Selasa (14/5) Dewan Kehormatan Penyelenggara Pemilu (DKPP) membacakan putusan No.4-PKE-DKPP/I/2024 yang diajukan oleh seorang wiraswasta atas nama Rico Nurfiansyah Ali. Dalam putusannya, DKPP memberikan sanksi peringatan kepada seluruh anggota Komisi Pemilihan Umum (KPU) RI. 7 anggota KPU RI tersebut dinilai DKPP tidak bertanggungjawab kepada publik, serta melanggar prinsip terbuka dan akuntabel, karena tidak menginformasikan secara tuntas perihal kasus kebocoran data pribadi pemilih pada Sistem Informasi Data Pemilih (Sidalih).
“Berdasarkan ketentuan a quo, Para Teradu diwajibkan melakukan pemberitahuan kepada masyarakat sebagai bentuk pertanggungjawaban publik. Hal tersebut sejalan dengan prinsip jujur, kepastian hukum, tertib, terbuka dan akuntabel selaku penyelenggara Pemilu,” Putusan DKPP No.4-PKE-DKPP/I/2024, halaman 27.
Dalam keterangan yang diberikan oleh KPU RI, KPU menyampaikan bahwa pihaknya tak menginformasikan secara lengkap kepada publik terkait insiden kebocoran data pribadi dikarenakan belum dapat dibuktikannya kebocoran data pribadi oleh pihak Kepolisian. Kepolisian masih melaksanakan tahap penyelidikan.
Dalam putusan DKPP, setidaknya terungkap tiga fakta. Pertama, bahwa KPU telah mengetahui adanya dugaan kebocoran data pemilih pada Sidalih sejak 27 November 2023, sekitar pukul 15.00 WIB. Guna memeriksa insiden tersebut, KPU menggelar rapat koordinasi bersama Tim Gugus Tugas Keamanan Siber Teknologi Informasi dan Komunikasi KPU yang terdiri dari KPU, Bareskrim Polri, Badan Sandi dan Siber Negara (BSSN,) Badan Intelijen Negara (BIN), dan Kementerian Komunikasi dan Informatika (Kominfo) pada 29 November 2023.
Fakta kedua yakni, bahwa benar telah terjadi aktivitas ilegal pada Sidalih berupa pengunduhan data secara tidak sah. Aktivitas illegal tersebut tidak menggunakan jaringan VPN, tetapi melalui jaringan internet, dan akses tersebut tidak tercatat pada log firewall. Berdasarkan hasil analisa terkait cara peretasan, pelaku yang diduga melakukan peretasan terhadap aplikasi Sidalih melakukan upaya legitimate atau mengubah status akun menjadi admin, lalu masuk ke masing-masing portal Sidalih KPU Kabupaten/Kota untuk mengambil data dari fitur aplikasi Sidalih. Namun, karena besarnya IP address pada saat terjadinya penarikan data secara ilegal, maka pelaku sulit ditemukan.
“Berdasarkan hasil pemeriksaan forensik digital yang dilakukan oleh BSSN pada tanggal 2 Desember 2023, ditemukan fakta bahwa berdasarkan hasil analisis pada access log, diperoleh informasi adanya akses data ke dalam server Sidalih pada tanggal 26-27 November 2023 sejumlah 22,34572325 GB,” Putusan DKPP No.4-PKE-DKPP/I/2024, halaman 26.
Fakta lainnya ialah, KPU RI telah mengadukan peristiwa peretasan dan pengambilan data secara ilegal kepada Kepolisian pada 5 Desember 2023. Namun, hingga pengadu menggugat KPU RI kepada DKPP pada Februari 2024, kebocoran data pribadi belum dapat dibuktikan oleh pihak Kepolisian.
Adapun sebagai respons terhadap kebocoran data pribadi pemilih, KPU RI telah menempuh beberapa langkah, di antaranya, menonaktifkan akun pengguna Sidalih sebagai upaya penanganan peretasan lebih lanjut, menganalisis log access, user management, dan log lain baik dari aplikasi maupun server, menghapus fitur “Ubah Role” dan “Wilayah” pengguna, serta menambahkan security modul Captcha dan 2FA (two-factor authentication).
Pada persidangan, KPU RI menyampaikan bahwa Sidalih telah tersertifikasi ISO/IEC 27001:2013 dengan nomor sertifikat IS 762126 (vide Bukti T-3). Sidalih juga sudah terdaftar di Kominfo pada 7 Juni 2018 (vide Bukti T-6) dan telah melalui serangkaian uji coba keamanan siber dengan melibatkan pihak BSSN melalui kegiatan Information Technology Security Assessment (ITSA). []