Cyberthreat.id – Aplikasi PeduliLindungi masih menyimpan sejumlah masalah yang perlu diperbaiki oleh pengembang, demikian menurut Forum Tata Kelola Internet Indonesia (Indonesia Internet Governance Forum/ID-IGF).

Karena penggunaan aplikasi yang dirancang untuk memerangi virus corona dan data vaksinasi Covid-19 itu makin masif, ID-IGF mendorong agar pemerintah selaku pembuat aplikasi untuk segera menyempurnakan kinerja aplikasi.

Forum telah mengirimkan sejumlah rekomendasi kepada Kementerian Kominfo, Kementerian Kesehatan, Kementerian Dalam Negeri, Badan Siber dan Sandi Negara, dan PT Telkom.

Rekomendasi tersebut terbagi dalam dua hal, yaitu segi teknis dan segi tata kelola.

Dari segi teknis, masalah pertama, yaitu PeduliLindungi mencantumkan “Syarat Penggunaan” yang tidak menjamin layanannya selalu bisa diakses serta tidak menjamin data yang akurat dan aman.

Oleh karenanya, “Syarat Penggunaan” harus diubah sesuai dengan Peraturan Pemerintah nomor 71 Tahun 2019 tentang Penyelenggara Sistem dan Transaksi Elektronik (PSE) yang mewajibkan setiap PSE bertanggung jawab terhadap penyelenggaraan sistemnya.

Sesuai Pasal 31, soal keamanan data dan kebijakan kerahasiaan, Forum mengatakan, PSE wajib melindungi pengguna dan masyarakat luas dari kerugian yang ditimbulkan oleh sistem elektronik yang diselenggarakannya. Kebijakan “Kerahasiaan PeduliLindungi” harus memuat klausul tersebut.

“Data PeduliLindungi harus dienkripsi dan hanya bisa didekripsi oleh aplikasi,” tutur ID-IGF dikutip dari Antaranews.com.

Kedua, ulasan aplikasi di toko aplikasi Apple dan Google, ID-IGF melihat keluhan umumnya menyangkut, antara lain seringnya aplikasi eror imbas tingginya pengguna, baterai cepat habis karena GPS harus aktif 24 jam, login ulang terus-menerus dengan masukkan NIK, hingga kode sandi sekali pakai (OTP) yang sering gagal terkirim.

“Rekomendasinya ialah perbaikan desain arsitektur aplikasi agar dapat memanfaatkan optimal fitur Software Development Kit (SDK) dengan menerapkan metode standar DevSecOps yang komprehensif,” tutur ID-IGF.

ID-IGF juga mendorong agar GPS tidak perlu aktif 24 jam, sebagai gantinya diberi empat opsi yaitu pemakaian sekali, saat digunakan, selalu aktif, dan menolak pengaktifan.

Ketiga, PeduliLindungi perlu menggunakan message broker untuk antisipasi kegagalan permintaan akibat tingginya akses pengguna pada saat bersamaan. Pengguna diberi pilihan untuk tetap login dan tidak perlu setiap saat harus memasukkan NIK.

"Harus ada mutu layanan pengiriman OTP melalui SMS maupun email maksimal 3 menit. Atau, bisa memakai model 2FA dengan aplikasi token random number generator yang dibuat sendiri oleh developer," kata Forum tersebut.

PeduliLindungi bisa mengadopsi praktik terbaik dari ISO 27001 untuk keamanan teknologi informasi dan ISO 27701 untuk perlindungan data pribadi.

Keempat, terkait pengumpulan data yang dinilai melebihi kebutuhan aplikasi, ID-IGF merekomendasikan untuk menghapus ketentuan ini karena tidak sesuai dengan fungsi aplikasi. Selain itu jika ada kebocoran data pengguna, akan dengan mudah dipakai untuk social engineering oleh pihak lain.

Kelima, rekomendasi terkait sistem input aplikasi berbentuk digitalisasi form registrasi sehingga tidak perlu daftar ulang, cukup dengan pindai kode QR. Ini bisa memangkas waktu tunggu dalam vaksinasi massal menjadi hanya 25 menit per orang, tutur ID-IGF.

Petugas input data tidak harus tenaga kesehatan (nakes) untuk mengurangi kesalahan input data. Nakes fokus menjadi tim injeksi vaksin sehingga target kecepatan vaksinasi bisa tercapai. “Praktik ini sudah diuji coba dan dalam dua jam pasca-vaksinasi, sertifikat sudah keluar tanpa ada kesalahan data penerima vaksin,” kata ID-IGF.

Dari sisi tata kelola, rekomendasi pertama yang disoroti ialah aplikasi tidak terdaftar sebagai PSE resmi di Kementerian Kominfo. "Segera mendaftarkan sebagai PSE sehingga statusnya legal dan tepercaya," kata ID-IGF.

Kedua, ID-IGF merekomendasikan pemerintah untuk membalik proses penerapan PeduliLindungi agar lebih memudahkan masyarakat yang tidak punya ponsel pintar untuk tetap beraktivitas meski tidak memiliki PeduliLindungi.

“Jadi, di setiap tempat publik disediakan terminal check-in manual dengan input NIK melalui layar dasbor terhubung ke front-end aplikasi PeduliLindungi melalui Antarmuka Pemograman Aplikasi (API),” kata Forum.[]