Identitas Kependudukan Digital dalam Bayang Ancaman Kebocoran Data

PARBOABOA - "Seperti setengahnya nyawa gue sebagai penduduk, gue percayakan ke situ," kata Elise (31) ketika ditanya pengalamannya menggunakan aplikasi Identitas Kependudukan Digital (IKD). 

Nada bicaranya serius tapi juga menyiratkan kepasrahan. Ia lantas bercerita tentang peristiwa yang terjadi Oktober 2022 lalu itu. Ia kebetulan sedang pulang ke kampung halaman di Wonogiri, Jawa Tengah. 

Kakaknya, yang seorang aparatur sipil negara, mengajak melakukan pendaftaran IKD. 

Berangkatlah seluruh keluarganya ke kantor Kecamatan. 

"Mau enggak mau itu," ucap Elise.

Selesai urusan di Kecamatan, aplikasi IKD sudah tertanam di ponsel Elise. Dalam aplikasi besutan Kementerian Dalam Negeri tersebut terdapat informasi data pribadinya seperti KTP, data kartu keluarga, hingga nomor telepon. 

Ia sadar ada risiko penggunaan aplikasi berisi data sensitif semacam itu. Salah satu yang paling nyata adalah ancaman kebocoran data pribadi. 

Elise menyangsikan keamanan data pribadinya di aplikasi IKD. Apalagi isu kebocoran data terus-menerus terjadi. 

"Get ready aja itu akan terjadi. Jadi selalu ada risiko," ujarnya.

Lain lagi dengan Dito (33). Kekhawatiran terhadap keamanan data pribadi membuatnya masih enggan menggunakan IKD. 

"Dari NIK bisa nge-link ke semua, termasuk akun bank. Itu yang masih membuat saya takut," imbuhnya.

Ditambah lagi, ia belum punya keperluan mendesak yang mengharuskannya menggunakan IKD. 

Suara sumbang seperti yang dilontarkan Elise dan Dito riuh rendah di tengah upaya pemerintah menggenjot penerapan IKD. 

IKD diharapkan mampu mengganti e-KTP fisik yang selama ini berlaku untuk keperluan layanan publik. 

Implementasi menyeluruhnya ditargetkan berlaku September 2024. Dasar hukum akselerasi tersebut mengacu pada Peraturan Presiden Nomor 82 Tahun 2023 mengenai percepatan transformasi digital dan keterpaduan layanan digital nasional. 

Aplikasi IKD tidak hanya akan berisi informasi kependudukan seperti KTP dan Kartu Keluarga, baik pribadi maupun seluruh anggota keluarga dalam satu KK. 

Ke depan, di dalamnya akan memuat informasi lain seperti  BPJS, sertifikat vaksinasi, Nomor Pokok Wajib Pajak (NPWP), bantuan sosial, daftar pemilih tetap (DPT) dan dokumen lainnya. Bahkan, informasi kepemilikan kendaraan bermotor juga akan terintegrasi di sana. 

IKD akan menghimpun semua informasi pribadi setiap warga negara. 

Tak ayal, aspek keamanan data menjadi salah satu isu sentral yang mengemuka. Kebocoran data pribadi sampai saat ini menjadi momok yang menghantui data pribadi masyarakat. 

Sepanjang 2022-2023 saja, kebocoran data masih marak terjadi. Korbannya lembaga pemerintahan hingga perusahaan pelat merah. 

Data milik BPJS Ketenagakerjaan, misalnya, diduga pernah dibobol oleh peretas dengan nama samaran Bjorka. Sebanyak 100 ribu data peserta BPJS dijual seharga USD10 ribu atau sekira Rp153 juta. 

Ada pula kabar kebocoran 15 juta data nasabah Bank Syariah Indonesia, peretasan 35 juta data pengguna My IndiHome dan kebocoran 34 juta data paspor WNI.

Dugaan kebocoran 337 juta data di Direktorat Jenderal kependudukan dan Pencatatan Sipil serta 252 juta data pemilih dari situs Komisi Pemilihan Umum (KPU) menambah panjang daftar itu. 

Penerapan IKD, tidak dimungkiri, punya kerentanan tinggi. Berdasarkan catatan ELSAM, lembaga yang menaruh perhatian di isu keamanan data pribadi, ada 5.300 institusi yang memiliki kerjasama akses dengan Kemendagri untuk data kependudukan. 

Data kependudukan tersebut juga meliputi informasi yang sensitif, seperti nama orang tua. Nama ibu kandung, misalnya, biasa digunakan untuk verifikasi data keuangan.

Kebocoran data dapat dimanfaatkan orang tidak bertanggung jawab untuk mendapatkan keuntungan ekonomi. Salah satu yang marak adalah penyalahgunaan data pribadi orang lain untuk pengajuan pinjaman online. 

Risiko kebocoran kian besar lantaran hampir seluruh layanan publik mengandalkan data-data yang dikelola Kemendagri tersebut.

"Salah satunya itu data-data di sistem informasi administrasi kependudukan yang nanti akan bertransformasi jadi IKD," ungkap Parasurama Pamungkas, peneliti di lembaga Elsam kepada Parboaboa.

