Cyberthreat.id – Sejumlah tim analis menyarankan agar penggunaan Nomor Induk Kependudukan pada aplikasi PeduliLindungi untuk diganti dengan identitas digital (Digital ID).

Ini lantaran aplikasi yang didorong pemerintah dipakai secara masif oleh warga Indonesia guna mencegah penyebaran Covid-19 juga pendataan vaksinasi dinilai masih menyimpan masalah keamanan data penggunanya.

Masalah NIK menjadi serius setelah sertifikat vaksinasi Covid-19 milik Presiden Republik Indonesia Joko Widodo tersebar bebas di Twitter, pekan lalu.

Kredensial untuk mengakses PeduliLindungi awalnya hanya dengan NIK dan nama lengkap, padahal data-data ini sangat mudah diakses publik. Pengembang aplikasi lalu mengoreksi dengan kredensial lima parameter data kependudukan, tapi justru menyulitkan pengguna untuk mengakses datanya sendiri.

Oleh karena itu, “Segera beralih ke digital ID,” tutur tim analis dari Forum Tata Kelola Internet Indonesia (ID-IGF) dalam rekomendasinya kepada pemerintah.

“Saat ini di Indonesia sudah ada produk Digital ID yang digunakan luas dengan pendekatan teknis yang berbeda-beda. Misalnya, https://privy.id atau layanan PANDI https://u.id/, dan bahkan Kementerian Kominfo sendiri pernah memiliki layanan SiVION yang difungsikan untuk layanan Digital Signature,” tim analis menambahkan.

Rekomendasi tersebut ditujukan kepada Kemenkominfo dan Kemendagri agar bisa ditindaklanjuti.

Terkait masalah NIK tersebut adalah satu dari lima masalah tata kelola aplikasi PeduliLindungi yang ditemukan tim analis. Sebelumnya, mereka juga telah membuat daftar masalah teknis yang perlu segera diperbaiki oleh pengembang dan otoritas terkait. (Baca: 10 Masalah Teknis di Aplikasi PeduliLindungi)

Tim analis tesebut terdiri dari 10 orang, antara lain Ismail Fahmi (pendiri Drone Emprit), M. Salahuddien Manggalany (Deputi Operasi dan Keamanan CSRIT.ID), Rendy Maulana Akbar (Direktur Qwords Company International), dan Sigit Widodo (Direktur Digital DPP Partai Solidaritas Indonesia).

Lalu, Alfons Tanudjaya (pakar keamanan siber Vaksin.com), Parlindungan Marius (Komite IDNOG), Basuki Suhardiman (Anggota MAG IGF Indonesia), Yudho Giri Cahyo (Ketua Umum PANDI), dan Astari Yanuarti (Ketua Redaxi).

Hasil analisis dan rekomendasi telah disampaikan kepada lima instansi terkait, seperti Kementeri Kominfo, Kemenkes, Kemendagri, Badan Siber dan Sandi Negara, dan PT Telkom.

Masalah kedua, PeduliLindungi yang bersifat mandatori, ternyata hingga saat ini belum terdaftar sebagai penyelenggara sistem elektronik (PSE) resmi di Kemenkominfo sebagaimana bisa dilihat di laman https://pse.kominfo.go.id/.

Rekomendasi: PT Telkom dan Kementerian Kominfo diminta untuk segera mendaftarkan PeduliLindungi agar statusnya legal dan tepercaya.

Ketiga, tim analis melihat dengan warga diwajibkan untuk memakai aplikasi PeduliLindungi bisa menimbulkan diskriminasi terhadap hak-hak masyarakat mendapatkan layanan publik. Ini lantaran tidak setiap warga memiliki ponsel pintar.

Terlebih penetrasi ponsel pintar di Indonesia baru 58 persen, “Sehingga ada 42 persen masyarakat yang tidak bisa mengunduh aplikasi PeduliLindungi meski sudah vaksin,” tulis tim analis.

Ada pula masyarakat yang memiliki ponsel pintar dan telah divaksin, tapi tak bersedia untuk mengunduh aplikasi tersebut. Ini karena faktor “belum merasa terjamin keamanan data pribadinya.”

Selain itu, tim analis juga melihat ada sekitar 3,8 juta orang yang memiliki imunitas alami karena sudah sembuh dari Covid-19 dan baru bisa divaksin minimal tiga bulan setelah sembuh.

Rekomendasi: PT Telkom sebagai pengembang, Kemenkominfi, Kemendagri, dan Kemenkes disarankan untuk mempermudah masyarakat yang tidak punya ponsel pintar agar tetap bisa beraktivitas.

Solusinya, “Di setiap tempat publik dsediakan terminal check in manual dengan input NIK melalui layar dasbor terhubung ke front end aplikasi PeduliLindungi melalui Antarmuka Pemrograman Apikasi (API),” tulis tim analis.

Bisa juga, kata tim analis, alternatif input lainnya dengan RFID reader untuk tap chip KTP Eeektronik atau dengan pindai kode QR kartu vaksin.

Dengan cara ini, masyarakat hanya perlu membawa kartu vaksin atau e-KTP untuk dipindai oleh petugas di area publik.

“Untuk warga yang tidak boleh divaksin dan sudah sembuh dari Covid-19, hanya perlu membawa surat keterangan dokter untuk mengakses layanan publik,” tulis tim analis.

Keempat, Data NIK sudah tersebar di 1.300 instansi sehingga harus diakhiri, disanitasi dan diganti dengan format dan akses terenkripsi.

Rekomendasi: Kemenkominfo dan Kemendagri agar segera menghapus semua data residen KTP-el di kuran lebih 1.300 instansi pengakses. Lalu, melakukan enkripsi di level basis data dan hanya dalam bentuk enkripsi itulah yang bisa diakses oleh lebih dari 1.300 instansi melalui API dengan kredensial aplikasi. “Bukan memakai kredensial operator supaya tidak terjadi kasus operator vaksinasi akses ke PL dan menyalahgunakan wewenang,” tutur tim analis.

Selain itu, “Data pribadi hanya bisa ditampilkan sebagian (yang berkaitan dengan keperluan saja, misal untuk PeduliLindungi hanya perlu NIK dan nama lengkap, tapi tanggal lahir tidak perlu karena sudah ada NIK) di front-end aplikasi di lebih 1.300 instansi,” tim analis menambahkan.

Terakhir, tim analis menyarankan agar penerapan aplikasi single sign on nasional berbasis digital ID untuk menggantikan NIK yang sudah bocor dan tersebar luas dengan kode National Identification Number (NIN).

“Digital ID bisa di-generate dengan banyak metode, tinggal pilih atau dimodifikasi menjadi kredensial yang terkuat, tepercaya, mudah interoperabilitasnya,” tulis tim analis.

Modelnya, kata mereka, cukup sederhana—intinya menggabungkan sejumlah data pribadi dan unique data yang akan mewakili identitas seseorang atau institusi secara digital.

Misal, penggabungan data + NIN + certificate authority + random number + kredensial pengguna (termasuk, biometrik) = Digital ID. Hasil identitas digital ini bisa untuk pengguna personal atau institusi.

“Dengan digital ID terebut maka yang akan dipertukarkan dalam transaksi elektronik bukan lagi data pribadi penduduk seperti KTP-el dan NIK. Individu atau instansi/gerai dikenali sebagai identitas digital,” ujar tim analis.[]