November 28, 2024
Sumber: Akun Youtube KPU RI

Onno W Purbo: Sistem Keamanan Harus Terintegrasi di dalam Sistem TI

Kamis (7/10), Komisi Pemilihan Umum (KPU) menyelenggarakan diskusi online dengan judul “Digitalisasi Pemilu, Bisakah Digitalisasi Mengefisiensikan Pemilu?”. Dalam diskusi ini, KPU menghadirkan pakar teknologi informasi (TI), Onno Widodo Purbo. Onno menjelaskan perihal sifat efisien dan efektif dalam teknologi, keamanan sistem, dan berbagai tantangan dalam penggunaan TI dalam pemilu. Simak penjelasan Onno selengkapnya dalam format wawancara.

Pak Onno, bagaimana pendapat Anda mengenai digitalisasi pemilu?

Ya, KPU menggunakan istilah digitalisasi, berbeda dengan Pak Presiden Jokowi yang memakai kata kunci transformasi digital. Bedanya apa? Misalnya, soal absen. Dalam metode konvensional, absen dibutuhkan. Begitu juga dalam digitalisasi, ada absen tapi bentuknya digital, disebar link untuk isi absen. Tetapi, kalau transformasi digital, tidak ada absen. Contoh lainnya, di konvensional, orientasinya kehadiran. Begitu juga di digitalisasi. Tetapi ketika transformasi digital, orientasinya ke hasil, bukan ke presensi.

Jadi, kalau kita melakukan transformasi digital, struktur organisasi berubah. Proses pencoblosan segala macam jadi berubah. Sekarang kan berjenjang banget ya, dari TPS ke kelurahan, ke kecamatan. Nah, kalau dengan sistem internet yang nyala 24 jam, internet dimana-mana, jenjang semua tadi bakal hilang. Jadi lebih cepat. Tetapi, kalau KPU agak susah ke transformasi digital karena semuanya ditentukan oleh UU.

Apakah memungkinkan pengembangan teknologi kepemiluan saat ini memanfaatkan teknologi terbaru seperti Artificial Intelegence (AI) dan Internet of Things (IOT)?

Sebenarnya AI itu prosesnya sederhana. Contoh, kalau kita masuk toko online, pasti iklan buat setiap orang berbeda. Kenapa berbeda? Karena mereka (toko) melakukan mata-mata tentang perilaku kita. Mereka menyadap apa yang kita lakukan sehingga mereka memberikan iklan yang berbeda untuk kita. Begitu juga dengan negara, mereka menganalisa apa yang dilakukan warga negara. Apa yang paling cocok programnya. Jadi, masyarakat, stakeholder, diambil datanya bisa lewat IOT, sensor, segala macam, semuanya dikumpulkan di big data, kemudian dianalisa menggunakan deep machine learning, dianalisa oleh data science, lalu keluar dua hal utama. Satu, forecasting, melihat ke depan, sebaiknya apa yang dilakukan supaya masyarakat bisa maju dan sebagainya, program apa yang cocok. Kedua, klasifikasi, oke, warga negara yang miskin kira-kira kayak bagaimana karakternya, yang kaya seperti apa. Dari situ kita berusaha menghilangkan gap antara yang kaya dan yang miskin. Ini jadi program pemerintah untuk publik.

Kalau untuk KPU, yang melakukan pemilihan, kalau dikawinkan dengan data sekunder, misalnya program kampanye partai dikawinkan dengan hasil coblosan pemilih, bisa melihat klasifikasi rakyat tadi untuk melihat program apa yang cocok.

Jika KPU mendigitalisasi pemilu, isu apa saja yang berpotensi muncul?

Kami sebagai orang IT (information technology) melihat masalah kepercayaan. Biasanya ada tiga besar, pertama, masalah privacy. Yang boleh melihat hanya yang dituju saja. Kalau kita kirim sesuatu, kita gak mau informasi yang kita kirim dilihat oleh orang lain. Kedua, otentikasi. Ini yang kirim Ono benar atau Ono yang lain. Ketiga, integritas. Kalau Ono nyoblos partai A, sampai sana partai A lagi gak. Itu isu keamanan yang akan muncul.

Cuma, karena kita negara hukum, kita harus bisa membuat ini semua, makhluk elektronik yang gampang diubah ini, menjadi sesuatu yang bisa dibawa ke pengadilan, menjadi barang bukti di pengadilan. Itu namanya non-repudiation, artinya barang bukti yang tidak bisa dipungkiri di pengadilan. Padahal, barang bukti ini bentuknya file, softcopy. Misal C1 yang difoto. Mekanisme apa yang bisa dipakai untuk non-repudiation? Tiga hal tadi (privacy, otentikasi, dan integritas) bisa kita pakai.

