Hasil Analisis Pakar IT Soal Web KPU dan Sirekap: Pakai Alibaba Cloud Hingga Sistem Yang Kuno

DEMOCRAZY.ID - Pasca Pemilihan Umum atau Pemilu 2024, publik dihebohkan dengan anomali dalam penghitungan suara yang direkapitulasi oleh sistem Komisi Pemilihan Umum atau KPU. 

Terdapat perbedaan penjumlahan suara melalui formulir C1 dengan data tabulasi pada sistem sirekap-web.kpu.go.id dan pemilu2024.kupu.go.id.

Melihat kejadian itu, Ketua Cyberity Arif Kurniawan melakukan riset dan investigasi pada dua situs yang dimiliki oleh KPU. 

Dari penelusurannya bersama tim investigasi gabungan, ia menyoroti sejumlah hal terkait sejumlah masalah dalam sistem IT KPU.

Selain Cyberity, pakar telematika Roy Suryo juga mengungkapkan sejumlah masalah dalam situs dan sistem IT KPU. Berikut ulasannya:

Server KPU berada di luar Indonesia

Dari hasil penelusuran Cyberity, Arif mengatakan server KPU ternyata berada di luar Indonesia. 

"Sistem pemilu2024.kpu.go.id dan sirekap-web.kpu.go.id menggunakan layanan cloud yang lokasi servernya berada di RRC, Perancis dan Singapura," kata dia.

Layanan cloud yang digunakan juga diketahui milik layanan penyedia internet (ISP) raksasa Alibaba. 

Cyberity juga menemukan posisi data dan lalu lintas email pada dua lokasi, yaitu Perancis dan Singapura, berada dan diatur di luar negeri, tepatnya, di RRC yang terkoneksi menggunakan provider Alibaba Cloud.

Sementara Roy Suryo menyebut dari penelusurannya, IP address 170.33.13.55. adalah IP address milik perusahaan Alibaba Cloud. 

Secara teknis, Sirekap terhubung dengan web.kpu.go.id dengan IP Address 170.33.13. Saat didalami, alamat web itu terhubung ke Alibaba Singapura.

Adapun, laman web pemilu2024.kpu.go.id, kata Roy, terhubung dengan Zhejiang Taobao Network Co., Ltd.

Rawan bocor

Dengan penggunaan server itu, Arif menilai ada celah kerawanan keamanan siber pada aplikasi pemilu2024.kpu.go.id. yang juga mengakibatkan ketidakstabilan aplikasi Sirekap. 

"Sistem Informasi Rekapitulasi Suara dan Manajemen Relawan terjadi justru ketika pada masa krusial, masa pemilu dan beberapa hari setelahnya," kata dia.

Merujuk Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PSTE) dan Undang Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (PDP), data seluruh masyarakat Indonesia harusnya berada di Indonesia. 

"Karena menyangkut sektor publik dan dihasilkan oleh APBN, dana publik dan sejenisnya, maka data penting seperti data pemilu mestinya diatur dan berada di Indonesia itu ada aturannya di Pasal 20 PP Nomor 71/2019," kata Arif.

Senada, Roy Suryo menjelaskan Alibaba hosting umumnya dipakai perusahaan swasta untuk e-commerce. 

"Jadi data-data penting pemilu kita akan campur dengan jutaan data lain dan ini berisiko bocor. Atau kalau ada gangguan server, maka data pemilu jadi terganggu," ujar dia.

Kejanggalan yang tak diperbaiki

Arif mengatakan kejanggalan-kejanggalan pada sistem IT KPU sebetulnya sudah terjadi sejak lama. Ia mengingatkan kasus bocornya data pemilih dari situs KPU pada 2023.

"Ratusan juta informasi WNI bocor di publik internasional. Hingga saat ini, kasus itu dibiarkan menguap. Entah kenapa, saya juga bingung. Seakan data manusia Indonesia itu tidak berarti apa-apa di mata pemerintah yang harusnya melindungi mereka," kata Arif.

