Pentingnya Keamanan dan Mitigasi Data dalam Penerapan SID Berdaya dan SIKAB

Posted on February 27, 2020 by irvan galuh

Dalam penyelenggaraan negara, data yang akurat menjadi pondasi dalam proses pengambilan keputusan untuk pembangunan yang berkelanjutan.

Oleh karena itu, pengumpulan dan pengelolaan data mesti dilakukan secara sistematis, berjenjang, dan dimulai dari unit terkecil dalam negara. Hal ini menjadi semangat dari Sistem Informasi Desa (SID) yang telah diamanatkan dalam Undang-Undang tentang Desa tahun 2014.

Sejak 2009, Combine Resource Institution (CRI) ikut berkontribusi dalam mendukung perubahan tata kelola data desa dan daerah dengan memprakarsai Sistem Informasi Desa (SID) Berdaya, disusul prakrasa Sistem Informasi Kabupaten (SIKAB) pada 2013. Keduanya adalah perangkat lunak yang digunakan untuk membantu desa dan daerah mengelola data dasar kependudukan, data sektoral, data potensi desa, dan informasi publik desa secara terpadu.

Saat ini Pemerintah Indonesia sedang membenahi kebijakan tata kelola data pembangunan di Indonesia, antara lain melalui Peraturan Presiden Nomor 39 Tahun 2019 tentang Satu Data Indonesia. Satu Data Indonesia dijelaskan sebagai konsep kebijakan tata kelola data pemerintah untuk menghasilkan data yang akurat, mutakhir, terpadu, dan dapat dipertanggungjawabkan, serta mudah diakses dan dibagipakaikan antarinstansi, baik pusat maupun daerah melalui pemenuhan standar data, metadata, interoperabilitas data, dan menggunakan kode referensi dan data induk. Pengaturan Satu Data Indonesia dimaksudkan untuk mengatur penyelenggaraan tata kelola data yang dihasilkan oleh instansi pusat dan instansi daerah untuk mendukung perencanaan, pelaksanaan, evaluasi, dan pengendalian pembangunan.

Dalam konteks program Satu Data Indonesia yang ditetapkan melalui Peraturan Presiden Nomor 39 Tahun 2019, SID Berdaya dan SIKAB berpeluang untuk turut berkontribusi dalam mewujudkan rujukan data tunggal.

Irman Ariadi, Staf Analisis dan Regulasi CRI, menjelaskan bahwa terdapat tiga prinsip hukum yang melandasi keamanan dan mitigasi data. Ketiganya telah diatur dalam Undang-Undang Nomor 14 tahun 2008, tentang Keterbukaan Informasi Publik (UU KIP), Undang-Undang Nomor 19 Tahun 2016 tentang Informasi dan Transaksi Elektronik (UU ITE), dan Peraturan Presiden Nomor 95 Tahun 2018 tentang Sistem Pemerintahan Berbasis Elektronik (SPBE).

UU ITE mengatur konsep pelindungan data dalam sistem elektronik. Dalam penjelasannya, UU ITE memuat tiga pendekatan untuk menjaga keamanan di ranah siber (cyber space), yakni pendekatan aspek hukum, aspek teknologi, serta aspek sosial, budaya, dan etika. “Untuk mengatasi gangguan keamanan dalam penyelenggaraan sistem secara elektronik, pendekatan hukum bersifat mutlak. Karena tanpa kepastian hukum, persoalan pemanfaatan teknologi informasi menjadi tidak optimal,” kata Irman.

Sementara itu, dalam Perpres mengenai SPBE ditekankan bahwa tata kelola dan manajemen sistem pemerintahan berbasis elektronik secara nasional diperlukan untuk meningkatkan keterpaduan dan efisiensi. Pemerintah memberikan ruang pengembangan SPBE secara luas sesuai dengan kebutuhan khusus pemerintah pusat dan/atau pemerintah daerah. SPBE dilaksanakan dengan prinsip efektifitas, keterpaduan, kesinambungan, efisiensi, akuntabilitas, interoperabilitas, dan keamanan. “Prakarsa SID Berdaya dan SIKAB saat ini akan semakin mendapatkan konteksnya dalam sistem pembangunan nasional. Sebab, upaya peningkatan ketersediaan kualitas data dan informasi diterakan sebagai salah satu arah dalam narasi Rencana Pembangunan Jangka Menengah Nasional (RPJMN) 2020-2024 oleh pemerintah,” jelas Irman.

