Kolaborasi PeduliLindungi Soroti Isu Keamanan Data
Salah satu masalah PeduliLindungi adalah tidak adanya sistem kredensial yang baik.
REPUBLIKA.CO.ID, oleh Dian Fath Risalah, Flori Sidebang, Fauziah Mursid
Niat pemerintah berkolaborasi dengan sejumlah platform digital untuk memudahkan masyarakat mengakses fitur PeduliLindungi dipandang harus dibarengi dengan penguatan perlindungan data pribadi. Berkolaborasinya 11 platform digital dengan PeduliLindungi memunculkan pertanyaan akankah data pribadi tetap aman. Hal ini lantaran sebelumnya terjadi kebocoran data pada aplikasi electronic Health Alert Card (e-HAC).
"Potensi (kebocoran data) sih selalu ada , karena platform-platform itu kan sebenarnya juga tidak kuat-kuat banget," kata Chairman Lembaga Riset Siber Indonesia CISSReC (Communication and Information System Security Research Center), Pratama Persadha saat dikonfirmasi Republika, Selasa (27/9). Sebanyak 11 aplikasi digital yang akan berkolaborasi yakni Gojek,Grab, Tokopedia, Tiket.com, DANA,Livin\' by Mandiri, Traveloka, Cinema XXI, LinkAja!, GOERS, dan JAKI.
Kolaborasi akan dimulai bulan depan. Nantinya masyarakat pengguna 11 aplikasi digital bisa mengakses PeduliLindungi di platform tersebut.
"Kita tahu bersama, sudah dilaporkan dua kali kebocoran tersebut tanpa ada respons dari Kemenkes selama sebulan. Aplikasi eHAC tersebut juga sebenarnya sudah tidak dipakai, namun dibiarkan terbuka tanpa pengawasan. Ini adalah faktor siapa dan bagaimana pengelolaannya," ujarnya.
Karena tidak bisa mengelola dana orang banyak hanya dengan standar yang ada saat ini. Apalagi dengan budaya keamanan siber yang belum terinternalisasi di banyak lembaga negara dan kementerian. "Secara hukum ini juga akan punya potensi masalah, karena masyarakat memakai dan meng-install PeduliLindungi karena aplikasi tersebut diwajibkan sebagai syarat selama pandemi," ucapnya.
"Bila hal ini berubah menjadi unit usaha yang menguntungkan, jelas akan menimbulkan banyak gugatan dari berbagai elemen masyarakat. Bila mau, harus dibuat aplikasi terpisah dan masyarakat punya pilihan meng-install atau tidak," tambahnya.
Dikonfirmasi terpisah, Kepala Pusat Studi Forensika Digital di FTI Universitas Islam Indonesia (UII) Yogyakarta, Dr Yudi Prayudi mengatakan, rencana kolaborasi PeduliLindungi dengan 11 platform digital tersebut masih relatif aman dalam keamanan data. Karena, kata dia, bila dilihat dari model bisnisnya, aplikasi PeduliLindungi hanya akan mengirimkan data sesuai dengan permintaan dari aplikasi kliennya.
"Sepertinya konektivitas PeduliLindungi ini hanya sebatas check status vaksinnya saja,"tuturnya. "Jadi misalnya saya gunakan Tiket.com, maka ketika saya memasukkan identitas penumpang dengan data NIK dan Nama, maka data ini akan di send via API ke PeduliLindungi, kemudian mengirimkan data hasilnya. Nanti di Tiket akan langsung muncul informasi apakah penumpang tersebut sudah vaksin atau belum. Kalau sebatas itu sebenarnya PeduliLindungi cukup aman," terangnya.
Pakar keamanan siber dari Vaksincom, Alfons Tanujaya mengatakan, rencana pengintegrasian fitur PeduliLindungi dengan sejumlah platform digital lain merupakan suatu hal yang positif dan patut diapresiasi. Namun, menurut dia, ada kendala mendasar yang belum dapat diatasi oleh PeduliLindungi, yaitu masalah kredensial yang tetap menggunakan data kependudukan atau nomor induk kependudukan (NIK).
"Sebagai gambaran, hanya dengan bermodalkan NIK dan nama lengkap saja, maka siapapun dapat mengakses database PeduliLindungi, terlepas dari apakah dia orang yang bersangkutan atau tidak," kata Alfons saat dihubungi Republika, Selasa (28/9).
