Pada akhir November 2023, situs resmi Komisi Pemilihan Umum (KPU) dilaporkan dibobol peretas dan kabarnya 204 juta data daftar pemilih tetap (DPT) bocor. Berdasarkan laporan Lembaga Communication and Information System Security Research Center (CISSReC) peretas bernama Jimbo mendapatkan data dan menjualnya senilai US$74 ribu atau Rp 1,2 miliar (cnbcindonesia.com, 29/11/2023).
Data yang didapatkan itu berjumlah 253 juta. Namun setelah disaring terdapat 204 juta yang didapatkan, sama seperti DPT Tetap KPU. Pratama Persadha, Chairman Lembaga Riset Keamanan Siber CISSReC dalam keterangannya mengatakan Jimbo melakukan penyaringan, terdapat 204.807.203 data unik dimana jumlah ini hampir sama dengan jumlah pemilih dalam DPT Tetap KPU yang berjumlah 204.807.222 pemilih dari dengan 514 kab/kota di Indonesia serta 128 negara perwakilan (cnbcindonesia.com, 29/11/2023).
Masih dalam laporan CISSReC, Jimbo juga membagikan 500 data contoh yang didapatkan. Data yang bocor itu diunggah dalam situs darkweb BreachForums. Isi data pribadi yang didapatkan Jimbo, mulai dari Nomor Induk Kependudukan (NIK), nomor Kartu Keluarga (KK), nomor Kartu Tanda Penduduk (KTP) (berisi nomor Paspor untuk pemilih yang berada di luar negeri), nama lengkap, jenis kelamin, tanggal lahir, tempat lahir, status pernikahan, alamat lengkap, Rukun Tetangga (RT), Rukun Warga (RW), kodefikasi kelurahan, kecamatan dan kabupaten serta kodefikasi Tempat Pemungutan Suara (TPS). Kejadian peretasan ini bukanlah pertama kali terjadi. Pada tahun 2022, terdapat 105 juta data dari KPU yang dilaporkan bocor oleh peretas Bjorka (cnbcindonesia.com, 29/11/2023). Kejadian ini tentunya menjadi alarm bagi penyelenggara, khususnya KPU dalam melindungi data pemilu yang tengah berjalan ini.
Kebocoran data bukan menjadi hal yang baru di Indonesia. Berdasarkan data Surfshark, Indonesia adalah negara dengan kebocoran data tertinggi ke-13 di dunia. Ini dapat dilihat dari kebocoran data alamat email yang terjadi sejak 2004 dengan 143,7 juta akun di Indonesia. Jumlah ini juga meningkat 85% dalam dua kuartal terakhir (katadata.co.id, 22/12/2023).
Secara historis, ada tiga insiden kebocoran data terbesar yang diamati Surfshark, yaitu Tokopedia pada April 2020 dengan jumlah kebocoran data 15 juta akun, disusul Wattpad pada Juni 2020 dengan 22,9 juta akun yang bocor. Kemudian pada Agustus 2022, ada 12,6 juta akun Indihome yang mengalami kebocoran data (katadata.co.id, 22/12/2023).
Bahkan, Kementerian Komunikasi dan Informatika (Kominfo) mencatat, terdapat 35 kasus kebocoran data di Indonesia sejak Januari-Juni 2023. Jumlah itu melampaui banyaknya kasus kebocoran data yang terjadi setiap tahun sejak 2019 hingga 2021 (dataindonesia.id, 6/7/2023).
Akibat dari kebocoran data pribadi dapati menimbulkan beberapa permasalahan seperti, pertama, data pribadi yang bocor dapat digunakan untuk mengancam atau memeras individu, seperti mengancam untuk menyebarkan informasi pribadi atau untuk membocorkan rahasia. Kedua, data pribadi yang bocor dapat digunakan untuk melakukan penipuan, seperti penipuan kartu kredit, penipuan identitas, dan penipuan online.
Ketiga, data pribadi yang bocor dapat digunakan untuk mencuri identitas individu, yang dapat digunakan untuk melakukan kejahatan lain, seperti kejahatan finansial dengan membobol akun bank dengan menggunakan data tersebut. Oleh karena itu, sangat penting untuk melakukan perlindungan terhadap data pribadi.
