Semarang (ANTARA) - Digitalisasi kepemiluan di Tanah Air merupakan suatu keniscayaan. Kendati demikian, perlu penguatan sistem digital oleh KPU RI guna menjaga suara rakyat selepas pesta demokrasi terakbar pada tanggal 14 Februari 2024.
Vox populi vox Dei (suara rakyat, suara Tuhan) patut dijaga oleh pemangku kepentingan kepemiluan, antara lain, penyelenggara pemilu, peserta pemilu, dan pemilih serta lembaga pemantau pemilu.
Komisi Pemilihan Umum (KPU) RI selaku lembaga penyelenggara pemilu telah membangun aplikasi bernama Sirekap (Sistem Informasi Rekapitulasi) agar publik segera tahu hasil pemilihan umum. Namun, hingga kini masih banyak pertanyaan serta kekhawatiran tentang keamanan Sirekap untuk menghitung serta menampilkan hasilnya kepada masyarakat.
Sirekap adalah inovasi KPU untuk meningkatkan keterbukaan dalam pemilu. Bahkan, lembaga penyelenggara pemilu ini sudah menerapkan aplikasi ini pada Pemilihan Kepala Daerah (Pilkada) Serentak 2020. Pada Pemilu 2024, KPU akan menggunakan lagi Sirekap untuk memudahkan dalam rekapitulasi hasil penghitungan suara.
Meskipun Sirekap hanyalah alat bantu dan bukan sebuah data sebagai pegangan dan hasil akhir penghitungan pemilu, pakar keamanan siber Dr. Pratama Persadha mengingatkan kepada KPU RI untuk memperkuat sistem aplikasi ini.
Masalahnya, jika terjadi serangan siber terhadap Sirekap, kemudian pelaku mengubah jumlah perhitungan suara, tentunya ini hal sangat krusial yang harus diwaspadai. Hal ini mengingat hasil perhitungan dari Sirekap adalah salah satu yang bisa diketahui lebih awal daripada perhitungan serta rekap manual yang dijadikan hasil akhir.
Apabila hasil Sirekap memiliki selisih, apalagi selisih yang cukup jauh, akan timbul ketidakpercayaan terhadap hasil penghitungan suara dari KPU. Bahkan, mungkin akan ada permintaan untuk melakukan penghitungan ulang yang tentunya akan memakan banyak waktu serta biaya.
Oleh karena itu, Chairman Lembaga Riset Keamanan Siber CISSReC ini berpendapat bahwa keamanan data Sirekap merupakan salah satu faktor kunci supaya Pemilu 2024 dapat berjalan dengan tertib dan lancar.
Untuk memperkuat keamanan Sirekap sebagai alat bantu rekapitulasi suara pada tanggal 14 Februari 2024, KPU telah menjalin kerja sama dengan Badan Siber dan Sandi Negara (BSSN), Badan Intelijen Negara (BIN), dan Kementerian Komunikasi dan Informatika (Kemkominfo).
Ketua KPU Hasyim Asy'ari menjamin keamanan Sirekap karena pada saat pembangunan sistem sudah berkoordinasi dengan berbagai pihak, termasuk tiga institusi tersebut.
Namun, pada kesempatan berbeda, kata Pratama, anggota Komisi II DPR RI Mardani Ali Sera beserta Wakil Ketua Komisi II DPR Saan Mustofa mengkritisi Sirekap milik KPU yang tidak aman serta perlu diaudit ulang serta dilakukan simulasi proses yang ada di dalamnya.
Pada kesempatan berbincang dengan anggota KPU RI Betty Epsilon Idroos, dalam sebuah acara di salah satu televisi, menyatakan bahwa pihaknya sudah mengaudit Sirekap. Bahkan, sudah disimulasikan bersama anggota kelompok penyelenggara pemungutan suara (KPPS).
Untuk memastikan keamanan suatu sistem, menurut Pratama yang juga dosen pascasarjana pada Sekolah Tinggi Intelijen Negara (STIN), perlu melakukan beberapa langkah, seperti code auditing (audit kode), security assessment (penilaian keamanan), sampai penetration testing (pengujian penetrasi).
