Rumah Pemilu Indonesia Election Portal
Dr. Hasyim Gautama, CSIM, ISMS-LA, ahli bidang informasi dan teknologi (IT), memberikan keterangan pada sidang perkara di Badan Pengawas Pemilu (Bawaslu). Kasubdit Aplikasi Layanan Kepemerintahan Kementerian Komunikasi dan Informasi ini menguraikan peraturan sistem elektronik yang berlaku di Indonesia, yang semestinya dijadikan panduan oleh Komisi Pemilihan Umum (KPU) dalam penerapan kebijakan Sistem Informasi Partai Politik (Sipol).
Simak tanya-jawab majelis sidang dengan Hasyim Gautama dalam format wawancara.
Bagaimana aturan sistem elektronik di Indonesia?
Aturan tertinggi di negara kita yang mengatur sistem elektronik adalah Undang-Undang (UU) No.11/2008 tentang informasi dan transaksi elektronik. Terkait penanganan dan penyelenggaraan elektronik ada di Pasal 15 ayat 1, yakni setiap penyelenggara sistem elektronik (PSE) harus menyelenggarakan sistem elektronik secara andal dan aman, serta bertanggung jawab terhadap beroperasinya sistem elektronik sebagaimana mestinya.
Keterangan detail mengenai andal dan aman, diatur oleh UU di bawahnya. Andal maksudnya sesuai kebutuhan PSE. Aman itu ada tiga elemen. Satu, ketersediaan, tidak mati, tersedia terus-menerus. Kalau mati, berarti tidak aman. Dua, integritas. Kalau data utuh, maka ada keutuhannya. Misalnya, transfer satu juta, sampainya satu juta juga. Tiga, kerahasiaan. Kalau ada data rahasia, kalau bocor, berarti tidak aman.
Dalam peraturan, yang bertanggung jawab atas sistem elektronik adalah PSE, bukan Kementerian Komunikasi dan Informasi (Kemenkominfo). Kemenkominfo memberikan konsultasi, saran, dan memantau sistem elektronik tersebut.
Berarti, KPU adalah PSE?
Pasal 1 angka 4 Peraturan Pemerintah tentang Sistem dan Transaksi Elektronik (PSTE) No. 82/2012 mengatakan bahwa PSE adalah setiap orang, penyelenggara negara, badan usaha, dan masyarakat yang menyediakan, mengelola, dan atau mengoperasikan sistem elektronik secara sendiri maupun bersama-sama kepada pengguna sistem elektronik untuk keperluan dirinya dan atau keperluan pihak lain.
Merujuk pada definisi PSE, maka KPU jelas adalah PSE, karena dia penyelenggara negara. Dia kena kewajiban PP ini.
Apa saja kewajiban-kewajiban KPU sebagai PSE?
Sedikitnya ada empat. Pertama, kewajiban pendaftaran. KPU wajib mendaftarkan sistem elektroniknya ke Kemenkominfo. Kalau mendaftar, setelah ikuti tata caranya, akan menerima tanda terdaftar berupa nomor.
Kedua, wajib memiliki pengamanan sistem elektronik. Peraturan Menteri No.4/2016 tentang Sistem Manajemen Pengamanan Informasi (SMPI), sistem elektronik dikategorikan berdasarkan tingkat resikonya, yaitu rendah, tinggi, dan stratgeis. Kalau resikonya rendah, dampaknya hanya kepada satu dua orang, pengamanan gak perlu tinggi-tinggi. Kalau resikonya tinggi dan strategis, artinya berdampak secara nasional, maka wajib memiliki sertifikasi pengamanan. Yang mengeluarkan sertifikat adalah lembaga pihak ketiga, bisa swasta bisa negeri, tapi harus yang diakui oleh Kemenkominfo.
Ketiga, tata kelola. Tata kelola software, hardware. Intinya, mengatur agar pengelola sistem elektronik sesuai dengan bisnisnya.
Keempat, sertifikasi transaksi elektronik. Pasal 30 ayat 1, mewajibkan agar sistem elektronik punya sertifikat kelayakan. Apakah sistem layak untuk melayani publik? Tapi, karena belum ada permennya (peraturan menteri), jadi belum bisa dilaksanakan.
Kalau menurut Ahli, sipol masuk kategori resiko rendah, atau tinggi dan strategis?
Untuk menghitung skala resikonya, bisa melihat ketentua. Ada sepuluh pertanyaan untuk mengkategorisasi. Nanti dijawab, ada total skor.
