelasnya.
Sebagai langkah antisipasi resiko dan ancaman keamanan siber dalam pemilu 2024, KPU dinilai perlu melakukan berbagai hal diantaranya melakukan asesmen dan audit keamanan terhadap seluruh sistem informasi yang dikembangkan dan dikelola oleh KPU serta penyusunan kebijakan perlindungan data pribadi.
Sistem Keamanan Siber Pemerintah Sangat Lemah, Jadi Kelinci Percobaan Hacker Pemula
Dalam kesempatan yang sama, pendiri Ethical Hacker Indonesia Teguh Aprianto mengatakan situs pemerintah memang selalu menjadi sasaran empuk serangan siber sehingga sering terjadi kebocoran data. Ini dikarenakan lemahnya sistem keamanan siber di laman lembaga pemerintah di tanah air. Saking lemahnya, kata Teguh, website pemerintah selalu menjadi kelinci percobaan hacker pemula untuk menguji kemampuan hacking mereka.
“Anak-anak sekolah yang baru belajar hacking, mereka belajarnya lewat hack website-website pemerintah, seburuk itu keamanan data kita," kata Teguh.
Ditambahkannya, jika hal ini terus dibiarkan maka serangan siber berpotensi tidak terjadi setiap lima tahun sekali, tetapi lebih sering lagi. Oleh karena itu ia berharap pemerintah segera menyiapkan sumber daya manusia (SDM) yang lebih handal agar insiden serupa tidak terulang lagi.
“Kalau kita lihat dua minggu kemarin kan KPU mengalami kebocoran data, itu bukan yang pertama, lima tahun sekali juga akan terus terjadi, di tahun 2020 data yang berbentuk PDF lalu 2022 juga ada kemunculan Bjorka, KPU kena lagi," pungkasnya. [gi/em]
Forum