ELSAM minta KPU segera memastikan keandalan sistem dan integritas data Sirekap

ZONAUTARA.com – Lembaga Studi dan Advokasi Masyarakat (ELSAM) meminta Komisi Pemilihan Umum (KPU) harus segera mengatasi berbagai persoalan pada Sistem Informasi Rekapitulasi (Sirekap), terutama memastikan keandalam sistem dan integiritas datanya.

Melalui siaran pers yang diterima Zonautara.com, ELSAM menjelaskan bahwa Sirekap semestinya merupakan penyempurnaan dari Sistem Informasi Perhitungan Suara (Situng), untuk merekapitulasi hasil pemungutan suara pemilu maupun Pilkada.

Sistem semacam ini pertama kali digunakan pada Pilkada serentak 2020, dengan model kerja yang kurang lebih sama dengan penggunaannya di Pemilu 2024 Sistem ini mengumpulkan data perolehan suara yang terdapat pada formulir C plano melalui pemindaian dokumen. Jika melihat cara kerja tersebut, Sirekap menggunakan optical character recognition (OCR) untuk mengubah teks dalam format berkas citra atau gambar ke dalam format teks yang bisa dibaca dan disunting oleh aplikasi komputer.

Operasi dan penggunaan Sirekap, selain tunduk pada UU Pemilu, semestinya juga mengikuti seluruh standar operasional dan keamanan, dalam kapasitasnya sebagai Penyelenggara Sistem Elektronik lingkup publik (PSE publik), untuk menjamin keandalan sistem dan integritas data yang diprosesnya.

Sebagai PSE publik, pengembangan dan operasionalisasi sistem ini, harus sepenuhnya merujuk pada sejumlah pra-syarat yang telah diatur dalam UU Informasi dan Transaksi Elektronik (UU ITE), juga PP No. 71/2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PP PSTE). Ketentuan Pasal 15 (1) UU ITE, setidaknya menegaskan bahwa setiap PSE harus menyelenggarakan sistem elektronik secara andal dan aman, serta bertanggung jawab terhadap beroperasinya sistem tersebut.

Selain itu, dalam Pasal 16 ayat (1) UU ITE, juga ditegaskan bahwa setiap PSE harus mampu menjamin keutuhan dan keotentikan informasi elektronik yang diprosesnya, dengan tujuan menjaga integritas informasinya. Dalam konteks ini pula, dugaan penggunaan cloud Alibaba, kemudian memunculkan perdebatan, terutama terkait dengan risiko dan ancaman terhadap integritas data yang diprosesnya.

Dalam upaya menjaga integritas data yang diproses PSE Publik, Pasal 20 ayat (2) PP PSTE mewajibkan seluruh PSE publik untuk melakukan pengelolaan, pemrosesan, dan penyimpanan datanya di dalam negeri, kecuali teknologinya belum tersedia, sehingga dilakukan di luar negeri (Pasal 20 (3) PP PSTE).

Kriteria teknologi penyimpanan tidak tersedia di dalam negeri, harus diputuskan oleh sebuah komite antar-kementerian, yang setidaknya harus melibatkan Kominfo, BRIN, BSSN, dan KPU (Pasal 20 (4) PP PSTE). Pertanyaannya kemudian, apakah KPU telah menjalankan mekanisme tersebut?

Dalam hal keamanan sistemnya, sebagai bagian dari aplikasi khusus yang dikembangkan instansi pusat, Sirekap yang dikelola KPU, juga tunduk pada Perpres No. 95/2018 tentang Sistem Pemerintahan Berbasis Elektronik (Perpres SPBE).

Dalam peraturan tersebut, setiap SPBE harus memenuhi standar teknis dan prosedur keamanan (Pasal 41 ayat (3) Perpres SPBE), yang teknis operasionalnya telah diatur dalam Peraturan BSSN No. 4/2021 tentang Pedoman Manajemen Keamanan Informasi Sistem Pemerintahan Berbasis Elektronik dan Standar Teknis dan Prosedur Keamanan Sistem Pemerintahan Berbasis Elektronik (Peraturan BSSN 4/2021).

Dalam peraturan tersebut telah diatur sejumlah syarat dan prosedur keamanan dalam setiap pengembangan sistem informasi pemerintah, termasuk kewajiban melakukan audit keamanan secara berkala, serta penyimpanan datanya. Apalagi, sistem ini juga merupakan bagian dari infrastruktur informasi vital (IIV), dalam sektor administrasi pemerintahan, sebagaimana diatur oleh Perpres No. 82/2022 tentang Pelindungan IIV.

Lebih jauh, keandalan Sirekap pada akhirnya akan menentukan integritas data yang diprosesnya, yang juga berkorelasi dengan kepatuhannya terhadap UU No. 27/2022 tentang Pelindungan Data Pribadi.

Memang data yang diproses oleh Sirekap, merupakan data agregat, yang tidak tunduk pada hukum perlindungan data pribadi, sepanjang data tersebut tidak digunakan untuk mendukung tindakan atau keputusan mengenai orang perorangan tertentu. Namun demikian, data agregat sebagai hasil dari sebuah proses statistik dapat tetap menjadi data pribadi jika agregasi dan anonimisasinya tidak dilakukan secara efektif dan andal.