Meski begitu, menurut Irman, proses menuju Satu Data tidak hanya berhenti pada pengelolaan dan integrasi data terpadu, tetapi juga mewujudkan perlindungan untuk keamanan dan mitigasi data. Hal-hal inilah yang dibahas dalam Focus Group Discussion (FGD) “Perumusan Konsep Keamanan dan Mitigasi Pelindungan Data dalam SID Berdaya dan SIKAB” yang diselenggarakan Rabu (19/2/2020). Kegiatan ini menghadirkan Setyo Budi Prabowo (Kepala UPT Museum Sandi Badan Siber dan Sandi Negara), Yudi Prayudi (Kepala Pusat Studi Digital Forensik UII Yogyakarta), Wahyu Ardy Nugroho (Kepala Bidang Perencanaan Bappeda Gunungkidul), Kelik Yuniantoro (Kepala Diskominfo Kabupaten Gunungkidul) dan Heru Tjatur (Praktisi TIK dan ICT Watch).

Analisis Risiko dan Tata Kelola Privasi sebagai Pijakan Awal

Untuk memenuhi standar keamanan data diperlukan infrastruktur yang baik untuk mendukungnya. Infrastruktur tersebut meliputi kualitas server, komputer, hingga aplikasi legal yang digunakan. Keamanan dan mitigasi data menjadi semakin penting terutama untuk mengantisipasi hal-hal di luar kontrol manusia seperti bencana alam.

Sebagai contoh adalah pengalaman Kabupaten Lombok Utara yang merupakan salah satu penerap SID Berdaya. Direktur CRI, Imung Yuniardi, menceritakan pengalaman yang terjadi ketika gempa menerjang Lombok pada 2018. “Ketika gempa terjadi, data hanya ada di servernya. Nah, server tersebut berada di reruntuhan bangunan dan tak ada yang berani mengambilnya,” katanya. Ketiadaan rancangan mitigasi data membuat data-data yang ada di dalam server tidak dapat digunakan, padahal semestinya dapat membantu proses pendataan penerima bantuan. Dalam kasus ini, keamanan server merupakan sesuatu yang sangat penting.

Selain itu, pengalaman Lombok juga memberikan pelajaran bahwa prosedur keamanan data harus dirancang secara utuh. Setiap komponen dalam tata kelola data harus memiliki konsep mitigasi sendiri. “Soal data, [maka] kita membahas [data] secara fisik dan nonfisik. Fisik, seperti misalnya, server dan komputer, [pengamanannya] seperti apa. Sementara nonfisik, yaitu data, diamankannya seperti apa,” kata Imung.

Kepala UPT Museum Sandi Badan Siber dan Sandi Negara, Setyo Budi Prabowo, mengatakan bahwa pijakan awal dari keamanan dan mitigasi data adalah analisis risiko. “Risk assessment (analisis risiko) diperlukan untuk meninjau sejauh apa antisipasi yang bisa kita lakukan untuk mengamankan data,” ujar Setyo.

Setyo mengatakan bahwa pada dasarnya tidak ada sistem yang seratus persen aman. Kendati demikian, dengan melakukan analisis risiko sejak awal pengembangan, dapat membantu mengantisipasi serangan yang mungkin terjadi. “Memang tidak bisa seratus aman, tetapi ada penanggulangan yang sudah siap dalam perencanaan, sehingga dapat dilakukan secara tepat dan lebih cepat,” katanya.

Sementara itu, Kepala Dinas Komunikasi dan Informatika (Diskominfo) Kabupaten Gunungkidul, Kelik Yuniantoro, menjelaskan bagaimana keamanan dan mitigasi data yang saat ini telah dilakukan dalam penerapan SID Berdaya di Gunungkidul. Ia mengatakan bahwa pusat data di Gunungkidul telah dibangun sejak 2019. “Server-server-nya memang masih terpisah-pisah tapi dikendalikan dalam satu manajemen oleh Kominfo. Hosting-nya semuanya di Kominfo,” katanya.