Kalau Sipol, memang saya belum melakukan exercise berdasarkan sepuluh pertanyaan itu, tapi kalau lihat ruang lingkup Sipol yang nasional, berarti Sipol masuk resiko tinggi dan strategis.
KPU mengklaim telah mendapatkan sertifikasi dari Badan Pengkajian dan Penerapan Teknologi (BPPT). Apakah BPPT termasuk lembaga sertifikasi?
Bukan, dia tidak termasuk.
KPU mengatakan bahwa Sipol ini https. Klaimnya, https lebih aman dan data-datanya lebih terlindungi. Benarkah?
Https ini hanya salah satu metode pengamanan. Apakah cukup? Harus dilihat dulu. Apakah sistem elektronik yang diamankan beresiko rendah, atau tinggi dan strategis?
Kalau untuk strategis, https hanya satu dari sekian banyak standar aturan yang ditetapkan oleh Permen Kemenkominfo No.4/2016. Standar keamanan untuk sistem elektronik beresiko tinggi dan strategis adalah SNI 27001. Untuk SNI1 27001, menggunakan https hanya salah satu tindakan pengamanan.
Jadi, apakah cukup? Tidak cukup. Sertifikat pengamanan tidak akan keliar jika pengamanan hanya menggunakan https.
Dalam hal untuk mendukung keamanan data, KPU menyatakan menggunakan Apache Tomcat. Apakah Apache Tomcat memiliki standar pengamanan yang tinggi dalam melindungi data?
Apache Tomcat bukan sistem pengamanan. Itu adalah web engine. Kalau pertanyaannya stabil atau tidak, ya, dia stabil. Kalau pengamanan itu, pakainya misal, Firewall.
Kalau ada data yang hilang setelah diisi, atau diisi tapi data bermigrasi, apakah itu stabil? Adakah kaitannya dengan Apache Tomcat?
Tidak. Data hilang itu ada di level aplikasi. Aplikasi Sipol dibuat dengan bahasa pemrograman apa? Ini yang menentukan integritas data terjaga atau tidak.
Aplikasi apa yang memiliki integritas data yang baik? Aplikasi Java atau PHP, apakah andal?
Kalau dibangun dengan PHP, itu sangat tidak handal. Karena, PHP ini sifatnya sederhana, mudah dipakai, tapi tidak bisa digunakan untuk data entry. PHP, kalau data entry, datanya sering hilang. Seperti metode pos, kalau kirim barang, apa dipantau terus? Tidak.
Kalau Java, ini lebih rumit, lebih susah, tapi dia punya metode konfirmasi. Jadi, data ini sampai atau tidak, sistemnya akan terus menunggu sampai data bisa dipastikan sampai ke tujuan. Kalau tidak sampai, dia akan complaint. Jadi, Java sangat bermanfaat untuk data entry.
Menurut Ahli, Sipol dibangun dengan PHP atau Java?
Bahasa pemrograman Sipol pakai PHP.Kalau kita buka kodenya, bisa dilihat, itu bahasa pemrogramannya pakai PHP. Jadi, sangat mungkin kalau data hilang saat di-entry.
Jika publik mengisi data, kemudian data itu hilang, siapa yang dirugikan? Pengguna (partai politik) atau yang punya sistem (KPU)?
Siapa yang berkepentingan? Kalau pengguna, ya pengguna yang rugi. Misal harus unggah sesuatu untuk memenuhi syarat tertentu, berarti pengguna yang rugi.
Kalau sistem mengalami maintenance selama satu jam, boleh tidak?
Kalau sistem elektronik strategis tidak boleh mati. Biasanya, standar teknisnya, ada yang mensyaratkan 99 persen. Artinya, dalam satu tahun itu hanya boleh mati 7 jam, akumulatif. Standarnya 7,2 jam.
Kalau maintenance, sistem boleh dimatikan. Tapi, hanya beberapa menit matinya. Itu pun pilih waktunya malam, dimana sedikit orang yang mengakses.
Kalau dalam waktu 14 hari, server maintenance selama dua jam, melanggar peraturan tidak?
Kalau 14 hari, ya mungkin hitungannya hanya 1 atau 2 menit matinya.
Jadi, apakah itu termasuk pelanggaran?
Secara hukum aturan perundang-undangan, jelas pelanggaran. Di UU Informasi Transaksi Elektronik (ITE) Pasal 15 ayat 1, setiap PSE harus menyediakan sistem elektronik yang aman, andal, dan bertanggungjawab.
