Data KPU Bocor, Data Pribadi Seluruh Indonesia Terancam
›
Data KPU Bocor, Data Pribadi...
Iklan
Data KPU Bocor, Data Pribadi Seluruh Indonesia Terancam
Kurangnya perhatian terhadap perlindungan data pribadi di masa silam membuka ancaman di masa sekarang. Sebanyak 2,3 juta data pribadi sensitif warga Indonesia berhasil dipanen dari situs Komisi Pemilihan Umum.
Oleh
satrio pangarso wisanggeni
·5 menit baca
JAKARTA, KOMPAS — Data daftar pemilih Pemilihan Umum 2014 dibuka dan diedarkan di situs kriminal. Meski berasal dari tahun 2013, data tersebut masih bisa disalahgunakan untuk kejahatan pada saat ini ataupun di masa depan. Dengan demikian, Undang-Undang Perlindungan Data Pribadi menjadi kebutuhan mutlak.
Kurangnya perhatian terhadap perlindungan data pribadi di masa silam membuka ancaman di masa sekarang. Sebanyak 2,3 juta data pribadi sensitif warga Indonesia, meliputi nama, alamat, nomor induk kependudukan (NIK), dan nomor kartu keluarga (KK), diduga berhasil dipanen dari situs Komisi Pemilihan Umum (KPU).
Database tersebut berisi data pribadi pemilih provinsi Daerah Istimewa Yogyakarta untuk Pemilu 2014. Pelaku juga mengklaim telah mendapatkan lebih dari 200 juta warga lainnya.
Deputi Direktur Riset Lembaga Studi dan Advokasi Masyarakat (Elsam) Wahyudi Djafar pada Jumat (22/5/2020) mengatakan, dengan adanya kebocoran ini, penyalahgunaan data pribadi dan identitas menjadi ancaman yang nyata bagi jutaan warga Indonesia.
Dengan informasi yang sedemikian lengkap, penambangan data pribadi oleh orang-orang yang tidak memiliki otoritas dapat berjalan lebih dalam. Wahyu menyebutkan, dengan melihat nomor KK, berbagai informasi yang ada dalam dokumen itu akan dapat diketahui, seperti nama ibu kandung.
Padahal, ujar Wahyu, nama ibu kandung ini semacam super-password untuk membuka akses perbankan, misalnya. Dengan demikian, praktik penambangan data lanjutan ini dimungkinkan terjadi dengan terbukanya nama, NIK, dan nomor KK.
”Kombinasi data itu, kan, akses utama untuk mengakses layanan dari pemerintah dan swasta. Sederhananya, bisa untuk BPJS, kredit bank. NIK dan KK juga terkoneksi dengan kartu SIM. Ini problematis. Bisa digunakan untuk kejahatan yang lain,” tutur Wahyu, dihubungi dari Jakarta.
Mekanisme penyelesaian dan sanksi memastikan bahwa mereka yang gagal melindungi data dapat segera melakukan data protection impact assessment dan menetapkan perlindungan data pribadi yang kuat. Kalau sanksi tidak kuat, mereka tidak akan belajar.
Untuk itu, Wahyu menilai, perlu ada investigasi yang dilakukan oleh KPU, Kementerian Dalam Negeri, serta Kementerian Komunikasi dan Informatika.
Tidak perlu retas
Peneliti keamanan siber dan pendiri Ethical Hacker Indonesia, Teguh Aprianto, mengatakan, data daftar pemilih tetap (DPT) Pemilu 2014 yang beredar tersebut memang terbuka dan dapat diakses publik.
Teguh menilai, hal ini dilakukan dengan memanen data dari alamat situs web milik KPU, yakni http://pdf.kpu.go.id. Ia melihat di kaki halaman (footer) ada tautan yang mengarah ke alamat tersebut. Namun, ia menilai, kejadian penyedotan data ini sudah lama terjadi. Sebab, situs KPU tersebut sudah tidak bisa diakses.
”Data sensitif yang dikelola di aset milik pemerintah memang banyak yang di-crawl oleh Google. Jadi, ini konyolnya, memang terbuka dan dengan mudah dapat diakses,” kata Teguh.
Ia menyayangkan seluruh data tersebut lengkap tanpa sensor. Tidak ada digit angka yang ditutup pada NIK ataupun nomor KK.
Ia menilai, masih banyak data yang belum berubah antara tahun 2014 dan saat ini. Dengan demikian, meski itu data Pemilu 2014, ancaman penyalahgunaan data masih relevan. ”Dari sisi masyarakat, kita tidak bisa berbuat apa-apa,” ucap Teguh.