Dia menjelaskan, hal ini menunjukkan kelemahan dari database yang dimiliki oleh PeduliLindungi. Karena tidak ada jaminan bahwa yang melakukan check-in atau mengakses layanan adalah pemilik KTP maupun NIK yang bersangkutan. "Jadi nanti informasi data pengguna PeduliLindungi yang mengakses layanan, misalnya masuk mal, naik kereta api atau layanan lainnya tidak dapat diandalkan untuk menjadi suatu patokan decision making," ujarnya.
"Dalam dunia IT istilahnya gigo, garbage input garbage output, atau dengan kata lain, data yang dimiliki oleh PeduliLindungi tidak andal. Karena tidak ada kepastian bahwa pengguna database adalah pemilik data," imbuhnya.
Alfons mengungkapkan, data yang dimiliki oleh e-commerce berbeda dengan data PeduliLindungi. Ia menyebut, data PeduliLindungi adalah data kependudukan. Sedangkan data e-commerce merupakan data kredensial dan data penggunaan layanan e-commerce. "Salah satu masalah yang dihadapi oleh PeduliLindungi adalah tidak adanya sistem kredensial yang baik yang dapat melindungi data dari penggunaanya dan itu dimiliki oleh e-commerce," ungkap dia.
Alfons menilai, sebenarnya layanan e-commerce maupun platform digital memiliki database yang bagus. Menurutnya, jika hal ini dikonversikan secara secure dengan data kependudukan yang dimiliki oleh PeduliLindungi, maka dapat menjadi kekuatan yang saling melengkapi dalam menjamin sistem keamanan data pengguna.
"Saya heran mengapa hal ini tidak dilakukan. Kalau berdalih bahwa ini adalah dokumen Dukcapil, mengapa tidak dilakukan koordinasi untuk hal yang penting ini," tuturnya.
"Kami pernah sarankan menggunakan digital id, tetapi lagi-lagi dibenturkan bahwa ini adalah ranahnya Dukcapil sehingga menemui jalan buntu. Namun, harusnya ini kan dicarikan dong solusinya. Jangan karena jalan buntu, lalu ngotot menggunakan data kependudukan sebagai (data) kredensial yang nyata-nyata sudah bocor kan," tambahnya menjelaskan.
Ia menambahkan, penggunaan kredensial adalah solusi yang paling murah dan realistis untuk mengatasi masalah yang dialami oleh PeduliLindungi. "Apakah bentuknya digital id atau apapun, intinya gunakan karya kredensial yang bisa diperkuat dengan two factor authentication," katanya.
Direktur Eksekutif Lembaga Studi dan Advokasi Masyarakat (ELSAM), Wahyudi Djafar melihat PeduliLindungi telah bertransformasi menjadi platform sapu jagad. "Mulai dari pendaftaran vaksinasi, penerbitan sertifikat vaksin (vaccine passport), eHAC untuk syarat perjalanan, integrasi dengan bukti tes Covid-19, serta barcode scan untuk mendeteksi lokasi, sebagai prasyarat memasuki area publik," ujarnya dalam pesan singkat, Selasa (28/9).
ELSAM melihat PeduliLindungi masih perlu perbaikan. "Kasus pengaksesan secara ilegal akun PeduliLindungi Presiden Joko Widodo, yang berhasil mendapatkan salinan sertifikat vaksin presiden, menunjukkan kerentanan pada sisi ini," katanya.
Belum lagi problem ketidakakuratan data seperti kesalahan nama, tanggal lahir, NIK, informasi vaksin, dan sebagainya. Sementara pengguna tidak memiliki akses untuk memperbaiki data-data tersebut, sebagai implementasi dari hak untuk memperbaiki (rectification) dari subjek data.
PeduliLindungi juga tidak memberikan informasi mengenai berapa lama data pribadi pengguna disimpan. Sebagai implementasi dari prinsip keterbatasan penyimpanan, yang terkait dengan masa retensi data. "Apakah ketika pengguna menghapus (unistall) aplikasi, secara otomatis juga data-data pribadinya akan dihapus secara permanen?," kata dia.