Selain tata kelola data (data governance), tata kelola privasi (privacy governance) menjadi hal yang penting dalam penyelenggaraan SID Berdaya dan SIKAB. Praktisi TIK, Heru Tjatur, menjelaskan bahwa privasi dalam tata kelola data harus dilakukan baik dari aspek teknis maupun legal. “Dalam keamanan data, aspek teknis hanya mencakup 20% saja, 40% lainnya adalah aspek legal, sementara sisanya adalah aspek SDM,” jelas Tjatur.

Berkaitan dengan ketiga aspek tersebut, terdapat lima tahapan dalam mengimplementasikan program tata kelola privasi yang berkelanjutan. Pertama, merumuskan visi dan misi organisasi bersangkutan. Kedua, memetakan apa saja cakupan dari program privasi yang dilakukan. Konsep privasi seharusnya sudah mulai dirancang sejak awal pengembangan aplikasi. “Sejak awal, nilai-nilai privasi sudah harus mulai diterapkan. Misalnya saja seperti bagaimana kita akan absorb [mengambil] konsen pengguna/pemilik data. Bagaimana ngobrol konsen pemilik data menjadi proses yang tidak menyalahi undang-undang data, bahwa data ini mau digunakan layanan pihak ketiga,” jelasnya.

Oleh karena itu, penting untuk menyusun kerangka kerja yang tepat agar program privasi lebih operasional. Hal tersebut menjadi tahap ketiga dalam penyusun tata kelola privasi. Tahap selanjutnya adalah pengembangan strategi dari program privasi tersebut. “Jadi, bagaimana pendekatan yang dilakukan oleh organisasi tersebut untuk mengomunikasikan program privasi itu,” kata Tjatur.

Tahap terakhir berkaitan dengan pembagian tugas kerja. Selain merancang siapa yang akan menjalankan program, Tjatur menjelaskan bahwa orang tersebut harus memiliki kapasitas memadai mengenai tata kelola privasi. “Semua pihak harus tahu bagaimana tata kelolanya. Misalnya ini [siapa] yang punya hak memindahkan [data], [siapa] punya konsen, dan tahu proses yang digunakan dalam privacy governance,” jelasnya.

SDM Jadi Kunci

Selain aspek teknis, pondasi utama lain dalam keamanan dan mitigasi data adalah kapasitas sumber daya manusia. Kelik menjelaskan bahwa kemampuan SDM dalam keamanan dan mitigasi data menjadi hal yang penting. Sayangnya, hal tersebut harus terkendala oleh pergantian individu yang cukup sering terjadi. “Setiap kali kami sudah memiliki staf yang terampil, dia harus pindah fungsi karena naik jabatan,” jelasnya.

Hal ini juga diungkapkan oleh Kepala Bidang Perencanaan, Badan Perencanaan Pembangunan Daerah (Bappeda), Wahyu Ardy Nugroho. Pergantian staf yang cukup sering kerap membuat fungsi yang sudah ditetapkan menjadi tidak berjalan. “Kami perlu waktu lagi untuk melatih staf mulai dari nol,” katanya.

Dalam persoalan SDM ini, Setyo berpendapat bahwa kuncinya adalah literasi. Semua warga harus memiliki pengetahuan yang sama terkait dengan pentingnya keamanan data pribadi. Basis pengetahuan ini nantinya bisa menjadi pondasi awal dalam penerapan SID Berdaya dan SIKAB.

Sementara itu, Manajer Unit Pengelolaan Sumber Daya Komunitas (UPSDK) CRI, Elanto Wijoyono, menyebut ada tiga hal penting dalam penerapan keamanan dan mitigasi dalam SID Berdaya dan SIKAB, yakni pengembangan aplikasi, penggunaan, serta kerjasama SID Berdaya dan SIKAB. Dalam pengembangannya, aplikasi SID Berdaya dan SIKAB harus memenuhi kualifikasi sebagai perangkat lunak yang menghormati privasi dan data pribadi. Hal ini juga berlaku dalam penggunaannya. Lembaga yang bertanggung jawab dalam penerapan SID Berdaya dan SIKAB harus memahami betul bagaimana tata kelola data dan privasi. Sementara pada aspek kerja sama, CRI dapat dilibatkan dalam berbagai bentuk kerja sama yang dilakukan oleh pemerintah dengan pihak ketiga agar keamanan data dapat terjamin. “Masing-masing harus memenuhi ketiga aspek tersebut untuk mewujudkan keamanan data,” pungkasnya.[]

Sudah Amankah Kita di Hari Internet Aman?

Posted on February 11, 2020 by irvan galuh

Hari kedua pada minggu kedua di bulan kedua setiap tahunnya diperingati sebagai Safer Internet Day atau Hari Aman Berinternet atau Hari Internet Aman Sedunia. Dicetuskan pada 2005, Safer Internet Day diselenggarakan untuk mempromosikan penggunaan teknologi digital yang positif dan aman, terutama di kalangan anak-anak dan remaja.

Tujuan utamanya sendiri adalah untuk menciptakan internet yang lebih aman dan lebih baik, di mana semua orang mampu menggunakan teknologi secara bertanggung jawab, penuh hormat, kritis dan kreatif. Tidak hanya untuk anak-anak dan remaja, kampanye ini juga ditujukan untuk pada orang tua, guru, pendidik dan pekerja sosial, serta industri, para pembuat kebijakan dan politisi, untuk mendorong semua orang dalam menciptakan internet yang lebih baik.

Menciptakan internet sebagai ruang yang aman tentu merupakan tanggung jawab bersama. Setiap pengguna internet harus memastikan bahwa setiap aktivitasnya di ruang tersebut tidak membahayakan diri sendiri maupun orang lain. Internet merupakan ruang publik, oleh karenanya terdapat konsekuensi etis yang harus dilakukan oleh pengguna ketika berselancar di internet.

Kendati begitu, internet yang aman tidak hanya tentang bagaimana perilaku pengguna saja. Infrastruktur internet, sirkulasi informasi, hingga regulasi perlu dipastikan dapat mendukung mewujudkan situasi yang diharapkan tersebut. Dan tentu saja, harus berperspektif kepentingan dan kemaslahatan warga.

Sebagaimana kehidupan nyata, kehidupan di internet pun tidak bebas dari ancaman praktik jahat. Ada banyak macam praktik jahat yang bisa dilakukan di Internet, sebut misalnya, pengelabuan (phishing), persebaran hoax dan disinformasi. Sebagian layanan di internet bahkan mensyaratkan kita untuk memberikan data pribadi yang membuka peluang terjadinya pencurian dan penyalahgunaan data pribadi. Dampak dari penyelewengan ini tidak main-main, karena dapat menimbulkan kerugian finansial, sosial, bahkan nyawa.

Kita tentu pernah mendapat kiriman tautan-tautan asing dan mencurigakan di surel, media sosial, atau aplikasi percakapan. Seringkali tautan tersebut berisi jebakan-jebakan yang bertujuan untuk mengambil keuntungan dari kecerobohan kita. Sementara itu, kita juga tidak pernah tahu siapa pengirimnya dan bagaimana si pengirim bisa mendapatkan alamat surel, media sosial, atau bahkan nomor telepon kita. Itu artinya, ketika kita membicarakan tentang internet aman, maka kita juga sedang membicarakan tentang keamanan data-data pribadi kita.

Lalu, langkah seperti apa yang perlu dilakukan untuk mengantisipasi hal tersebut? Sebagaimana slogan Safer Internet Day, “Together for a better internet,” maka diperlukan kontribusi semua pihak, baik warga, pemerintah maupun korporasi untuk mewujudkan internet yang aman. Korporasi yang ranah bisnisnya di internet wajib menghormati dan melindungi data pribadi pengguna/kliennya. Kita tidak pernah tahu seperti apa data kita disimpan, dikelola, dan digunakan oleh perusahaan-perusahaan tertentu, misalnya saja seperti bank. Di sisi lain, harus ada kebijakan yang jelas dan tegas dari pemerintah terkait pengelolaan dan pelindungan data pribadi warga. Karena warga berhak atas data pribadi mereka, maka warga perlu tahu sejauh mana data mereka digunakan. Dan sudah semestinya, warga diperbolehkan untuk menolak penggunaan/pemrosesan data pribadinya apabila hal itu berpotensi menimbulkan kerugian, baik materiel maupun imateriel.

Selama ini, langkah pemerintah untuk mewujudkan internet aman terbatas pada kebijakan yang reaksioner, seperti pemblokiran. Aksi pemblokiran ini dilakukan dengan membatasi akses pada situs-situs dan kata-kata kunci tertentu. Padahal, kunci dari internet aman–selain regulasi yang jelas dan tegas–adalah edukasi yang komprehensif bagi setiap warga; mulai dari anak-anak hingga orang dewasa. Aksi pemblokiran yang pernah dilakukan pemerintah terhadap, misalnya, tumblr, tik-tok, hingga netflix, cenderung instan dan bukan merupakan solusi konkret untuk mewujudkan internet aman–di samping alasannya yang bisa diperdebatkan.

Pemblokiran oleh pemerintah tidak hanya dilakukan pada situs-situs yang dianggap ‘bermasalah’. Kita tentu masih ingat, ketika tahun lalu pemerintah membatasi akses internet di Jakarta dan Papua. Pemblokiran internet di Papua bahkan dilakukan hingga berbulan-bulan. Pemerintah beralasan hal itu dilakukan demi menanggulangi hoax dan disinformasi. Akan tetapi masalahnya, pemblokiran internet bukan solusi dan malah menimbulkan masalah baru. Dengan memblokir internet (internet shutdown), pemerintah telah melanggar kebebasan berekspresi dan hak untuk tahu. Pada tahun 2011 PBB mengeluarkan laporan panjang tentang bagaimana tindakan memutus hubungan individu dengan internet adalah pelanggaran HAM dan bertentangan dengan hukum internasional (Tirto.id, 5/4/2017).

Selain bertentangan dengan hak asasi manusia, solusi instan dan tidak kreatif semacam itu sudah semestinya ditinggalkan. Pemerintah harus mulai menerapkan solusi jangka panjang, yakni dengan memberikan perhatian yang serius terhadap penguatan kapasitas warga, terutama kalangan menengah ke bawah, dalam berinternet daripada sekadar melakukan pemblokiran. Program literasi digital yang berperspektif warga perlu dilakukan, sebab selama ini warga merupakan korban utama dari segala problem yang terjadi di internet, mulai dari hoax hingga penipuan.

Survey DailySocial tentang Distribusi Hoax di Media Sosial 2018 menunjukkan 44,19 persen responden tidak yakin memiliki kepiawaian dalam mendeteksi berita hoax. Pada 2019, jumlah penipuan berbasis online, berdasarkan laporan yang masuk ke Polda Metro Jaya, sebanyak 2.300 kasus (Liputan6.com, 24/1/2020). Itu pun hanya Jakarta dan sekitarnya, belum seluruh wilayah Indonesia, dan belum termasuk kasus penipuan yang tidak terlaporkan. Itulah alasan edukasi yang komprehensif urgen untuk dilakukan. Edukasi kepada warga menjadi kunci penting untuk meningkatkan kesadaran dan keterampilan dalam berinternet. Pemerintah punya tanggung jawab besar untuk mencerdaskan kehidupan bangsa, termasuk dalam praktik berinternet yang aman, bertanggung jawab, serta memiliki kemampuan kritis dalam menjaga data pribadi.

Selain regulasi dan edukasi, pemerintah juga seharusnya memiliki kehendak politik (political will) yang berpihak pada warga. Kita tentu masih ingat, pada pertengahan tahun 2019, Vice melansir sebuah berita mengenai kebijakan absurd pemerintah yang mengizinkan lebih dari 6000 lembaga swasta untuk mengakses data pribadi warga. Temuan ini semakin membuat kita bertanya-tanya, sejauh mana pertanggungjawaban pemerintah terhadap data pribadi warga?

Pemerintah perlu memiliki kebijakan yang berpihak pada warga. Proses transaksi data pribadi seharusnya dilakukan dengan izin warga. Selain itu, dalam memberikan syarat dan ketentuan yang berlaku, warga tidak dipaksa menyetujui saja tetapi juga ada proses pemufakatan yang sehat. Adapun, warga berhak menolak proses transaksi data tertentu jika hal tersebut tidak sesuai dengan prinsip yang dimilikinya. Langkah pemerintah untuk menyegerakan pengesahan RUU Pelindungan Data Pribadi–yang di dalamnya memuat perihal pelindungan data di ranah digital–patut diapresiasi, meski masih ada beberapa catatan, seperti dihimpun SAFEnet.

Praktik berinternet aman memang menjadi tanggung jawab bersama. Semua pihak memiliki peran untuk mewujudkannya. Akan tetapi, selaku pengambil kebijakan, pemerintah memiliki tanggung jawab yang lebih besar. Jika warga sudah berinternet dengan aman tetapi pemerintah tidak serius dalam memfasilitasinya, usaha mewujudkan internet yang aman akan menjadi sia-sia.[]

Foto: Mohamed Hassan via Pixabay

Esensi Memperingati Hari Pers

Posted on February 7, 2020 by irvan galuh

Kami sadar betul bahwa hingga hari ini, peringatan Hari Pers Nasional yang jatuh pada tanggal 9 Februari—ditetapkan di masa Orde Baru—masih menjadi polemik. Namun kami ingin beranjak dari polemik tersebut untuk melihat hal yang lebih krusial perihal situasi pers nasional.

Pada akhir 2019, catatan kasus kekerasan terhadap pegiat pers dan jurnalis masih tinggi. Hingga 23 Desember 2019, kasus kekerasan terhadap jurnalis mencapai 53 kasus. Kekerasan ini tidak hanya bersifat verbal, intimidasi, maupun kekerasan fisik, tetapi juga sampai menyebabkan kematian. Kasus pembunuhan yang terjadi pada jurnalis baru-baru ini terjadi pada November 2019, menimpa Maraden, mantan wartawan mingguan lokal, Pilar Indonesia Merdeka (Pindo Merdeka). LSM internasional yang fokus pada advokasi kebebasan pers dan informasi, Reporter Without Borders, mengategorikan kebebasan pers di Indonesia ke dalam ‘situasi yang sulit’, berada pada ranking 124—bahkan di bawah Malaysia (123) dan Afghanistan (121).

Bertahun-tahun hari pers diperingati, baik skala nasional maupun internasional, kekerasan terhadap jurnalis di Indonesia belum juga mereda. Keberadaan regulasi, seperti UU Pers, yang bertujuan melindungi kepentingan pers—termasuk para aktornya, nyatanya belum memberi jaminan keamanan. Di sisi lain, ada entitas pers ‘pinggiran’ seperti jurnalis warga dan pegiat media komunitas yang tak kalah rentannya, terlebih karena tidak ada perlidungan hukum yang jelas bagi mereka.

Mereka juga kerap dihalang-halangi dan dianggap sebagai media abal-abal karena tidak berstatus badan hukum atau dianggap sebagai bukan media profesional. Hal ini semakin menjadi pelik, lantaran di era digital mereka juga harus waspada terhadap Undang-Undang Transaksi Elektronik (UU ITE) yang dapat disalahgunakan untuk mengkriminalisasi jurnalis warga dan pegiat media komunitas.

Kebebasan pers seharusnya dapat dinikmati oleh semua pihak; tidak hanya pekerja media tetapi juga warga yang terbukti memberi cukup banyak kontribusi dalam proses produksi informasi melalui teknologi digital dan Internet—UUD 1945 menjamin hak setiap warga negara untuk mencari, memperoleh, memiliki, menyimpan, mengolah dan menyampaikan iformasi dengan segala saluran yang tersedia (Pasal 28F).

Saat ini semua orang dapat melakukan praktik jurnalisme tanpa harus bekerja di media massa atau perusahaan pers berbadan hukum. Melalui gawai masing-masing, mereka dapat menyiarkan informasi kepada warga yang lain. Maka sudah semestinya, jurnalis warga dan pegiat media komunitas diberi tempat dalam regulasi agar hak mereka sebagai warga negara bisa diwujudkan. Apresiasi juga patut diberikan kepada mereka karena berkat inisiatifnya, telah memungkinkan warga di sekitarnya untuk mendapatkan informasi yang relevan dengan kehidupan hariannya.

Terlepas dari perdebatan kapan hari pers semestinya diperingati, jaminan keamanan bagi jurnalis—baik bagi jurnalis profesi maupun jurnalis warga—masih menjadi pekerjaan rumah yang perlu didorong untuk segera diatasi oleh negara.[]