Komisioner KPU, Viryan Azis, mengatakan, data tersebut merupakan filesoft-copy DPT Pemilu 2014 yang dipublikasikan pada 15 November 2013. Ia menyebutkan, peraturan menetapkan bahwa data tersebut bersifat terbuka.
”Soft-file data KPU tersebut, format pdf, dikeluarkan sesuai regulasi dan untuk memenuhi kebutuhan publik bersifat terbuka,” ujar Viryan.
Kombinasi data itu, kan, akses utama untuk mengakses layanan dari pemerintah dan swasta. Sederhananya, bisa untuk BPJS, kredit bank. NIK dan KK juga terkoneksi dengan kartu SIM. Ini problematis. Bisa digunakan untuk kejahatan yang lain.
Pasal 33 Ayat (2) Undang-Undang 8 Tahun 2012 tentang Pemilu DPR, DPD, dan DPRD menetapkan, daftar pemilih memuat NIK, nama, tanggal lahir, jenis kelamin, dan alamat. Lalu, Pasal 38 menetapkan bahwa daftar pemilih tersebut diberikan kepada partai politik dalam bentuk salinan soft-copy.
Sifat dualistik DPT
Terkait dilema data yang dibuka tanpa sensor ini, Wahyu menilai, ini adalah implikasi sifat data pemilih yang dualistik atau memegang peran ganda.
Data pemilih harus terbuka karena terkait erat dengan penyelenggaraan pemilu yang adil dan terbuka untuk memenuhi asas akuntabilitas. Di sisi lain, daftar pemilih tersebut mengandung data pribadi sensitif.
Seharusnya, ujar Wahyu, pada daftar pemilih, data pribadi sensitif seperti NIK dan nomor KK tidak perlu dibuka sepenuhnya.
Sementara itu di negara lain, Australia contohnya, kata Wahyu, data daftar pemilih hanya bisa dilihat langsung di kantor penyelenggara pemilihan umum; tidak bisa digandakan lalu disebarluaskan ke partai politik seperti di Indonesia.
”Jadi, ini muncul pertanyaan, sebetulnya data ini didapatkan dari KPU secara langsung atau dari pihak lain yang mendapat data ini dari KPU?” kata Wahyu.
Urgensi UU PDP
Dari kejadian ini, seharusnya urgensi keberadaan Undang-Undang Perlindungan Data Pribadi (UU PDP) menjadi mutlak terasa, kata Wahyu. Dengan UU PDP, posisi dan tanggung jawab setiap aktor yang memegang data menjadi terdefinisikan.
Dalam Regulasi Perlindungan Data Umum Uni Eropa (EU-GDPR), lanjut Wahyu, KPU ataupun partai politik ditetapkan sebagai prosesor data. ”Sehingga jelas apa kewajibannya. Kalau di Indonesia, belum jelas. UU PDP harus disegerakan,” ujarnya.
Badan publik seperti KPU apabila diketahui tidak memenuhi kewajiban pelindungan data, maka ada penalti dalam bentuk ganti rugi bagi pemilik data atau masyarakat.
”Mekanisme penyelesaian dan sanksi memastikan bahwa mereka yang gagal melindungi data dapat segera melakukan data protection impact assessment dan menetapkan perlindungan data pribadi yang kuat. Kalau sanksi tidak kuat, mereka tidak akan belajar,” kata Wahyu.
Menilik pada masa persiapan Pemilu 2019, KPU menutup beberapa digit angka terakhir pada NIK dan nomor KK dalam daftar pemilih. Namun, pada saat itu, Partai Gerindra melayangkan somasi untuk menyerahkan DPT yang terbuka tanpa sensor.
Somasi itu dilayangkan karena Komisi Informasi DKI Jakarta memenangi gugatan partai tersebut untuk membuka seluruh digit angka NIK dan nomor KK. Lalu, dalam masa persiapan Pemilu 2019, KPU pernah membuka 4 digit pada NIK dalam rapat dengan partai politik yang menuntut KPU transparan.
”Bisa saja kejadian terulang DPT untuk Pemilu 2019. Dan data ini, kan, besar sekali jumlahnya, sampai 190 juta orang,” kata Wahyu.
Diberitakan sebelumnya, si pelaku mengumumkan bahwa dirinya memiliki database ini di sebuah situs forum yang dikenal tempat peredaran hasil peretasan pada Rabu (20/5/2020) malam. Pelaku mengatakan akan membagikan lebih dari 200 juta data kependudukan Indonesia di forum tersebut pada waktu yang akan datang.