Baca berita dengan sedikit iklan, klik di sini
Poin penting
Sejumlah ahli siber mempertanyakan keamanan aplikasi Sirekap.
Server Sirekap disarankan menggunakan VPN.
Ketua KPU Hasyim Asy'ari membenarkan banyak kesalahan hitung yang ditemui di Sirekap.
JAKARTA – Sejumlah ahli siber mempertanyakan keamanan aplikasi Sistem Informasi Rekapitulasi (Sirekap) yang dimiliki Komisi Pemilihan Umum. Aplikasi untuk membantu proses penghitungan suara dalam Pemilihan Umum 2024 itu ditengarai rawan disalahgunakan.
Baca berita dengan sedikit iklan, klik di sini
Chairman Lembaga Riset Keamanan Siber CISSREC Pratama D. Persadha menilai Sirekap belum dirancang sebagai aplikasi yang aman. “Sebab, kita bisa mengakses server aplikasi itu secara langsung,” kata Pratama, kemarin.
Baca berita dengan sedikit iklan, klik di sini
Saksi dari perwakilan partai mendokumentasikan hasil penghitungan suara dari TPS saat rekapitulasi tingkat kecamatan di GOR Pengadegan, Pancoran, Jakarta Selatan, 16 Februari 2024. TEMPO/Febri Angga Palguna
Menurut dia, KPU seharusnya mengamankan akses koneksi dari kelompok penyelenggara pemungutan suara (KPPS) di tempat pemungutan suara (TPS) ke server Sirekap menggunakan VPN. VPN adalah perangkat lunak yang memungkinkan penggunanya tersambung ke layanan Internet secara pribadi. “Dengan begitu, tidak semua orang bisa terkoneksi ke server Sirekap,” ujarnya.
Aplikasi Sirekap juga tidak memiliki fitur digital signature atau validasi keaslian dokumen digital. Fitur itu penting untuk memastikan foto dan dokumen yang diunggah petugas KPPS tidak berubah selama proses transmisi ke server aplikasi itu. Apalagi data-data yang disimpan dalam server Sirekap belum dienkripsi—mengkonversi informasi menjadi kode rahasia. “Kalau sudah dienkripsi, datanya akan tetap dalam kondisi aman. Sebab, datanya tidak bisa dibaca oleh pihak yang tidak memiliki kunci untuk melakukan enkripsi,” ujarnya.
Menurut Pratama, KPU semestinya menyiapkan shared storage yang berada di server internal KPU. Sebab, informasi yang diterima CISSREC, saat Sirekap mengalami gangguan, petugas KPPS bisa mengirim data ke admin Sirekap menggunakan Google Drive. “Ini sama seperti halnya menyerahkan data penting kepada orang lain,” katanya. Shared storage adalah metode pengaturan tata letak ruang menggunakan prinsip FIFO (first in, first out), yakni barang yang cepat dikirim diletakkan di area penyimpanan yang dekat dengan pintu masuk-keluar.
Selain itu, kesalahan data masih ditemukan pada aplikasi Sirekap. Kesalahan itu berupa hasil penghitungan yang tidak sinkron antara data yang ditampilkan oleh Sirekap dan formulir C-Hasil yang didokumentasikan oleh KPPS. Menurut Pratama, masalah tersebut bisa terjadi karena kesalahan pembacaan teknologi pengenalan karakter optik (OCR) dan pengenalan tanda optik (OMR) ataupun kesalahan yang disengaja.
Kesalahan tersebut diperparah oleh tidak adanya fitur edit pada Sirekap saat pengisian data dalam pemilihan presiden di level TPS. Padahal petugas di TPS bisa melakukan pengeditan untuk surat suara lainnya, baik untuk calon legislator maupun senator. “Perbaikan kesalahan ini seharusnya bisa langsung direvisi di TPS di depan banyak saksi sehingga tidak menimbulkan kekisruhan,” ujar Pratama.