Apakah digitalisasi bisa mengefisiensi dan mengefektifkan pemilu?

Bisa, cuma ini bukan kerjaan tambal sulam. Gak bisa kita bikin sistemnya, terus tambahin keamanan. Ini harus duduk bareng, kita bikin arsitekturnya bareng-bareng.

Saya tahu KPU sudah membuat Sirekap (Sistem Informasi Rekapitulasi). Itu jadi pelajaran berharga untuk bangsa Indonesia dan dunia, karena tidak banyak KPU dunia yang bisa melakukan hal ini. Nah, dari pelajaran yang kita dapat, kita bisa menerapkan empat hal (privacy, otentikasi, integritas, dan non-repudiation) untuk kita masukkan ke dalam arsitektur sistem yang keren. Informasi yang dipakai ada tanda tangan digital, bisa dipakai di Sirekap. Tanda tangan digital ini juga sebetulnya sudah dikembangkan oleh KPU.

Juga, yang harus dipahami, bahwa kalau kita pakai IT, ya prosesnya akan berubah. Ada struktur untuk menjaga transaksi. Urusannya, supaya privacy dijaga, ada sertifikat otentikasi, dan ini masuknya di UU ITE (Informasi dan Transaksi Elektronik). Tujuannya, adalah efisiensi. Jadi, yang saya sebut ada privacy dan sebagainya, urusannya untuk menjaga transaksi, dan transaksi urusannya agar efisien. Efisiensi dijaga banget dengan keamanan yang bentuknya enkripsi. Nah, di UU ITE, dijabarkan mengenai public key infrastructure dan certificate authority.

Lalu soal efketivitas, urusannya ke penyebaran knowledge. Contoh, bagaimana kita bisa menyebarkan hasil pemilu ke sebanyak mungkin orang agar tidak ada hoaks. Masalahnya adalah masalah rating, akreditasi informasi, dan bagaimana bisa tersebar ke banyak orang.

Jadi, efisiensi, itu dikawal oleh UU ITE. Yang satu lagi, efektivitas, lebih ke komisi penyiaran. Pola pikirnya beda antara efisiensi dan efektivitas. Beda makhluk. Yang satu lebih ke arah komunikasi, yang satu lagi ke arah kecepatan. Dalam bahasa yang sederhana, efisiensi adalah proses normal berapa hari, dengan IT berapa menit. Proses normal sekian rupiah, dengan IT sekian rupiah. Sementara efektivitas, berapa jumlah orang yang mendapat informasi tadi. Misal, 100 orang per hari menjadi sekian ribu orang per hari.

Untuk KPU, dua-duanya dibutuhkan. Yang satu cepet, kepengennya habis nyoblos langsung ketahuan hasilnya, dan hasilnya gak boleh salah. Satunya lagi efektivitas, bagaimana kita bisa mengatasi hoaks dan sebagainya. Kan banyak sekali quick count. Persepsi masyarakat kan bisa diubah dengan quick count. Nah, bagaimana bisa mengatasi quick count itu.

Anda punya pengalaman mengembangkan sistem hitung cepat di Pemilu Presiden 2019. Bisa diceritakan?

Ya, jadi kita iseng bikin Kawal Pilpres. Intinya, bisa enggak kita pakai teknologi yang sederhana, melibatkan masyarakat, melakukan pengawalan Pilpres. Hasilnya, kita publikasi di jurnal. Ini kerjaan dua bulan, dan berhasil. Ada 482 ribu data C1 Plano yang masuk. Pasukan kita hanya belasan. Otentikasinya pakai nomor telepon. Mereka menggerakkan relawan.  Memang banyak relawan yang suka ngaco, masukkin foto lain.

Teknologinya hampir sama dengan yang dipakai teman-teman KPU. Masyarakat bisa lihat di website, pantaukawalpilpres.id. Prosesnya, relawan foto C1 Plano, lalu kirim ke server kita. Ada proses verifikasi, waktu itu hanya ada 3 sampai 4 orang yang verifikasi, mereka kerja 24 jam.

Nah, yang beda banget, kita uji coba aplikasi chatting waktu itu. Ini turunan dari WA, dan WA sebenarnya turunan dari Sinyal. Jadi kita sudah menjamin ada privacy, otentikasi segala macam sudah dijamin sama Sinyal. Lalu, kita modifikasi Sinyal tadi sehingga kita bisa menjalankan micro apps di atasnya. Aplikasinya kita buat untuk data entry.