Komitmen Kemendagri terhadap risiko keamanan pun dipertanyakan. Terdapat klausul dalam syarat dan kebijakan privasi IKD yang dinilai melanggar prinsip perlindungan data pribadi (PDP) sesuai Undang-Undang nomor 27 tahun 2022.

Dalam salah satu klausul, Kemendagri menyatakan tidak bertanggung jawab terhadap kerugian pengguna. Ini, menurut Pamungkas, menyalahi prinsip UU PDP yang mengharuskan adanya perlindungan terhadap hak subjek data.

"Kemendagri mencoba main aman, dengan membuat klausul bahwa instansi tidak akan bertanggung jawab terhadap kerugian," analisis Pamungkas.

Seharusnya, lanjutnya, subjek data memiliki hak atas ganti rugi dari pengendali data, dalam hal ini Kemendagri. Ia mendesak Kemendagri mengevaluasi ulang syarat dan ketentuan dalam aplikasi IKD agar sesuai prinsip perlindungan data pribadi. 

"Termasuk masalah pembatasan kewajiban dan penyelesaian sengketa serta ketentuan mengenai perubahan (data)," tegasnya. 

Pamungkas juga menyoroti soal permohonan perizinan aplikasi, terutama terhadap galeri dan ruang penyimpanan di ponsel pintar. 

Kemendagri, kata dia, harus dapat menjelaskan manfaat dari akses tersebut, apakah hanya digunakan untuk proses layanan identitas digital. 

"Bentuknya pun sebaiknya tertulis sehingga subjek data dapat menuntut haknya jika terjadi pelanggaran," tambahnya.

Sementara itu, Peneliti Safenet, Nenden Sekar Arum, menilai digitalisasi administrasi kependudukan ke dalam IKD terkesan tergesa-gesa. Terlebih pemerintah punya rekam jejak buruk dalam penanganan kebocoran data yang kerap terjadi.

"Jadi modelnya selama ini jadi pemadam kebakaran aja gitu," ujarnya saat diwawancarai Parboaboa. Yang Nenden maksud, pemerintah kerap baru turun tangan ketika kebocoran data sudah terjadi. 

Menurut Nenden, perlindungan data di IKD perlu ketegasan komitmen dari pemerintah. Di dalamnya termasuk kesiapan mekanisme pencegahan atau standar prosedur operasional (SOP) untuk mengantisipasi insiden kebocoran data di aplikasi IKD.

"Misalnya perlu waktu berapa kali 24 jam untuk langkah pemulihan jika terjadi kebocoran data. Itu yang aku enggak tahu mereka udah punya apa belum," imbuh dia.

Sementara bagi lembaga riset keamanan siber dan komunikasi CISSReC, berulangnya kebocoran data menunjukkan lemahnya keamanan siber Indonesia.

Direktur CISSRec, Pratama Dahlian Persadha menilai, serangan tersebut kian memperburuk sektor infrastruktur informasi vital nasional (IIVN). 

Ia menyarankan pemerintah memperbaiki celah keamanan sistem yang digunakan. Salah satunya melakukan enkripsi data.

"Sehingga jika peretas berhasil mencuri, data masih dalam keadaan terenkripsi, tidak dapat dibaca atau dimanfaatkan," imbuh Pratama. 

Keraguan masyarakat terhadap keamanan data di aplikasi IKD dijawab Direktur Jenderal (Dirjen) Dukcapil di Kemendagri, Teguh Setyadi.

Menurutnya, keamanan data menjadi perhatian utama lembaganya dalam penerapan IKD. Hal itu dilakukan  seiring dengan pembenahan infrastruktur IKD. 

Melalui aplikasi perpesanan kepada Parboaboa, Teguh menjabarkan 10 standar keamanan IKD. 

Di antaranya penerapan ISO 27001 di Dukcapil maupun kementerian/lembaga, audit oleh Badan Siber dan Sandi Negara (BSSN) dengan penilaian keamanan teknologi informasi (ITSA), penggunaan jaringan tertutup, penggunaan firewall next gen dan pembaruan keamanan menggunakan open web application security project.

Sementara itu, Direktur Pengelolaan Informasi Administrasi Kependudukan (PIAK) di Kemendagri, Handayani Ningrum, menegaskan terdapat sejumlah langkah untuk memperkuat keamanan IKD. 

"Dan kami diaudit baik dari eksternal maupun internal. Hasil audit itu kan independen dan tidak bisa dipengaruhi," katanya menjawab Parboaboa.

Selain itu, Dukcapil Kemendagri juga menggandeng Kementerian Komunikasi dan Informatika serta Badan Siber dan Sandi Negara (BSSN) jika terjadi peretasan atau kebocoran data.

Hal itu sesuai dengan amanat Undang-Undang nomor 24 tahun 2013 tentang Administrasi Kependudukan. Ia juga mengklaim lembaganya telah melakukan sosialisasi soal IKD.

Salah satu tujuannya adalah meningkatkan kesadaran masyarakat agar turut serta melindungi data pribadi. Jangan sampai kebocoran terjadi justru dari kelalaian di sisi pengguna. 

Reporter: Faisal Bachri