Sistem entry data yang digunakan KPU juga tidak memiliki fitur error checking atau pemeriksaan kesalahan. KPU semestinya bisa memasukkan fitur tersebut dengan mudah saat membuat sistem pada aplikasi itu. Dengan adanya fitur pemeriksaan kesalahan, kata Pratama, KPU bisa mencegah kesalahan memasukkan data, baik disengaja maupun tidak. “Jika dilakukan error checking pada saat entry, sistem akan menolak jika jumlah perolehan suara pemilihan presiden melebihi jumlah suara yang sah,” katanya.
Kegaduhan hasil penghitungan Sirekap ini semestinya tidak perlu terjadi jika KPU mampu mengembangkan sistem dengan baik dan memetakan potensi kesalahan yang mungkin muncul. Salah satu kesalahan yang semestinya telah diantisipasi KPU dari awal adalah masalah pembacaan OCR dan OMR. Sebab, aplikasi tersebut mesti membaca data surat suara lebih dari 820 ribu TPS.
“Apalagi kita tidak dapat tahu dengan pasti kondisi handphone Android yang digunakan oleh petugas KPPS,” ujar Pratama. “Terutama dari segi kualitas kameranya. Kalau bagus, ada kemungkinan bisa mengurangi kesalahan pembacaan OCR dan OMR.”
Masalah lain yang mencuat dalam proses rekapitulasi melalui Sirekap adalah IP server aplikasi tersebut yang diduga bukan dari Indonesia. IP server Sirekap diduga berada di luar negeri. Padahal, mengacu pada Pasal 20 Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik, penyelenggara sistem elektronik lingkup publik wajib melakukan pengelolaan, pemrosesan, dan/atau penyimpanan sistem elektronik dan data elektronik di wilayah Indonesia. “Pertanyaan penyimpanan server di luar negeri atau dalam negeri sampai sekarang juga belum jelas,” ujarnya.
Dugaan KPU menyimpan server Sirekap di luar negeri diungkapkan pakar telematika Roy Suryo. Menteri Pemuda dan Olahraga era Presiden Susilo Bambang Yudhoyono itu menemukan IP address dengan nomor 170.33.13.55 milik perusahaan Alibaba Cloud. Secara teknis, Sirekap terhubung dengan Web.kpu.go.id dengan IP address 170.33.13. Saat didalami, alamat situs web itu terhubung ke Alibaba di Singapura. Sedangkan laman Pemilu2024.kpu.go.id terhubung dengan Zhejiang Taobao Network Co, Ltd.
Pratama D. Persadha mengatakan, jika alasan KPU menggunakan layanan dari Alibaba adalah masalah keamanan yang lebih terjamin, sebetulnya penyelenggara pemilu tetap bisa bekerja sama dengan mereka. KPU seharusnya tetap bisa meminta mereka menempatkan data center server itu di Indonesia.
Pengelolaan Sirekap melalui cloud server milik orang lain, kata dia, artinya KPU mengambil risiko bahwa mereka bisa memiliki akses ke server untuk mengubah, merusak, merekayasa, atau bahkan menghancurkan data di dalam sistem. “Pihak yang memiliki akses fisik ke server ibaratnya adalah dewa yang bisa melakukan apa pun,” katanya.
Ketua Cyberity—komunitas peduli keamanan siber—Arif Kurniawan mengatakan diperlukan audit forensik terhadap aplikasi Sirekap untuk memastikan keamanannya. Apalagi berdasarkan penelusuran Cyberity, Pemilu2024.kpu.go.id dan Sirekap-web.kpu.go.id menggunakan layanan cloud yang lokasi servernya berada di Cina, Prancis, dan Singapura. Layanan cloud tersebut milik layanan penyedia Internet (ISP) raksasa Alibaba. “Hal paling mudah adalah melihat keamanan aplikasi dengan meminta KPU memperlihatkan audit keamanan Sirekap,” ujar Arif.