Nah, yang seru, waktu kita masukkin foto dan data entry, sinyal itu tidak harus ada. Jadi, masukkin saja, data akan diam di handphone, dan pada saat dapat sinyal, dia akan kirim semuanya. Ini bentuknya store and forward. Akibatnya, ini lebih susah di-hack. Hacker gak bisa masuk ke sistem, susah banget. Ini sudah mirip banget sama yang dipakai KPU. Jadi, artinya KPU sudah benar. Yang perlu dieksplorasi teman-teman KPU adalah pakai aplikasi chatting ini. Soalnya, kalau kita langsung kirim ke Sirekapnya, kalau gak ada sinyal, berabe.

Bagaimana dengan tren serangan?

Ada dua serangan besar, yang satu deep fake, yang satu lagi phising. Deep fake, kita bisa pura-pura jadi orang lain. Saya pernah coba pura-pura jadi Pak Jokowi, dan bisa. Saya ambil foto dan suara Pak Jokowi, itu bisa. Jadi, kacau banget. Serangan lain penipuan. Contohnya, quick count. Ada yang benar, tapi ada juga yang menipu.

Bagaimana mengatasi itu?

Mau gak mau bikin ekosistem, benteng digital. Kalau kita berpikir KPU pusatnya doang yang diamankan, boleh saja, tapi KPUD-KPUD ternyata juga bikin data center dan segala macam. Nah, kalau bisa, ketika membuat data center, mulai pikirkan agar itu kuat secara digital. Jadi, bukan hanya taruh rak, listrik, ada internet, tapi dibikin benteng agar kuat semua sehingga pendaftaran pemilih dan sebagainya sudah terintegrasi semua keamanannya, masuk di dalam infrastrukturnya.

Kesalahan-kesalahan yang terjadi, itu banyak karena budaya, salah arsitektur, kesalahan konfigurasi sistem, online otentikasi, juga karena pakai VPN yang free, akhirnya bisa diubah semua datanya. Memang ada yang kesalahan kita, ada juga serangan, itu yang bikin kita gampang kebobolannya.

Pada Sirekap, KPU memanfaatkan ponsel pintar petugas KPPS. Bagaimana agar proses di dalam ponsel pintar KPPS tetap aman?

Nah, hati-hati, handphone Anda kalau dipakai untuk lihat yang negatif, situs porno atau situs judi, mereka bisa masukkin virus atau Trojan ke dalam handphone. Jadi, keamanan hanya akan terjamin kalau handphone kita bersih.

Caranya, pertama, pastikan handphone kita aman. Kalau aplikasi, otentikasi segala macam, sudah diamankan oleh KPU. Jadi, bisa format ulang handphone Anda. Tetapi, waktu melakukan itu, jangan restore aplikasi. Jadi, betul-betul seperti handphone pabrik lagi. Itu betul-betul aman. Tapi tentu kalau melakukan itu, semua foto dokumen akan hilang.

Cara meminimalkannya, kita reset, kita instal Sirekap, lalu pakainya terbatas banget. Itu aman. Juga, handphone jangan dipinjamkan ke orang. Pakai juga jaringan VPN (Virtual Private Network). Atau enggak, KPU pakai komunikasi yang terenkripsi.

Kalau dari KPU, apa saja yang harus KPU lakukan untuk menjaga keamanan siber TI yang dikembangkan?

Begini, ibarat kamar hotel. Ruang sebelah sana punya Dukcapil (Dinas Kependudukan Catatan Sipil), ruang sana lagi punya partai, ruang sana lagi punya KPU. Misal, oke KPU bagus dan aman, tapi kalau ruang-ruang sebelah yang diajak komunikasi itu tidak aman, banyak maling dan sebagainya, ya bocornya nyampe ke KPU juga. Jadi, KPU harus menyadari kalau keamanan tidak bisa dilakukan KPU sendiri. Karena kalau enggak, KPU akan kena imbasnya.

Juga, hati-hati kalau kita pakai open API. Karena, API itu interface, pintu. KPU bicara sama Dukcapil, Kominfo (Kementerian Komunikasi dan Informatika), BPPT (Badan Pengkajian dan Penerapan Teknologi), segala macam, itu kan pakai API, server bicara dengan server. Kalau dia open, hati-hati, kalau bocor, ya kacau.

Konsekuensinya, kita harus bikin framework yang aman. Harus bisa ujungnya protect, tapi bisa identifikasi, improve, detect. Kayaknya KPU sudah mulai ke arah situ. Sistem-sistem itu sudah dibikin, walau mungkin masih modular-modular.