Secara payung hukum, sesungguhnya Indonesia telah memiliki pengaturan terhadap perlindungan data pribadi melalui Undang-undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP). Namun, UU PDP belum dapat diimplementasikan secara baik karena terdapat beberapa persoalan, di antaranya diperlukan peraturan teknis yang lebih spesifik, sebagai aturan pelaksana UU PDP.
Persoalan berikutnya adalah belum adanya lembaga khusus yang menyelenggarakan pelindungan data pribadi. Pada Pasal 58 hingga Pasal 60 dalam UU PDP telah diatur pembentukan lembaga pelindungan data pribadi, namun hingga saat ini, belum ada lembaga khusus yang berwenang untuk melindungi data pribadi tersebut.
Kembali ke persoalan bocornya data KPU, Direktur Eksekutif Lembaga Studi dan Advokasi Masyarakat (ELSAM) Wahyudi Djafar mengatakan KPU seharusnya menjelaskan sejauh mana keamanan sistem data dalam Pemilu 2024 secara transparan dan jelas. Karena hal ini akan memiliki dampak yang sangat signifikan pada integritas pemilu itu sendiri (Antara, 3/1/2024).
Hal lain yang dikhawatirkan Wahyudi Djafar adalah muncul pertanyaan publik bagaimana sistem asesmen atau audit keamanan dari keandalan sistem informasi data milik KPU. Mengingat data bersifat sangat sensitif karena mengandung NIK hingga alamat tempat tinggal pemilih (Antara, 3/1/2024).
Penjelasan dan komitmen KPU sangat penting untuk membenahi sistem keamanan datanya. Pasalnya, persepsi masyarakat terkait keamanan perlindungan data pribadi masih sangat rendah. Berdasarkan hasil survei Kurious-Katadata Insight Center (KIC) pada Juli 2023, mayoritas atau sebanyak 62,6% responden menyatakan tidak yakin dengan keamanan siber yang dimiliki oleh pusat penyimpanan data pemerintah Indonesia. Rinciannya, sebanyak 19,1% responden menjawab sangat tidak yakin dan 43,4% menjawab tidak yakin (katadata.co.id, 10/08/2023).
Pada sisi lain, terdapat 30% reponden menyebutkan yakin dengan tingkat keamanan siber di Indonesia. Terdiri dari 22% responden yakin dan 8,1% responden sangat yakin. Adapun 7,4% responden lainnya yang menjawab tidak tahu (katadata.co.id, 10/08/2023). Ditengah kondisi seperti ini maka sudah selayaknya KPU untuk dapat menjelaskan dan memberikan jaminan terhadap keamanan data pemilu. Jangan sampai terjadi ketidakpercayaan masyarakat terhadap hasil pemilu.
KPU perlu melakukan beberapa langkah untuk mengantisipasi terulangnya kebocoran data pemilu. Pertama, KPU harus menjelaskan secara terbuka kepada publik terkait persoalan peretasan yang terjadi berulang kali sehingga hal ini menjadi transparan dan akuntabel.
Kedua, KPU secara terbuka melibatkan banyak pihak untuk mengamankan data terkait Pemilu 2024. Bukan hanya instansi pemerintah tetapi juga civic tech, sektor swasta, kelompok masyarakat sipil dan media massa. Kolaborasi multi pihak ini diharapkan dapat memperbaiki celah-celah kebocoran data yang luput dari pengawasan KPU. Misalnya terkait kelemahan dalam infrastruktur pengamanan dan juga sumber daya manusia.
Ketiga, mendorong Badan Pengawas Pemilu (Bawaslu) berkolaborasi dengan kelompok masyarakat sipil dan media massa untuk mengawasi dan mengkritisi layanan sistem informasi yang telah dibuat oleh KPU sehingga KPU juga menunjukkan keseriusan dalam memperbaiki penyelenggaraan pemilu. Hal ini juga mendorong peningkatan partisipasi masyarakat, termasuk dalam mengawasi dan melaporkan jika ada pelanggaran pemilu serta mengawal integritas penyelenggaraan Pemilu 2024.
Arfianto Purbolaksono
Manajer Riset dan Program