Dihubungi secara terpisah, pakar keamanan siber dan forensik digital dari Vaksincom, Alfons Tanujaya, mengatakan audit forensik adalah langkah untuk memastikan Sirekap bermasalah atau tidak. Publik ataupun lembaga pemantau pemilu juga perlu selalu mengecek hasil total suara dengan suara satuan calon untuk memastikan tidak terjadi lagi penambahan atau pengurangan suara ke peserta pemilu. “Jadi, kalau tidak memenuhi alasan logis, sebaiknya dipinggirkan dulu datanya untuk diperiksa secara manual. Setelah itu, baru dibenarkan,” katanya.
Kesalahan Sistem Pemrograman
Menurut Alfons, penyelenggara pemilu belum memperbaiki sistem Sirekap mereka. Padahal kesalahan utama Sirekap yang terlihat sejak alat itu digunakan adalah sistem pemrogramannya. Sirekap, kata dia, mesti bisa memperbaiki sistem pembacaannya agar tidak lagi ditemukan penjumlahan yang melebihi jumlah suara pemilih. “Kalau ada pasangan calon yang mendapat suara tidak logis, seharusnya bisa langsung terbaca,” ujarnya. “Jumlah pemilih maksimal di TPS hanya 300 orang. Masak, di sistem ada suara masuk sampai 600, bahkan 80 ribu. Itu kan lucu.”
Rekapitulasi penghitungan suara tingkat kecamatan di GOR Pengadegan, Pancoran, Jakarta Selatan, 16 Februari 2024. TEMPO/Febri Angga Palguna
Adapun Ketua KPU Hasyim Asy'ari membenarkan bahwa banyak kesalahan hitung yang ditemui pada Sirekap. Kesalahan itu terjadi karena ketidakakuratan foto formulir C-Hasil saat diunggah ke aplikasi Sirekap sehingga sistem pada aplikasi tersebut tidak bisa membacanya secara benar. “Meski begitu, data yang salah telah terseleksi dengan sendirinya oleh Sirekap dan diperbaiki,” ujarnya.
KPU, kata Hasyim, tidak mungkin merekayasa data hasil hitung yang tertuang di Sirekap. Apalagi publik bisa mengawasi proses hitung di Sirekap karena pada aplikasi tersebut juga diunggah foto asli penghitungan suara yang tertuang dalam formulir C-Hasil plano. Hasyim mempersilakan audit forensik terhadap sistem Sirekap. “Kami terbuka jika memang ingin diaudit,” tuturnya.
Hasyim membantah informasi yang beredar bahwa server Sirekap berada di luar negeri. Seluruh pengelolaan dan penyimpanan server Sirekap berada di dalam negeri. Hingga saat ini, kata Hasyim, aplikasi tersebut masih dikelola oleh Institut Teknologi Bandung sebagai pihak yang membangun dan mengembangkan Sirekap.
KPU telah bekerja sama dengan Gugus Tugas Siber, yang terdiri atas Badan Siber dan Sandi Negara, Badan Intelijen Negara, Direktorat Siber Badan Reserse Kriminal Polri, serta Kementerian Komunikasi dan Informatika, untuk menjaga keamanan aplikasi Sirekap. Hasyim tidak menampik bahwa aplikasi Sirekap telah menjadi sasaran serangan siber. “Serangan dan gangguan telah terasa sejak hari pemungutan suara,” ujar Hasyim. “KPU bersama Gugus Tugas Siber terus berupaya melakukan penanganan terhadap gangguan-gangguan itu.”
IMAM HAMDI
- Akses edisi mingguan dari Tahun 1971
- Akses penuh seluruh artikel Tempo+
- Baca dengan lebih sedikit gangguan iklan
- Fitur baca cepat di edisi Mingguan
- Anda Mendukung Independensi Jurnalisme Tempo