Kemudian, ada empat poin yang penting dalam suatu sistem: people, process, technology, dan physical. Seringkali kita berpikirnya teknologi banget. Kalau kondisi lama, oke lah fisik, ada Form C1, kertas coblosan. Jadi, kita mengamankan fisik. Nah, kalau kita ngomong IT, yang dilihat teknologinya doang, itu salah. Padahal, teknologi dan fisik itu ada di bawah proses, dan proses di bawah people.

Nah, soal people, bagaimana memastikan KPPS memahami dengan baik prosedur penggunaan aplikasi Sirekap?

Kalau saya lihat, KPU sudah menanamkan rambu-rambu supaya dipercaya. Misalnya, informasi yang di-upload, agar bisa dipercaya, ada digital signature dari fotonya, dan segala macam. Jadi prosedurnya sudah dibuatkan oleh KPU. Memang ngeri mengajari banyak orang mengenai prosedur yang benar. Nah, tidak bisa disiapkan sehari dua hari. Kasih training dari lama. Mereka kan juga harus otentikasi. Itu gak bisa dilakukan dalam waktu jam, apalagi jumlahnya ratusan ribu orang.  Bayangkan, ada misalnya 100 ribu orang harus otentikasi dalam waktu 8 jam. Itu, tiap berapa menit harus berapa otentikasi? Kalau begitu kan bisa tewas sistemnya.

Baik. Bagaimana soal server? Server KPU kerap menjadi isu yang dipermasalahkan di Pemilu. Ada yang mengusulkan agar server KPU disebar untuk membagi beban.

Kalau saya memandang persoalan server ini, pada dasarnya, baiknya cenderung tersebar. Cuma, kalau tersebar, ada masalah. Kalau kita sebar ke KPUD, menyebar faktor kesalahan manusia ke banyak daerah. Jadi, dengan kondisi keterbatasan manusia yang ada, saya cenderung ke pusat saja. Faktor manusia bisa lebih dari 80 persen jadi sumber masalah. Kalau pun tersebar, ya untuk penyebaran informasi, saja atau yang enggak fatal banget. Tapi, terpusat pun harus di beberapa titik sih. Biasanya punya dua atau tiga titik di pusat. Istilahnya, untuk disaster recovery center.

Di Pemilu 2019, masif terjadi hoaks terhadap Sistem Informasi Penghitungan Suara (Situng). Bagaimana semestinya informasi disebarkan agar cukup untuk menangkal hoaks?

Memang kalau kita pakai channel yang normal, misal KPU menaruh di website KPU, lalu berharap orang melihat, itu nyebarnya pelan banget. Ini tugasnya orang-orang komunikasinya KPU, humasnya KPU, bagaimana humas bisa merangkul teman-teman media agar informasi KPU bisa keluar di website-websitenya media online. Kalau bisa, dibuat aplikasi khusus untuk nge-push informasi terbaru di KPU ke media. Jadi, tempat penyebarannya ada dimana-mana, tidak hanya di website KPU.

Bagaimana agar masyarakat puas dengan teknologi yang dikembangkan KPU?

Ini masalah humas juga. Humas KPU sanggup gak menjawab ratusan ribu komplain yang masuk? Mereka harus jawab satu-satu loh itu. Kalau KPU punya machine learning, mungkin sebagian dijawab pakai artificial intelligence. Kalau enggak, itu manusia yang jawab satu-satu, ini bukan kerjaan enteng. Doa saya, humas sanggup melakukan itu.

Terakhir, bagaimana kita membentuk digital behavior kepada pemilih?

Kalau kita membebankan ke KPU, gak fair. Tapi kalau saya lihat secara umum, bangsa kita sudah bergerak ke arah digital behaviour tadi. Mudah-mudahan bisa dipercepat oleh Kominfo, Diknas (Pendidikan Nasional) dan sebagainya.

Masalahnya, kondisi jaringan real di Indonesia, serem. Ini tantangan teman-teman Kominfo. Kalau kita lihat 5G coverage di Indonesia, blank. Lalu masuk ke network coverage, kondisinya, di Jawa, kelihatannya bagus, tapi kalau di zoom, parah kondisinya. Jadi, kondisi real Indonesia, parah.

Solusinya, ada RT RW Net. Ada 60 ribu RT RW Net hari ini. Ada fiber optic masuk desa, buatan sendiri. Jadi, ada solusinya. Juga, untuk Sirekap, harus bikin alat atau aplikasi yang kalau jaringannya overload, dia bisa tahan tanpa ngasih tahu ke pengguna. Jadi, jangan sampai kata-kata bad gateway itu keluar dan diketahui pengguna. Biarin saja si handphone yang coba sendiri.