Ketua Cyberity Arif Kurniawan: Harus Kejar Audit Forensik IT KPU

JawaPos.com - Sengkarut mewarnai sistem rekapitulasi online Pemilu 2024. Investigasi sejumlah praktisi atas anomali yang terjadi mengungkap beberapa temuan. Berikut petikan wawancara dengan praktisi keamanan siber sekaligus Ketua Cyberity Arif "Bangaip" Kurniawan.

Apa temuan Cyberity dan rekan-rekan praktisi keamanan siber terkait sistem penyelenggaraan elektronik KPU?

Melalui metodologi sistematis yang kami lakukan, sistem pemilu2024. kpu.go.id dan sirekap-web.kpu.go.id diketahui menggunakan layanan cloud yang lokasi servernya berada di RRC, Prancis, dan Singapura. Layanan cloud tersebut merupakan milik layanan penyedia internet (ISP) raksasa Alibaba.

Selain itu, kami menemukan posisi data dan lalu lintas e-mail pada dua lokasi di atas berada dan diatur di luar negeri, tepatnya di RRC.

Penempatan server di luar negeri merupakan hal wajar sebagai bagian dari disaster recovery center (DRC)?

Kalau untuk recovery, semua layanan-layanan cloud (penyimpanan) seperti Microsoft dan Google memang biasanya punya DRC di beberapa negara. Dan, itu masih diwajarkan. Tapi, dalam temuan kami, ada namanya name server. Nah, name server 1 dan name server 2 (dalam sistem penyelenggaraan elektronik KPU) dimiliki oleh Alibaba.

Jika mengacu UU Pelindungan Data Pribadi dan Peraturan Pemerintah (PP) Nomor 71/2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik, apakah temuan tersebut masuk kategori pelanggaran?

Kalau mereka (KPU, Red) tidak bisa membuktikan jika servernya berada di dalam negeri, maka itu jelas pelanggaran. Kalau Alibaba punya server di Indonesia, kenapa tidak di pin point saja di Indonesia? Alibaba mestinya sudah tahu ada UU PDP dan PP tersebut (Nomor 71/2019) yang mengharuskan data-data publik seperti itu ada di Indonesia.

Lantas, yang harus dilakukan agar keamanan data tersebut tetap terjaga?

Audit (forensik IT KPU) itu yang harus dikejar. Ini sangat mendesak dilakukan. Karena sudah berkali-kali (sistem elektronik, Red) KPU ’’dihajar’’ (baca: diserang), data warga dicuri, namun KPU membiarkan. Pertanyaannya, pembiaran ini sengaja atau tidak sengaja? Kalau tidak sengaja, ayo sama-sama kita perbaiki. Tapi, kalau itu sengaja, itu yang jadi masalah. (tyo/c17/fal)