KPU terus menyelidiki dugaan kebocoran data pemilih. Hingga kini belum ada titik terang sumber kebocoran tersebut.

JAKARTA, KOMPAS — Investigasi dugaan kebocoran data pemilih diharapkan bisa segera diusut tuntas. Tak hanya itu, investigasi juga perlu dilakukan secara transparan untuk menjaga kepercayaan publik terhadap proses pemilu.

Dugaan kebocoran data pemilih muncul setelah akun ”Jimbo” memasarkan 252 juta basis data (database) mentah pemilih 2024 yang diklaim berasal dari situs Komisi Pemilihan Umum (KPU) dalam forum daring BreachForum. Akun itu juga membagikan 500.000 data secara gratis sebagai contoh serta mengunggah beberapa tangkapan layar dari laman https://cekdptonline.kpu.go.id/ untuk memverifikasi kebenaran data tersebut. Data tersebut dijual senilai 74.000 dollar AS atau senilai Rp 1,1 miliar.

Dugaan kebocoran data pemilu selalu muncul setiap tahun selama tiga tahun terakhir. Berdasarkan catatan Kompas, pada September 2022, akun ”Bjorka” menjual 105 juta data penduduk yang diklaim berasal dari situs KPU. Sementara pada Mei 2022, akun Twitter atau kini menjadi X @underthebreach menyebutkan, 2,3 juta data DPT di Pemilu 2024 dari KPU diperjualbelikan lewat forum komunitas peretas (hacker).

Anggota KPU, Betty Epsilon Idroos, mengatakan, investigasi terhadap dugaan kebocoran data pemilih masih terus dilakukan. Beberapa langkah untuk menelusuri sumber kebocoran, antara lain, melalui analisis log akses, analisis manajemen pengguna, dan analisis log lainnya yang diambil dari aplikasi dan server Sistem Informasi Data Pemilih. Tim gabungan menelusuri celah-celah sistem keamanan untuk mengetahui potensi masuknya peretas.

Tim dari KPU bersama gugus tugas yang terdiri dari Badan Siber dan Sandi Negara (BSSN), Direktorat Tindak Pidana Siber Polri, Badan Intelijen Negara (BIN), serta Kemenkominfo juga meminta keterangan dari operator yang memiliki akses terhadap Sidalih.

Sebab, keamanan siber tidak hanya dipengaruhi oleh teknologi, tetapi juga kinerja sumber daya manusia yang menggunakan sistem tersebut. Tim juga memeriksa seluruh akun pengguna, termasuk akun-akun nonaktif.

”Kami menginvestigasi dugaan kebocoran data pemilih dengan sangat serius agar bisa mengetahui apakah ada kebocoran data atau tidak, pelakunya siapa, bagaimana kejadiannya, serta sejauh mana peretasannya,” ujarnya di Jakarta, Kamis (30/11/2023).

Lebih jauh, lanjut Betty, serangan siber ke sistem informasi KPU tidak hanya terjadi kali ini saja. Beberapa sistem informasi, antara lain Sistem Informasi Pencalonan (Silon) dan Sistem Informasi Partai Politik (Sipol), yang beberapa waktu lalu digunakan untuk tahapan pemilu, juga sempat diserang. Namun, penguatan sistem sebagai upaya mitigasi selalu dilakukan bersama tim terkait untuk menutup celah sehingga sistem tidak bisa ditembus.

Data pemilih berkelanjutan yang ditampilkan dalam layar saat acara rekapitulasi pemutakhiran data pemilih berkelanjutan semester I tahun 2022 tingkat nasional yang digelar Komisi Pemilihan Umum (KPU) di Kantor KPU, Jakarta, Selasa (12/7/2022).

Ia melanjutkan, KPU mengetahui informasi terkait adanya pihak yang menjual data pemilih yang diduga milik KPU sejak hari Senin (27/11) sekitar pukul 15.00. Pihaknya kemudian melaporkan hal tersebut kepada BSSN dan Badan Reserse Kriminal Polri. KPU juga melakukan pengecekan terhadap Sidalih yang diklaim diretas dan menonaktifkan akun-akun pengguna sebagai upaya penanganan peretasan lebih lanjut.

”KPU senantiasa berkoordinasi dengan BSSN, Bareskrim, pihak pengembang, dan instansi terkait lainnya untuk mendapatkan data dan bukti-bukti digital terkait informasi data breach tersebut,” ucap Betty.

Direktur Tindak Pidana Siber Bareskrim Polri Brigjen (Pol) Adi Vivid Agustiadi Bachtiar membenarkan pihaknya juga tengah mendalami indikasi kebocoran data itu. Indikasi kebocoran data KPU ditemukan saat melakukan patroli siber, dan kini tengah diselidiki tim gerak cepat.

Adapun Deputi Bidang Operasi Keamanan Siber dan Sandi BSSN Dominggus Pakel meminta Kompas untuk menghubungi Juru Bicara BSSN Ariandi Putra. ”Juru Bicara BSSN sedang menyiapkan poin-poin untuk dirilis ke media,” ujarnya. Namun, hingga berita ini diturunkan, Ariandi Putra tak kunjung merespons telepon dan pesan singkat dari Kompas.

Manajer Program Senior Asia dan Pasifik International Institute for Democracy and Electoral Assistance (International IDEA) Adhy Aman mengatakan, pihaknya telah mengingatkan KPU untuk memperkuat keamanan siber sejak Pemilu 2019 berakhir.

