BARUÂ saja para komisioner Komisi Pemilihan Umum (KPU) mengajukan tambahan anggaran untuk memperkuat sistem teknologi informasi KPU nasional sebesar Rp35 miliar. Efektifkah?
Pertanyaan ini sering ditanyakan oleh wartawan dan orang awam, mengapa KPU dengan dana triliunan untuk tugas dari Sabang sampai Merauke masih juga tidak mampu mempertahankan keamanan sistem TI-nya?
Dari kacamata akademisi, ada dua hal yang berbeda fungsi sistem TI di KPU. Pertama, fungsi sistem TI untuk melakukan distribusi surat suara yang masih kosong (belum dicoblos) ke seluruh Indonesia. Kedua, fungsi sistem TI untuk melakukan pencatatan surat suara yang sudah tercoblos dari seluruh Indonesia kembali ke KPU.
Lebih dari satu minggu, server kpu.go.id offline alias non aktif karena tidak menampilkan sama sekali informasi yang diinginkan masyarakat Indonesia untuk melihat secara real time hasil Pilkada Gubernur, Walikota dan Bupati di seluruh Indonesia.
Walaupun banyak lembaga quick count sudah merilis para pemenang Pilkada tersebut, tetapi tetap patokan masyarakat dan para elit partai menunggu hasil perhitungan suara secara manual yang terkumpul di masing-masing KPUD dan KPU.
Nah pertanyaannya, apakah database KPU dan KPUD rusak karena diacak-acak para peretas? Jawabannya tidak tahu, karena memang tidak pernah diumumkan kepada publik tentang status database hasil Pilkada yang baru saja selesai.
Seminggu sebelumnya web server KPU tidak dapat diakses sama sekali, karena hanya berisi pengumuman server KPU sedang meningkatkan pelayanan kepada publik dan offline.
Banyak dugaan bahwa server KPU jebol atau roboh karena dilakukan aksi DoS atau DDoS dari segala penjuru, dan karena tidak ingin berpolemik maka diputuskan web server infopemilu.kpu.go.id offline saja atau dimatikan oleh para elit KPU. Sebuah tindakan yang cukup berani karena anggaran yang cukup besar untuk sistem TI kpu.go.id dimatikan.
Karena tidak ada transparansi pengelolaan server KPU.go.id, maka penulis melakukan pemetaan keamanan berdasarkan postur kerangka kerja keamanan informasi yang berlaku secara global seperti di bawah ini.
Dari grafik di atas ada 14 postur keamanan informasi yang dinilai dapat dilihat hampir di semua lini keamanan informasi server kpu.go.id sangat lemah (warna biru) dari harapan yang diinginkan, apalagi dengan standar global sangat jauh dari level aman.
Lantas apakah tambahan anggaran Rp35 miliar bisa dibilang efektif untuk membuat sistem TI KPU lebih ‘garang’? Sejatinya, hanya elit KPU yang dapat menjawab.
Yang pasti solusi dari permasalahan ini cukup banyak, yang perlu dipikirkan oleh para elit KPU untuk keamanan sistem TI KPU adalah adanya Direktur Keamanan Informasi (CISO) yang sangat berperan dalam menjaga keamanan informasi server kpu.go.id. Lalu bekerja sama dengan badan keamanan siber yang sudah ada seperti BSSN untuk mengamankan informasi yang ada baik di internal maupun eksternal KPU dan KPUD.
Kemudian penegakan hukum kepada para peretas yang mengganggu server kpu.go.id. Hal lain adalah Adanya transparansi keamanan pengelolaan database hasil pilkada. Pisahkan database untuk pencatatan di KPU, KPUD dengan database yang diunggah di server nasional infopemilu.kpu.go.id.
Demikian sekilas model keamanan informasi yang dapat disarankan kepada KPU, KPUD untuk kepentingan nasional. Salam aman.
Oleh IGN Mantra, Dosen Keamanan Informasi, Perbanas Institute