Apakah Pedulilindungi "Peduli" Data Pribadi Kita?

Keamanan sebuah aplikasi tidak melulu hanya keamanan secara teknis, tapi lebih dari itu, perlu diperhatikan tata kelola, SDM pengelola, proses bisnis, dan faktor lainnya yang membuat aplikasi itu bekerja. Celah keamanan bisa muncul dari sana

Disclaimer dulu ya, saya bukan pakar IT apalagi pakar keamanan siber. Saya hanya seorang pegiat literasi digital yang terusik dengan kasus terkait aplikasi PeduliLindungi yang marak belakangan ini

Aplikasi PeduliLindungi (PL) sebagai sebuah aplikasi resmi dari pemerintah dan "wajib" hukumnya dipasang di ponsel pintar warganet +62 di masa pandemi COVID-19 ini tentunya mendapat sorotan besar terkait kinerja dan keamanannya. Banyak isu berseliweran di media sosial yang mengangkat aplikasi PL ini, tapi ada tiga kasus yang berturut-turut muncul dalam minggu ini yang membuat orang bertanya-tanya, apa yang sebenarnya terjadi?

Kasus 1:
Gambar Sertifikat Vaksin Presiden Joko Widodo beredar di media sosial

Tersebarnya Sertifikat Vaksin Presiden Jokowi terjadi karena memang kita bisa dengan bebas mengakses sertifikat vaksin seseorang asal memiliki data berikut: nama lengkap, NIK, tanggal lahir, tanggal vaksin dan jenis vaksin. Tujuannya adalah memudahkan masyarakat mengakses sertifikatnya

Caranya? Buka saja: https://pedulilindungi.id/periksa-sertifikat
Nah kasus ini muncul karena orang dengan mudah mendapatkan data-data presiden ini, mulai dari NIK dari situs KPU, termasuk tanggal dan jenis vaksin yang banyak tersebar infonya di media.

Jadi bukan karena bobol, tapi memang aplikasi ini menyediakan fitur untuk itu.

Pertanyannya: apakah memang perlu KPU mempublikasikan NIK dari calon presiden/wakil presiden?

Kasus 2:

Pembobol PeduliLindungi, Jual Sertifikat Vaksin Aspal

Pembobolan ini bukan dilakukan seorang "hacker" yang meretas sistem PL, tapi dilakukan oleh oknum petugas yang memiliki akses ke data NIK penduduk dan input data sertifikat melalui aplikasi Pcare BPJS. Jadi dia punya otoritas untuk memasukkan data vaksinasi, sehingga dia bisa menawarkan jasa pembuatan sertifikat vaksin aspal, asli tapi palsu.

Kemananan sistem memang bukan masalah teknis semata, tapi juga terkait dengan tata kelola dan SDM-nya. Walaupun sistemnya tidak "dibobol" secara langsung, tapi di luar sistem kejadian ini bisa terjadi

Kasus 3:

Data Aplikasi eHAC Dilaporkan Bocor

Tim peneliti dari vpnMentor, merilis informasi adanya celah dalam aplikasi eHAC yang mengakibatkan mereka dapat mengambil data di dalamnya dengan mudah
Kementerian Kominfo mengeluarkan rilis terkait hal ini, salah satu poinnya adalah: "Dugaan insiden kebocoran data pribadi ini tidak mempengaruhi keamanan data pada aplikasi eHAC yang terintegrasi dengan aplikasi PeduliLindungi, di mana penyimpanan data telah dilakukan di Pusat Data Nasional (PDN)"
Tapi kan data di aplikasi eHAC yang lama udah bocor ya? Terus gimana dong?

Jadi apa kesimpulannya?

Melihat tiga kasus di atas, secara sistem, aplikasi PeduliLindungi memang tidak terbukti bocor, dan bisa disebut aman sampai saat ini, seperti klaim dari pemerintah sebagai pemilik aplikasi. Akan tetapi secara tata kelola tampaknya masih banyak yang perlu dibenahi. Karena walaupun aplikasi diklaim aman, di dunia siber tidak ada yang 100% aman, perlu tata kelola yang terus diperbaiki.

Dan tentunya pemerintah sebagai pengelola data pribadi kita harus bertanggung jawab penuh atas segala kebocoran data yang terjadi. Bukan saling melempar tanggung jawab dan berkelit dari kesalahan. Perlu transparansi publik atas proses mitigasi yang berjalan, sehingga masyarakat pun bisa paham atas upaya yang dilakukan pemerintah

Ya tentunya Literasi Digital perlu didorong agar masyarakat lebih peduli terkait keamanan data pribadinya. Akan tetapi terkait hal ini, tanggung jawab pengelola data, dalam hal ini pemerintah harus lebih diutamakan. Dan juga, negeri ini perlu segera punya regulasi yang bisa melindungi data pribadi rakyatnya.

Jadi kapan nih Rancangan Undang-Undang Pelindungan Data Pribadi akan disahkan? Mau tunggu seberapa banyak lagi masyarakat yang jadi korban?