Masalah Sirekap

Merujuk pada sejumlah standar kepatuhan di atas, dan juga problem teknis operasional dalam penggunaan Sirekap, Lembaga Studi dan Advokasi Masyarakat (ELSAM) melihat:

Pertama, lemahnya akurasi Sirekap, yang terindikasi dari sejumlah kegagalan teknis teknologi optical character recognition yang digunakan, dan berujung pada tidak akuratnya data perolehan suara yang diinput oleh petugas TPS. Hal ini bisa terjadi karena beberapa hal, misalnya kualitas foto yang buruk atau pun model penulisan yang berbeda-beda, yang tidak dapat dibaca oleh sistem secara tepat (seperti halnya lembar jawab komputer pada umumnya). Masalah akurasi tersebut mestinya dapat diperkirakan dan diantisipasi sejak awal dengan desain teknologinya.

Kedua, problem keandalan dalam hal keteraksesan Sirekap, untuk dapat dimanfaatkan secara cepat dan efektif, dalam membantu proses rekapitulasi hasil pemungutan suara. Pada banyak kasus, pengguna (KPPS) kesulitan untuk melakukan pengunggahan formulir hasil pemungutan suara, dikarenakan sistem harus bekerja dengan beban yang sangat besar, pada waktu yang bersamaan. Selain itu perbedaan kecepatan internet di berbagai wilayah di Indonesia juga akan berpengaruh pada situasi ini. Semestinya KPU sudah memperkirakan hal ini pada saat perancangan dan pengembangan sistem ini, sehingga secara teknis dapat dilakukan antisipasi.

Ketiga, ancaman dan risiko terkait dengan kerahasiaan, integritas, dan ketersediaan data yang diproses Sirekap. Sebagaimana disinggung di atas, teridentifikasi bahwa Sirekap memakai IP dengan AS (Autonomous System) detail number AS45102, yang merupakan kode yang melekat pada Alibaba Cloud Private Ltd (Aliyun) di Singapura. Sementara jika dilihat dari lokasi IP tersebut, domain sirekap-web.kpu.go.id dikendalikan di datacenter Aliyun di Jakarta. Untuk memastikan dugaan serta simpang siurnya lokasi penyimpanan data, KPU perlu melakukan klarifikasi serta penjelasan pada publik, karena hal ini menyangkut penyelenggaraan pemilu yang transparan dan kepercayaan pada hasil pemilu.

Keempat, ancaman meningkatnya risiko serangan siber, yang ditunjukkan dari adanya peningkatan serangan siber ke Indonesia pada 15 Februari atau sehari setelah penyelenggaraan pemilu, sedikitnya terjadi 718.751 serangan (https://honeynet.bssn.go.id/). Angka ini merupakan serangan tertinggi dalam sehari pada 3 bulan terakhir, dimana tren kenaikan seperti ini terjadi juga menjelang dan pada saat pemilu 2019. Sebelumnya BSSN mengakui bahwa serangan paling banyak dialami oleh sistem informasi pemerintah dan sistem keuangan, dengan bentuk serangan yang beragam, seperti malware, defacement, dan sebagian lagi hacking yang berdampak pada pengungkapan data pribadi.

Pada akhirnya, problem keandalan teknologi yang digunakan, serta risiko serangan siber yang masif akan berdampak serius pada proses dan integritas hasil Pemilu 2024. Hal ini terutama diakibatkan oleh ketidakpercayaan publik pada penyelenggara Pemilu, khususnya KPU, yang dianggap tidak mampu untuk menyiapkan sistem informasi yang andal.

Harus diingat, tingkat kepercayaan publik pada hasil pemilu berisiko mengalami penurunan, salah satunya dikarenakan budaya yang sering mengabaikan risiko keamanan dan perlindungan data, terutama oleh penyelenggara pemilu, maupun juga peserta pemilu.

Langkah yang perlu segera diambil

Merespons hal itu, sebagai langkah untuk menanggulangi masalah keandalan sistem dan integritas data Sirekap, penting bagi KPU untuk melakukan sejumlah langkah berikut ini:

1. Melakukan evaluasi terhadap seluruh hasil pemindaian Sirekap untuk memastikan akurasi dan integritas data yang dikumpulkan oleh sistem ini.
2. Melakukan asesmen dan audit keamanan Sirekap yang dikembangkan dan dikelola oleh KPU, termasuk antisipasi risiko keamanan, setidaknya dengan mengacu pada information technology and security assessment (ITSA) yang dipersyaratkan oleh BSSN.
3. Memperkuat Computer Security Incident Response Team (CSIRT) KPU, untuk memberikan respons cepat setiap kali terjadi insiden keamanan siber, termasuk langkah mitigasi untuk meminimalisir risikonya, serta mengantisipasi serangan yang berpotensi merusak kerahasiaan, integritas, dan ketersediaan data Sirekap.
4. Mengkomunikasikan dan menginformasikan secara transparan, terkait dengan problem yang dihadapi, dan upaya mitigasi setiap risiko dari penggunaan Sirekap, dengan melibatkan ahli terkait, sebagai bentuk akuntabilitas kepada publik.
5. Koordinasi dan kerja sama dengan berbagai pemangku kepentingan—termasuk pemantau pemilu independen dan komunitas teknologi, untuk mengoptimalkan langkah-langkah antisipasi dan mitigasi risiko insiden keamanan yang mungkin terjadi, dengan tetap berpegang pada prinsip dasar penyelenggaraan Pemilu, langsung, umum, bebas, rahasia, jujur, dan adil.