Sistem informasi rekapitulasi (Sirekap) yang digunakan KPU sebagai alat bantu penghitungan suara Pemilu 2024 mendapat sorotan dari sejumlah praktisi yang fokus pada isu keamanan siber. Mereka tergabung dalam komunitas bernama Cyberity.
Ketua Ciberity, Arif ‘Bangaip’ Kurniawan, dalam pernyataan tertulis menyatakan, pihaknya menemukan sejumlah anomali dari situs Sirekap dari segi keamanan.
Dari penelusuran situs yang mereka lakukan, diperoleh beberapa temuan sebagai berikut:
1. Sistem pemilu2024.kpu.go.id dan sirekap-web.kpu.go.id menggunakan layanan cloud yang lokasi servernya berada di RRC, Perancis dan Singapura.
2. Layanan cloud tersebut merupakan milik layanan penyedia internet (ISP) raksasa Alibaba.
3. Posisi data dan lalu lintas email pada dua lokasi di atas, berada dan diatur di luar negeri, tepatnya, di RRC.
4. Terdapat celah kerawanan keamanan siber pada aplikasi pemilu2024.kpu.go.id.
5. Ketidakstabilan aplikasi Sirekap, Sistem Informasi Rekapitulasi Suara dan Manajemen Relawan terjadi justru ketika pada masa krusial, masa pemilu dan beberapa hari setelahnya.
Data Penting Harus di Indonesia
Berdasar temuan tersebut, Cyberity berpandangan bahwa data penting seperti data pemilu semestinya berada di Indonesia.
“Menurut Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PSTE) dan Undang Undang No 27/2022 tentang Pelindungan Data Pribadi (PDP), karena menyangkut sektor publik dan dihasilkan oleh APBN, dana publik dan sejenisnya, maka data penting seperti data pemilu mestinya diatur dan berada di Indonesia (Pasal 20 PP Nomor 71/2019),” papar Arif.
Arif mengatakan, kejanggalan-kejanggalan pada sistem IT KPU sudah terjadi sejak lama.
“Masalah ini terkesan dibiarkan begitu lama dan menimbulkan kegaduhan di masyarakat. Hingga saat ini KPU belum menunjukkan niat untuk memperlihatkan kepada publik audit keamanan IT-nya,” ujar Arif.
Karena itu, untuk mendukung Pemilu 2024 yang jujur, transparan dan adil, Arif dkk meminta KPU memperlihatkan kepada publik perihal audit keamanan sistem dan audit perlindungan data WNI.
“Agar tidak menimbulkan keresahan di masyarakat,” kata Arif.
PP tentang Server Wajib di Indonesia
Soal perlunya data penting berada di Indonesia diatur dalam Pasal 20 Peraturan Pemerintah Nomor 71/2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PSTE) yang berbunyi:
Pasal 20
- Penyelenggara Sistem Elektronik Lingkup Publik wajib memiliki rencana keberlangsungan kegiatan untuk menanggulangi gangguan atau bencana sesuai dengan risiko dari dampak yang ditimbulkannya.
- Penyelenggara Sistem Elektronik Lingkup Publik wajib melakukan pengelolaan, pemrosesan, dan/atau penyimpanan Sistem Elektronik dan Data Elektronik di wilayah Indonesia.
- Penyelenggara Sistem Elektronik Lingkup Publik dapat melakukan pengelolaan, pemrosesan, dan/atau penyimpanan Sistem Elektronik dan Data Elektronik di luar wilayah Indonesia dalam hal teknologi penyimpanan tidak tersedia di dalam negeri.
- Kriteria teknologi penyimpanan tidak tersedia di dalam negeri sebagaimana dimaksud pada ayat (3) ditentukan oleh komite yang terdiri atas kementerian yang menyelenggarakan urusan pemerintahan di bidang komunikasi dan informatika, lembaga yang membidangi urusan pengkajian dan penerapan teknologi, lembaga yang membidangi urusan keamanan siber, dan Kementerian atau Lembaga terkait.
- Pembentukan komite sebagaimana dimaksud pada ayat (4) ditetapkan oleh Menteri.
- Dalam hal Penyelenggara Sistem Elektronik Lingkup Publik menggunakan layanan pihak ketiga, Penyelenggara Sistem Elektronik Lingkup Publik wajib melakukan klasifikasi data sesuai risiko yang ditimbulkan.
- Ketentuan lebih lanjut mengenai klasifikasi data sesuai risiko sebagaimana dimaksud pada ayat (6) diatur dengan Peraturan Menteri.
Sumber: