Sistem Keamanan e-KTP Penduduk Indonesia Lemah
Jum'at, 27 Februari 2015 - 06:34 WIB
Sistem Keamanan e-KTP Penduduk Indonesia Lemah
A
A
A
JAKARTA - Berbicara mengenai sistem informasi dan teknologi (IT), masyarakat berhak mendapatkan perlindungan keamanan data dari negara. Namun, di Indonesia belum menjadi perhatian serius pemerintah. Data seseorang dimungkinkan dapat diakses (di-intercept) untuk berbagai kepentingan. Salah satunya data e-KTP (kartu tanda penduduk) yang saat ini dicanangkan pemerintah.
"Pemerintah saat ini tengah mengubah sistem data penduduk Indonesia dengan sistem online. Tapi, mereka lupa dengan keamanannya. Apakah pernah mendengar soal jaminan data privasi penduduk dari pemerintah? Karena itu, kami menyosialisasikan dan memberikan informasi, bagaimana pentingnya menjaga privasi penduduk Indonesia," ujar Chairman & Founder CISSReC, Pratama D Persadha kepada Sindonews di Gedung Sindo, Jakarta, baru-baru ini.
Dia mengatakan, e-KTP yang menyimpan data rahasia seseorang, bagaimana ceritanya orang luar bisa mengakses data untuk mempromosikan produknya. "Jadi memang benar, dan 100% benar data kita enggak ada servik. Orang-orang vendor punya akses ke server e-KTP kita. Mereka masih punya akses VPN (Virtual Private Network), membuat jalur akses baru dengan memasukan VPN proxy dan port selain di smartphone," bebernya.
Menurut Pratama, bagaimana mungkin mereka bisa bikin presentasi aplikasi, jika data e-KTP hanya dengan biometrik, chip dan NIK. Itu harus ada akses parakustik pada e-KTP. "Sebagai contoh, dia (vendor) bikin aplikasi baru dengan image recognation, kemudian memoto seseorang, terus masuklah foto tersebut ke dalam aplikasi mereka. Begitu sudah masuk mereka langsung sinkronisasi dengan e-KTP jadi langsung ketahuan bahwa dia adalah orang di foto tersebut," terangnya.
"Terus saya bertanya, Mas kok Anda bisa sama dengan e-KTP kita? Dia kebingungan dan menjawab enggak kok kita sudah melakukan MoU (memorandum of understanding) atau nota kesepahaman dengan Kementerian Dalam Negeri (Kemendagri) dan kita dibukakan dua cap untuk melakukan kesepakatan ini," tukasnya.
Pertanyaannya adalah bagaimana mereka bisa masuk? Pratama mengatakan, tidak mungkin mereka dikasih izin Kemendagri untuk mempromosikan produknya. Berarti dia masih punya akses ke dalam data server. "Ini berarti admin dari negara kita dibodoh-bodohi sama mereka (vendor/produsen teknologi). Mereka cuma bisa beli sistemnya, tapi enggak tahu bagaimana cara mengelola secara mandiri terhadap server tersebut," papar mantan ketua Tim LemSaNeg Pengamanan IT Presiden tersebut.
"Hal ini salah satu kelemahan kita, kadang-kadang menggampangkan. Seseorang yang bisa mengakses masuk ke data server (e-KTP) itu adalah Dewa. Dia bisa melakukan apa saja, mau iseng menjadi oknum jahat bisa menghancurkan perusahaan saingannya maupun keamanan data secret (rahasia) Indonesia. Ya, karena mereka bisa mengubah data, dan mengambil data rahasia," imbuhnya.
Dia menambahkan sistem penyimpanan server di gedung data (e-KTP) juga perlu pengamanan ketat. Tidak boleh orang bisa keluar-masuk ruang server. Termasuk OB (office boy). Hanya orang-orang tertentu yang boleh masuk ke ruangan tersebut dengan pemiksaan ketat. "Bagaimana jika ada seseorang yang berniat memasukkan trojan atau menarik data melalui alat khusus. Sekali colok hanya dalam hitungan menit semua data bisa diambil semua. Ini berbahaya," tandasnya.
"Pemerintah saat ini tengah mengubah sistem data penduduk Indonesia dengan sistem online. Tapi, mereka lupa dengan keamanannya. Apakah pernah mendengar soal jaminan data privasi penduduk dari pemerintah? Karena itu, kami menyosialisasikan dan memberikan informasi, bagaimana pentingnya menjaga privasi penduduk Indonesia," ujar Chairman & Founder CISSReC, Pratama D Persadha kepada Sindonews di Gedung Sindo, Jakarta, baru-baru ini.
Dia mengatakan, e-KTP yang menyimpan data rahasia seseorang, bagaimana ceritanya orang luar bisa mengakses data untuk mempromosikan produknya. "Jadi memang benar, dan 100% benar data kita enggak ada servik. Orang-orang vendor punya akses ke server e-KTP kita. Mereka masih punya akses VPN (Virtual Private Network), membuat jalur akses baru dengan memasukan VPN proxy dan port selain di smartphone," bebernya.
Menurut Pratama, bagaimana mungkin mereka bisa bikin presentasi aplikasi, jika data e-KTP hanya dengan biometrik, chip dan NIK. Itu harus ada akses parakustik pada e-KTP. "Sebagai contoh, dia (vendor) bikin aplikasi baru dengan image recognation, kemudian memoto seseorang, terus masuklah foto tersebut ke dalam aplikasi mereka. Begitu sudah masuk mereka langsung sinkronisasi dengan e-KTP jadi langsung ketahuan bahwa dia adalah orang di foto tersebut," terangnya.
"Terus saya bertanya, Mas kok Anda bisa sama dengan e-KTP kita? Dia kebingungan dan menjawab enggak kok kita sudah melakukan MoU (memorandum of understanding) atau nota kesepahaman dengan Kementerian Dalam Negeri (Kemendagri) dan kita dibukakan dua cap untuk melakukan kesepakatan ini," tukasnya.
Pertanyaannya adalah bagaimana mereka bisa masuk? Pratama mengatakan, tidak mungkin mereka dikasih izin Kemendagri untuk mempromosikan produknya. Berarti dia masih punya akses ke dalam data server. "Ini berarti admin dari negara kita dibodoh-bodohi sama mereka (vendor/produsen teknologi). Mereka cuma bisa beli sistemnya, tapi enggak tahu bagaimana cara mengelola secara mandiri terhadap server tersebut," papar mantan ketua Tim LemSaNeg Pengamanan IT Presiden tersebut.
"Hal ini salah satu kelemahan kita, kadang-kadang menggampangkan. Seseorang yang bisa mengakses masuk ke data server (e-KTP) itu adalah Dewa. Dia bisa melakukan apa saja, mau iseng menjadi oknum jahat bisa menghancurkan perusahaan saingannya maupun keamanan data secret (rahasia) Indonesia. Ya, karena mereka bisa mengubah data, dan mengambil data rahasia," imbuhnya.
Dia menambahkan sistem penyimpanan server di gedung data (e-KTP) juga perlu pengamanan ketat. Tidak boleh orang bisa keluar-masuk ruang server. Termasuk OB (office boy). Hanya orang-orang tertentu yang boleh masuk ke ruangan tersebut dengan pemiksaan ketat. "Bagaimana jika ada seseorang yang berniat memasukkan trojan atau menarik data melalui alat khusus. Sekali colok hanya dalam hitungan menit semua data bisa diambil semua. Ini berbahaya," tandasnya.
(dmd)