Melihat pembangunan Sirekap yang sudah menggandeng berbagai lembaga yang memiliki kompetensi keamanan siber, kemudian instansi tersebut tergabung dalam Gugus Tugas Keamanan Siber KPU, seharusnya sistem tersebut sudah aman karena sudah melakukan berbagai tes mulai dari fase development sampai dengan produksi atau server yang bisa dipergunakan secara umum.
Akan tetapi, yang bisa akses ke situs sirekap-web.kpu.go.id hanya anggota KPU dan badan ad hoc penyelenggara pemilu, termasuk KPPS.
Waspadai serangan siber
Oleh karena itu, perlu mewaspadai serangan phising (pengelabuan), social engineering (rekayasa sosial), dan malware (perangkat pembahaya) terhadap lebih dari 823.000 HP android milik anggota KPU atau KPPS ketika mereka mengakses Sirekap.
Dosen Sekolah Tinggi Ilmu Kepolisian (STIK) PTIK Pratama Persadha lantas menyebut beberapa serangan siber yang dapat menjadi ancaman terhadap keberlangsungan serta keamanan data Sirekap, antara lain, serangan DDoS (Distributed Denial of Service) yang akan membebani server. Dalam kondisi server tidak bisa diakses, anggota KPPS tidak bisa update hasil penghitungan suara.
Ancaman serangan fisik juga bisa terjadi jika sembarangan orang bisa mengakses ke lokasi perangkat sehingga bisa merusak infrastruktur.
Ancaman lain yang perlu diantisipasi adalah ransomware (perangkat pemeras) yang dapat mengambil alih akses sistem atau merusak serta mengunci file yang ada di dalam sistem sehingga tidak dapat menggunakan sistem tersebut.
Ditambah lagi makin maraknya supply chain attack (serangan rantai pasokan) yang memanfaatkan perusahaan pihak ketiga untuk masuk ke jaringan utama, atau melalui software development kit (SDK).
Perlengkapan pengembangan perangkat lunak (SDK) yang dipergunakan pihak ketiga ini ternyata ada malicious code (kode berbahaya). Ancaman siber yang paling berbahaya terhadap sistem Sirekap, kata Pratama, tentu saja jika peretas bisa masuk ke sistem, lalu mengubah hasil penghitungan suara yang tentunya akan menimbulkan banyak kegaduhan.
Saat ini sumber daya manusia (SDM) merupakan salah satu titik kelemahan suatu sistem informasi seperti Sirekap ini. Pasalnya, penyebab utama dari kerentanan sistem teknologi pemerintahan biasanya berasal dari rendahnya kesadaran SDM tentang keamanan siber.
Hal itu terutama SDM yang memiliki akses ke sistem, baik itu dari internal organisasi untuk keperluan operasional maupun pihak lain yang menjadi mitra pada saat pembuatan sistem dan aplikasi serta membantu organisasi untuk melakukan perbaikan jika terjadi masalah.
Ketika melihat sistem keamanan siber, tidak bisa melihat hanya pada satu sisi infrastruktur serta perangkat keamanan siber, tetapi juga harus melihat aspek lainnya seperti pelatihan karyawan terhadap aspek keamanan siber.
Hal ini, menurut Pratama, juga menjadi titik kritis terhadap keamanan siber suatu organisasi karena tidak jarang serangan siber yang terjadi berawal dari peretasan PC (personal computer) atau laptop karyawan. Bisa juga didapatkanya data kredensial karyawan melalui serangan phising.
Meskipun sistem keamanan siber sudah menggunakan sistem yang paling mutakhir dan paling canggih, edukasi terhadap karyawan dan keamanan siber dari perangkat kerja kurang, secara keseluruhan sistem keamanan suatu lembaga akan dianggap kurang kuat dan/atau kurang mumpuni karena masih memiliki celah untuk masuknya sebuah serangan.
Melihat maraknya kebocoran data yang disebabkan oleh kelalaian SDM ini seharusnya sudah menjadi peringatan kepada pimpinan organisasi untuk dengan segera melakukan pelatihan kepada karyawan/mitra yang memiliki akses tersebut.
