REPUBLIKA.CO.ID, oleh Dian Fath Risalah, Flori Sidebang, Fauziah Mursid
Niat pemerintah berkolaborasi dengan sejumlah platform digital untuk memudahkan masyarakat mengakses fitur PeduliLindungi dipandang harus dibarengi dengan penguatan perlindungan data pribadi. Berkolaborasinya 11 platform digital dengan PeduliLindungi memunculkan pertanyaan akankah data pribadi tetap aman. Hal ini lantaran sebelumnya terjadi kebocoran data pada aplikasi electronic Health Alert Card (e-HAC).
"Potensi (kebocoran data) sih selalu ada , karena platform-platform itu kan sebenarnya juga tidak kuat-kuat banget," kata Chairman Lembaga Riset Siber Indonesia CISSReC (Communication and Information System Security Research Center), Pratama Persadha saat dikonfirmasi Republika, Selasa (27/9). Sebanyak 11 aplikasi digital yang akan berkolaborasi yakni Gojek,Grab, Tokopedia, Tiket.com, DANA,Livin\' by Mandiri, Traveloka, Cinema XXI, LinkAja!, GOERS, dan JAKI.
Kolaborasi akan dimulai bulan depan. Nantinya masyarakat pengguna 11 aplikasi digital bisa mengakses PeduliLindungi di platform tersebut.
"Kita tahu bersama, sudah dilaporkan dua kali kebocoran tersebut tanpa ada respons dari Kemenkes selama sebulan. Aplikasi eHAC tersebut juga sebenarnya sudah tidak dipakai, namun dibiarkan terbuka tanpa pengawasan. Ini adalah faktor siapa dan bagaimana pengelolaannya," ujarnya.
Karena tidak bisa mengelola dana orang banyak hanya dengan standar yang ada saat ini. Apalagi dengan budaya keamanan siber yang belum terinternalisasi di banyak lembaga negara dan kementerian. "Secara hukum ini juga akan punya potensi masalah, karena masyarakat memakai dan meng-install PeduliLindungi karena aplikasi tersebut diwajibkan sebagai syarat selama pandemi," ucapnya.
"Bila hal ini berubah menjadi unit usaha yang menguntungkan, jelas akan menimbulkan banyak gugatan dari berbagai elemen masyarakat. Bila mau, harus dibuat aplikasi terpisah dan masyarakat punya pilihan meng-install atau tidak," tambahnya.
Dikonfirmasi terpisah, Kepala Pusat Studi Forensika Digital di FTI Universitas Islam Indonesia (UII) Yogyakarta, Dr Yudi Prayudi mengatakan, rencana kolaborasi PeduliLindungi dengan 11 platform digital tersebut masih relatif aman dalam keamanan data. Karena, kata dia, bila dilihat dari model bisnisnya, aplikasi PeduliLindungi hanya akan mengirimkan data sesuai dengan permintaan dari aplikasi kliennya.
"Sepertinya konektivitas PeduliLindungi ini hanya sebatas check status vaksinnya saja,"tuturnya. "Jadi misalnya saya gunakan Tiket.com, maka ketika saya memasukkan identitas penumpang dengan data NIK dan Nama, maka data ini akan di send via API ke PeduliLindungi, kemudian mengirimkan data hasilnya. Nanti di Tiket akan langsung muncul informasi apakah penumpang tersebut sudah vaksin atau belum. Kalau sebatas itu sebenarnya PeduliLindungi cukup aman," terangnya.
Pakar keamanan siber dari Vaksincom, Alfons Tanujaya mengatakan, rencana pengintegrasian fitur PeduliLindungi dengan sejumlah platform digital lain merupakan suatu hal yang positif dan patut diapresiasi. Namun, menurut dia, ada kendala mendasar yang belum dapat diatasi oleh PeduliLindungi, yaitu masalah kredensial yang tetap menggunakan data kependudukan atau nomor induk kependudukan (NIK).
"Sebagai gambaran, hanya dengan bermodalkan NIK dan nama lengkap saja, maka siapapun dapat mengakses database PeduliLindungi, terlepas dari apakah dia orang yang bersangkutan atau tidak," kata Alfons saat dihubungi Republika, Selasa (28/9).
Dia menjelaskan, hal ini menunjukkan kelemahan dari database yang dimiliki oleh PeduliLindungi. Karena tidak ada jaminan bahwa yang melakukan check-in atau mengakses layanan adalah pemilik KTP maupun NIK yang bersangkutan. "Jadi nanti informasi data pengguna PeduliLindungi yang mengakses layanan, misalnya masuk mal, naik kereta api atau layanan lainnya tidak dapat diandalkan untuk menjadi suatu patokan decision making," ujarnya.
"Dalam dunia IT istilahnya gigo, garbage input garbage output, atau dengan kata lain, data yang dimiliki oleh PeduliLindungi tidak andal. Karena tidak ada kepastian bahwa pengguna database adalah pemilik data," imbuhnya.
Alfons mengungkapkan, data yang dimiliki oleh e-commerce berbeda dengan data PeduliLindungi. Ia menyebut, data PeduliLindungi adalah data kependudukan. Sedangkan data e-commerce merupakan data kredensial dan data penggunaan layanan e-commerce. "Salah satu masalah yang dihadapi oleh PeduliLindungi adalah tidak adanya sistem kredensial yang baik yang dapat melindungi data dari penggunaanya dan itu dimiliki oleh e-commerce," ungkap dia.
Alfons menilai, sebenarnya layanan e-commerce maupun platform digital memiliki database yang bagus. Menurutnya, jika hal ini dikonversikan secara secure dengan data kependudukan yang dimiliki oleh PeduliLindungi, maka dapat menjadi kekuatan yang saling melengkapi dalam menjamin sistem keamanan data pengguna.
"Saya heran mengapa hal ini tidak dilakukan. Kalau berdalih bahwa ini adalah dokumen Dukcapil, mengapa tidak dilakukan koordinasi untuk hal yang penting ini," tuturnya.
"Kami pernah sarankan menggunakan digital id, tetapi lagi-lagi dibenturkan bahwa ini adalah ranahnya Dukcapil sehingga menemui jalan buntu. Namun, harusnya ini kan dicarikan dong solusinya. Jangan karena jalan buntu, lalu ngotot menggunakan data kependudukan sebagai (data) kredensial yang nyata-nyata sudah bocor kan," tambahnya menjelaskan.
Ia menambahkan, penggunaan kredensial adalah solusi yang paling murah dan realistis untuk mengatasi masalah yang dialami oleh PeduliLindungi. "Apakah bentuknya digital id atau apapun, intinya gunakan karya kredensial yang bisa diperkuat dengan two factor authentication," katanya.
Ikuti Whatsapp Channel Republika