Pertanyaan lebih kompleks muncul ketika temuan terbaru mengungkapkan bahwa PeduliLindungi mengirimkan data pengguna ke server dengan domain http://analytic.rocks, yang dimiliki oleh PT Telekomunikasi Indonesia, Tbk. (Telkom). Ia pun mempertanyakan, apakah pengiriman data tersebut, termasuk juga koneksi API lintas platform memungkinkan pihak ketiga untuk menyimpan data-data PeduliLindungi.
"Berapa lama akan disimpan, untuk tujuan, serta dasar hukum apa yang digunakan untuk memproses? Lalu besar dan luasnya data, termasuk data real time (lokasi) yang diproses oleh aplikasi PeduliLindungi mengharuskan pengendali data untuk menerapkan prinsip integritas dan kerahasiaan secara ketat," tegasnya.
Prinsip ini, lanjutnya, menghendaki penerapan sistem keamanan yang kuat dalam pemrosesan data pribadi, untuk memastikan kerahasiaan, integritas dan ketersediaan data yang diproses. Selain pemrosesannya harus dilakukan secara pseudonimitas, juga mesti dipastikan penerapan standar keamanan yang kuat.
"Pertanyaannya, apakah semua standar yang diatur dalam Perpres No. 95/2018 tentang Sistem Pemerintahan Berbasis Elektronik, dan Peraturan BSSN No. 4/2021 yang menjadi rujukan teknis Perpres tersebut, sudah diterapkan?" ujarnya lagi. Dengan sejumlah catatan permasalahan tersebut di atas, menjadi sulit untuk menarik kesimpulan bahwa penggunaan aplikasi PeduliLindungi telah dilakukan secara akuntabel, yang menghendaki bahwa seluruh prinsip perlindungan data pribadi dipatuhi. Oleh karenanya penting bagi pemerintah yakniKementerian Komunikasi dan Informatika, sebagai pengendali data dalam penggunaan aplikasi.
PeduliLindungi, sekaligus sebagai otoritas dalam perlindungan data mengacu pada undang-undang yang berlaku saat ini (UU ITE), untuk memastikan adanya audit menyeluruh terhadap aplikasi PeduliLindungi untuk menjamin kepatuhannya pada prinsip-prinsip pelindungan data pribadi, sekaligus penerapan kewajiban pengendali data. "Seperti kewajiban penerapan privacy by design, privacy by default," ujarnya.
ELSAM meminta emerintah harus mengevaluasi kebijakan privasi serta syarat dan ketentuan layanan aplikasi PeduliLindungi. DPR juga harus mengoptimalkan fungsi pengawasannya, terutama pada penggunaan aplikasi PeduliLindungi, dengan pemerintah sebagai pengendali datanya, untuk menjamin perlindungan hak. "DPR dan Pemerintah juga perlu mengakselerasi proses pembahasan RUU Pelindungan Data Pribadi, dengan menghandirkan otoritas pengawas yang independen, guna menghindari risiko overlapping dalam perlindungan data pribadi, seperti yang terjadi hari ini," tegasnya.
Pemerintah juga akan terus memperluas penggunaan PeduliLindungi, Juru Bicara Pemerintah untuk Penanganan Covid-19 Wiku Adisasmito mengungkap penggunaan aplikasi PeduliLindungi akan diujicoba di pasar rakyat. "Ujicoba PeduliLindungi akan dilaksanakan di enam pasar rakyat yakni Pasar Mayestik di Jakarta, Pasar Blok M Jakarta, Pasar Baltos di Bandung, Pasar Modern BSD di Tangerang Selatan, pasar modern 8 Alam Sutera di Tangerang, dan pasar Wonodri di Semarang," ujar Wiku dalam konferensi pers secara daring, Selasa (28/9).
Ia mengatakan, penerapan aplikasi PeduliLindungi di pasar tradisional merupakan bagian dari komitmen Pemerintah untuk merealisasikan hidup produktif dan aman Covid-19 Indonesia. Saat ini, Indonesia berupaya terus mempertahankan penanganan pandemi Covid-19 menuju masa endemi.
Karena itu, untuk mengendalikan kasus Covid-19, Pemerintah memberlakukan penerapan aplikasi PeduliLindungi ke berbagai sektor layanan publik. "Penerapan aplikasi Pedulilindungi di pasar tradisional merupakan bagian dari komitmen Pemerintah untuk merealisasikan hidup produktif dan aman Covid-19 di Indonesia," kata Wiku.
Ikuti Whatsapp Channel Republika