Di tengah tahapan Pemilu 2024 yang kian mendekati puncak, keamanan data pemilih menjadi sorotan. Muncul dugaan data yang bersumber dari daftar pemilih tetap (DPT) itu bocor.
Dugaan kebocoran tersebut terungkap setelah akun Jimbo di situs BreachForums mengunggah data yang diduga diretas dari situs KPU Senin (27/11) pukul 09.21 WIB. Dugaan itu menguat setelah beberapa tangkapan layar dari situs pengecekan DPT website KPU ditampilkan.
Akun Jimbo mengklaim memiliki 252.327.304 data. Akun tersebut menyediakan 500 ribu data sebagai sampel. Elemen data yang dibobol terdiri atas nama, nomor induk kependudukan (NIK), tanggal lahir, hingga alamat. Jimbo menawarkan bocoran data tersebut seharga 74 ribu dolar atau sekitar Rp 1,2 miliar. Ketua KPU Hasyim Asy’ari mengatakan, pihaknya sudah memantau dan memeriksa kabar kebocoran data tersebut. "Tim KPU dan gugus tugas sedang menelusuri," ujarnya kemarin. Gugus tugas pengamanan siber dibentuk KPU sejak awal tahapan kampanye 2022 lalu. Tim terdiri atas BSSN, Cybercrime Polri, BIN, dan Kemenkominfo.
Namun, Hasyim menerangkan, data DPT 2024 dalam bentuk softcopy tidak hanya berada di data center KPU. Data itu juga dimiliki banyak pihak seperti partai politik dan Bawaslu. "Karena memang UU Pemilu mengamanatkan kepada KPU untuk menyampaikan DPT softcopy kepada partai politik peserta Pemilu 2024 dan juga Bawaslu," imbuhnya.
Komisioner KPU Betty Epsilon Idroos menambahkan, jika melihat jumlah data yang diklaim dimiliki akun peretas, ada ketidakcocokan dengan data DPT KPU. Data DPT yang telah ditetapkan berjumlah 204,8 juta. Sementara yang diklaim Jimbo lebih dari 250 juta. "Ya kan teman-teman tahu berapa jumlah data yang sudah kita tetapkan sedunia kan. Gak sampai segitu," terangnya.
Chairman Lembaga Riset Keamanan Siber CISSReC Pratama Persadha mengatakan, dengan adanya tangkapan layar situs KPU dengan dashboard pengguna itu, maka diduga kuat Jimbo mendapatkan akses login dari domain sidalih.kpu.go.id. "Bisa jadi dengan metode phising, malware, atau social engineering," paparnya.
Bila benar-benar Jimbo mendapatkan akses role admin, dampaknya bisa berbahaya. Sebab, bisa digunakan untuk kepentingan politik tertentu. ’’Ini bisa mencederai pesta demokrasi, bahkan menimbulkan kericuhan,’’ ujarnya.
Menurut dia, pihaknya sebenarnya telah mengirimkan alert kepada ketua KPU tentang kerentanan sistem itu pada 7 Juni 2023. Namun, ternyata sistemnya masih semacam itu. ’’Untuk mengetahui titik serangan, perlu dilakukan audit dan investigasi sistem keamanan server KPU,’’ jelasnya.
Pada bagian lain, Direktur Tindak Pidana Siber (Dirtipidsiber) Bareskrim Polri Brigjen Pol Adi Vivid Agustiadi Bachtiar mengatakan, pihaknya telah mendeteksi adanya dugaan kebocoran data melalui patroli siber. "Saat ini tengah dilakukan koordinasi untuk melakukan penyelidikan," ucapnya.
Direktur Eksekutif Lembaga Studi dan Advokasi Masyarakat (ELSAM) Wahyudi Djafar turut menyoroti dugaan peretasan data KPU. Dia menyatakan bahwa kebocoran tersebut diduga terjadi pada data pemilih yang telah ditetapkan menjadi DPT.
Dengan sistem yang dikembangkan oleh KPU seperti sistem informasi pendataan pemilih (Sidalih), Wahyudi menilai, mestinya KPU mampu melindungi data tersebut. Dengan kebocoran data itu, Wahyudi menyebut KPU harus secepatnya memastikan implementasi standar dan prinsip perlindungan data pribadi sebagaimana diatur dalam Undang-Undang Perlindungan Data Pribadi (UU PDP). ”Guna menjamin hak-hak subjek data, KPU perlu mengembangkan kebijakan perlindungan data pribadi untuk penyelenggaraan pemilu,” terangnya.
Tidak sampai di situ, ada beberapa hal yang juga perlu dilakukan KPU. Yakni, melakukan pengembangan pedoman perilaku perlindungan data pribadi bagi penyelenggara pemilu. Kemudian, pengadopsian standar kepatuhan perlindungan data pribadi pada seluruh sistem informasi yang dikembangkan. ”Terutama yang memproses data pribadi. Baik pemilih maupun kandidat,” imbuh Wahyudi.
ELSAM mendorong beberapa aspek yang perlu dilakukan pascakasus kebocoran data tersebut. Salah satunya, mereka meminta KPU segera melakukan investigasi internal untuk mengidentifikasi sumber kegagalan perlindungan, menganalisis informasi yang berkaitan dengan insiden selanjutnya, dan memprioritaskan penanganan insiden berdasarkan tingkat dampak yang terjadi. ELSAM juga meminta KPU mendokumentasikan bukti insiden yang terjadi. ”Dan mengurangi dampak risiko,” katanya.
Wahyudi menyampaikan bahwa pihaknya juga meminta Bawaslu memastikan KPU menjamin perlindungan data pribadi pemilih. ”Sebagai bagian dari perlindungan hak pemilih sekaligus upaya menjaga integritas pemilu,” jelasnya.
Di sisi lain, Badan Siber dan Sandi Negara (BSSN) harus segera mengevaluasi penerapan standar keamanan dalam pengembangan aplikasi khusus KPU. Menurut Wahyudi, hal itu sesuai dengan Peraturan Presiden (Perpres) Nomor 95 Tahun 2018 tentang Sistem Pemerintahan Berbasis Elektronik. ”Melalui suatu proses asesmen dan audit berkala untuk mitigasi ke depan,” ujarnya. (*)
Editor : izak-Indra Zakaria