Masalah tersebut, menurut Arif, terkesan dibiarkan begitu lama dan menimbulkan kegaduhan di masyarakat. Hingga saat ini, ia menilai KPU belum menunjukkan niat untuk memperbaiki sistem IT.

"Jika iya (berniat memperbaiki), ada audit keamanan IT, coba publikasikan hasil audit itu. Tapi ternyata tetap tidak ada audit keamanan IT itu," ujar Arif.

Di sisi lain, KPU sudah mengklarifikasi temuan kejanggalan itu. Mereka mengakui terdapat kesalahan akibat ketidaksempurnaan pembacaan Optical Character Recognition atau OCR dokumen C1 yang diunggah melalui Sirekap. Kesalahan itu terjadi di 2.325 Tempat Pemungutan Suara (TPS).

Namun, kata Arif, belum ada hasil audit keamanan sistem yang diperlihatkan oleh KPU. Bahkan juga, tidak ada hasil audit perlindungan data warga setelah kejadian kebocoran data DPT yang terjadi pada 223.

"Kami meminta KPU memperlihatkan kepada publik perihal audit keamanan sistem dan audit perlindungan data WNI agar tidak menimbulkan keresahan di masyarakat," kata Arif.

Roy Suryo pun menyoroti soal KPU yang tak pernah menyampaikan kepada publik soal lelang perusahaan yang akan menghimpun data pemilih ke Alibaba Cloud. 

"Sertifikasinya saja melalui Kementerian Komunikasi dan Informatika. Saya terus terang mempertanyakan itu. Itu harus ada uji publik, dan kita tak pernah mendengar ada uji publik," katanya.

Uji publik itu tak hanya dilakukan di Jakarta. Hal itu harus dilakukan di semua daerah. "Satu sistem yang jalan di Jakarta belum tentu berjalan di 38 provinsi di Indonesia," ujar Roy.

Berikutnya, operatornya harus dipertanyakan. Apakah mereka mampu mengelola data tersebut. 

"Operatornya belum tersertifikasi kemudian kita pertaruhkan data publik ini kepada petugas yang belum tersertifikasi?" kata Roy.

Menurut Roy, hal itu berdampak pada penghitungan suara sementara yang dipublikasi melalui web KPU tersebut. 

"Yang terjadi sekarang kan begitu, angka 1 berubah menjadi 4, 78 berubah menjadi 780. Itu karena sistem dan orang (pengelola) tidak tersertivikasi," kata dia.

Di sisi lain, Roy menilai sistem yang dipakai Sirekap mengunggah C1 plano, penghitungan suara pemilih itu sudah kuno. 

Berbasis optical character recognizer (OCR) dan optical mark reader (OMR), Roy menilainya bukan hal baru sebab embrio dari perangkat itu sudah ada semenjak 1914.

"Ironisnya KPU tak bisa memanfaatkan secara maksimal, bahkan bisa dibilang asal-asalan dan menimbulkan banyak kesalahan teknis," kata Roy.

Kesalahan teknis itu dibuktikan dengan adanya jumlah suara C1 tak sesuai dengan hasil konversi melalui pemilu2024.kpu.go.id. 

Hal itu akhirnya berujung pada kasus konversi penghitungan suara yang dikritik banyak orang sehingga diduga ada unsur pelanggaran terstruktur, sistematis, dan masif yang menambah suara pada pasangan calon tertentu.

Komisioner KPU Betty Epsilon Idroos membantah server Sirekap terhubung dengan Alibaba di Singapura. 

"Enggak, servernya di Indonesia," kata Betty saat ditemui di gedung KPU, Sabtu, 17 Februari 2024.

Betty enggan menjelaskan lebih lanjut perihal IP address yang diduga terhubung dengan Alibaba.

Sumber: Tempo