Oleh sebab itu, supaya kualitas SDM KPU bisa lebih baik sehingga data pemilu aman adalah melakukan pelatihan kepada seluruh SDM yang terlibat. Tidak hanya pelatihan cara penggunaan sistem informasi Sirekap, tetapi juga diberikan penekanan pada faktor keamanan siber, termasuk bagaimana menjaga keamanan siber, mulai dari perangkat yang mereka pakai.
Misalnya, perbarui sistem operasi, aplikasi, dan perangkat lunak lainnya dengan patch (tambalan) keamanan terbaru. Di damping itu, pasang dan perbarui perangkat lunak keamanan yang kuat seperti antivirus serta anti-malware yang akan mengingatkan pengguna terhadap aplikasi berbahaya atau link phising.
Pakar keamanan siber Pratama mewanti-wanti jangan mengklik tautan atau membuka lampiran dari email atau pesan yang mencurigakan dari sumber yang tidak mereka kenal atau berisi permintaan yang tidak biasa.
Hal lainnya adalah meningkatkan kesadaran tentang ancaman dan cara mengidentifikasi serangan siber, kemudian menghindari situs web yang mencurigakan atau tidak terpercaya, terutama yang berisi konten ilegal atau berbahaya.
Tidak mengunduh (download) dan menginstal aplikasi atau game (gim) bajakan. Gunakanlah kata sandi yang kuat dan unik untuk akun-akun daring (online) serta manfaatkan fitur two factor authentication (verifikasi dua langkah) di mana pun memungkinkan.
Hal lain yang tidak kalah penting adalah melakukan pergantian password (kata sandi) secara berkala, kemudian tidak sembarangan menghubungkan perangkat ke akses wifi gratisan serta menggunakan layanan pengisian daya gratis.
Langkah antisipasi lain, menyiapkan sistem cadangan sehingga jika sistem utama mengalami kendala, layanan bisa segera pulih dengan sistem cadangan yang ada.
KPU juga perlu memastikan sistem pemantauan keamanan yang dapat mendeteksi aktivitas mencurigakan atau ancaman serangan siber bekerja dengan baik. Hal yang patut diperhatikan adalah selalu update aplikasi untuk tutup celah keamanan yang sudah diketahui.
Perlu pula menggunakan pendekatan multi-layered security (keamanan berlapis) dengan menggabungkan berbagai teknologi dan metode keamanan, menerapkan BCM (business continuity management), dan selalu simulasikan prosedur dalam BCM secara berulang-ulang yang bertujuan di kemudian hari tidak terjadi downtime yang membutuhkan waktu penyelesaian sampai berhari-hari.
Saran lain dari pakar keamanan siber Pratama untuk KPU, yakni memastikan bahwa perangkat lunak dan sistem operasi diperbarui dengan patch keamanan terbaru, menggunakan enkripsi untuk melindungi data pemilih dan hasil pemilihan.
Di samping itu, penerapan digital signature (tanda tangan digital) untuk pastikan data yang dikirimkan tidak diubah di tengah jalan. KPU juga perlu menjaga cadangan data yang aman dan dapat dipulihkan dengan cepat jika diperlukan.
KPU juga perlu meningkatkan kerja sama dengan pihak berwenang internasional untuk bertukar informasi keamanan dan best practice (praktik terbaik). Perlu pula menerapkan sistem pemantauan keamanan siber yang dapat mendeteksi aktivitas mencurigakan atau serangan siber potensial.
Saran lainnya, KPU perlu melibatkan pihak ketiga yang ahli dalam keamanan siber untuk melakukan penilaian risiko dan pemeriksaan independen serta mengembangkan rencana pemulihan setelah serangan siber guna memastikan pemulihan yang cepat dan meminimalkan dampak. Lembaga penyelenggara pemilu ini perlu pula menetapkan tim tanggap keamanan khusus yang siap bertindak cepat jika terjadi serangan siber.
Hal yang tidak kalah penting adalah secara berkala melakukan assessment terhadap kerawanan serta celah keamanan siber dari sistem.