Sebab, ada tren peretasan sistem informasi pemilu di negara-negara lain, terutama menjelang pelaksanaan pemilu. Serangan bisa bermotif ekonomi, tetapi tidak menutup kepentingan ada motif politik mengingat data pemilih sangat penting untuk pemenangan pemilu.

”Kebocoran data yang diduga milik KPU menunjukkan kerja sama berbagai pihak untuk mengamankan sistem informasi masih kurang maksimal,” katanya.

Menurut Adhy, dugaan kebocoran data dari penyelenggara pemilu bisa berdampak pada kepercayaan publik terhadap proses pemilu. Dugaan kebocoran data membuat pemilih meragukan kapasitas dan kemampuan KPU untuk melaksanakan tahapan pemilu dengan baik. Apalagi, pemilih menjadi pihak yang dirugikan jika data pribadinya tersebar secara luas.

Oleh karena itu, KPU bersama gugus tugas harus melakukan audit secara menyeluruh untuk mengetahui sumber data yang dijual serta celah-celah sistem informasi yang digunakan. Audit harus dilakukan secara transparan sehingga publik mengetahui sumber kebocoran data dan pelaku peretasan.

Di sisi lain, lanjut Adhy, penguatan sistem keamanan mutlak diperlukan untuk mencegah kebocoran data pada sistem informasi lain yang digunakan KPU. Kerja sama dari seluruh pemangku kepentingan mesti diperkuat karena mustahil KPU bisa mengamankan sistem informasi sendirian. Sebab, sumber daya manusia dan teknologi yang dimiliki KPU terbatas.

Menurut dia, kepercayaan terhadap proses pemilu berbanding lurus dengan kompetensi dan kecakapan KPU dalam melaksanakan seluruh tahapan. Oleh karena itu, peristiwa dugaan kebocoran data milik KPU harus menjadi pelajaran untuk memastikan seluruh proses pemilu tidak menemui kendala. Terlebih, KPU belakangan dilanda permasalahan transparansi, akuntabilitas, serta pelanggaran kode etik, dan pelanggaran administrasi pemilu.

”Kepercayaan terhadap proses pemilu bisa diperkuat dengan transparansi dan akuntabilitas penanganan dugaan kebocoran data,” ujarnya.

Pengamat keamanan siber dan CEO betaprivacy.id, Anton Setiawan, mengatakan, pemilu adalah proses legitimasi bagi keberlanjutan kepemimpinan sebuah bangsa yang demokratis. Karena itu, unsur integritas pada sistem pemilu menjadi poin penting yang harus dilindungi sehingga kepercayaan masyarakat terhadap proses dan hasil pemilu bisa terjaga.

”Pembobolan data menunjukkan gagalnya perlindungan terhadap unsur integritas tersebut,” ujar Anton.

Anton melanjutkan, merujuk beberapa pemilu sebelumnya di negara lain, seperti Amerika Serikat, Perancis, dan Inggris, serangan siber pada pemilu dapat berupa illegal access, hacking, denial of services, dan hoaks. Akibat yang ditimbulkan dari serangan siber tersebut, di antaranya, meruntuhkan kepercayaan masyarakat, menimbulkan kekacauan (chaos) karena saling gugat antar-partai politik, menurunkan minat investasi, bahkan mengancam keberlangsungan suksesi kepemimpinan.

”Target utama serangan siber adalah menurunkan kredibilitas pemerintah, mengganggu stabilitas politik, dan memengaruhi kebijakan dalam negeri,” ucap Anton.

Sebagaimana telah diberitakan sebelumnya, satuan tugas (satgas) dari sisi pemerintah sudah dibentuk untuk menyelidiki persoalan ini, ada Kementerian Komunikasi dan Informatika, Polri, serta Badan Siber dan Sandi Negara (BSSN).

Namun, menurut Anton, instansi-instansi tersebut hanya bertugas menjaga perimeter keamanan siber dari luar sistem. Mereka tidak bisa masuk ke sistem KPU karena dikhawatirkan akan mengganggu netralitas KPU. Untuk itu, perlu dibentuk satgas internal KPU beserta unsur industri, praktisi, dan akademisi yang bisa membantu penguatan sistem KPU dari dalam.

Warga menunjukkan surat suara seusai melakukan simulasi pemungutan suara di TPS 10 Pondok Cina Depok, Jawa Barat, Sabtu (23/3/2019).

”Sebenarnya, yang paling penting jangan sampai ada illegal access pada sistem KPU. Walaupun perhitungan masih bersifat manual, prosesnya sudah digital. Harus dipastikan integritas data terjaga dan aman. Metode yang mendasar adalah dengan enkripsi, serta didukung dengan tata kelola sistem manajemen keamanan informasi yang baik, sesuai amanat Undang-Undang Informasi dan Transaksi Elektronik,” ujar Anton.

Perlu diingat pula, lanjut Anton, bahwa sesuai amanat Pasal 208 Ayat 5 Undang-Undang Nomor 7 Tahun 2017 tentang Pemilu, daftar pemilih tetap yang sudah disusun oleh KPU kabupaten/kota wajib diberikan salinannya ke partai politik. Jadi, pada dasarnya, data ini tersebar. ”Tinggal bagaimana KPU mengatur mekanismenya sehingga data tersebut tetap aman. Mekanisme ini yang saat ini belum ada,” ucapnya.