Aplikasi Sensus Penduduk, BPS: Sejauh Ini Belum Ada Insiden

Cyberthreat.id – Untuk pertama kalinya Badan Pusat Statistik Republik Indonesia melakukan Sensus Penduduk secara online. Tahapan pertama dari Sensus Penduduk 2020 ini dilakukan sejak 15 Februari hingga 31 Maret 2020.

Karena berbasis aplikasi (sensus.bps.go.id), BPS menyadari betul keamanan perangkat lunak yang dipakainya. BPS telah menyiapkan diri sejak 2018 untuk pengembangan aplikasi tersebut yang dibantu oleh BPS Australia (Australian Bureau of Statistic).

“Mekanisme pelaksanaan SP Online ini merujuk ke Australia, namun dengan mempertimbangkan kondisi masyarakat Indonesia,” kata Direktur Sistem Informasi Statistik BPS Dr. Muchammad Romzi dalam pernyataan tertulisnya kepada Cyberthreat.id yang diterima pada Jumat (21 Februari 2020).

Menurut Romzi, SP Online tersebut menggunakan platform yang bernama Integrated Collection System (ICS). Platform ini dirancang untuk pengumpulan data multimetode, terutama untuk survei secara umum di Badan Pusat Statistik.

“Pada awalnya ICS dibangun melalui tender dengan vendor. Namun, untuk memenuhi kebutuhan Sensus Penduduk 2020 yang lebih spesifik, karena berbasis registrasi, ICS harus disesuaikan,” Romzi menjelaskan.

Selanjutnya, platform tersebut dikembangkan secara internal oleh Tim BPS untuk diterapkan dalam SP2020, dengan konten yang sesuai dengan kebutuhan sensus berbasis metode kombinasi (online dan wawancara, red).

Selain dibantu ABS, untuk menguji keamanan aplikasi, BPS juga menggandeng Badan Siber dan Sandi Negara (BSSN) dan pakar keamanan siber lokal dan Jepang.

Wartawan Cyberthreat.id Tenri Gobel mewawancarai Dr. Muchammad Romzi di kantor BPS Pusat, Jakarta, Jumat (21 Februari). Petikan wawancara berikut ini merupakan gabungan hasil wawancara dan pernyataan secara tertulis yang diberikan BPS.

Berita Terkait:

• Riset: Begitu Mudahnya AI Bobol Skema CAPTCHA
• Aplikasi Sensus Penduduk Online Pakai CAPTCHA, Amankah?
• 5 Alasan Sensus Penduduk Online, Salah Satunya Privasi Data
• BPS Australia Bantu Uji Keamanan Aplikasi Sensus Penduduk
• Ada Bug di Aplikasi Sensus Penduduk, BPS: Sudah Ditambal!

Bagaimana antusiasme penduduk untuk Sensus Penduduk Online?

Sebenarnya [sejak hari pertama hingga hari ini] itu stabil. Hari pertama itu Sabtu. Jadi, antusiasmenya lumayan tinggi dibandingkan hari lain.

Sudah berapa sih yang mengisi SP Online?

Hari ini (Jumat pagi) nyaris 596.000 KK yang mengisi. Jika rata-rata satu keluarga, misalnya, ada empat anggota itu berarti sudah sekitar 2,3 juta jumlah penduduk yang masuk. Cuman dari sekian yang masuk itu, yang benar-benar "clean" itu sekitar 300 ribu KK. Maksudnya, "clean" itu cuma simpan sementara [belum diselesaikan] karena dia tidak tahu informasi anggota keluarganya. Misal, anak saya tinggal di Surabaya, ngekos dia, alamatnya belum tahu.

Pengembangan aplikasi SP Online melibatkan pihak lain?

Awalnya, Integrated Collection System (ICS) dibangun melalui tender dengan vendor. Namun, untuk memenuhi kebutuhan Sensus Penduduk 2020 yang lebih spesifik karena berbasis data registrasi, ICS harus disesuaikan. ICS kemudian dikembangkan secara internal oleh Tim BPS dengan konten yang sesuai dengan kebutuhan sensus berbasis combined method.

Seberapa yakin BPS dengan keamanan aplikasi tersebut?

BPS mendapatkan technical assistance dari Australian Bureau of Statistics (ABS) terkait pengujian keamanan, juga menggandeng BSSN dan akademisi untuk melakukan pengujian keamanan sensus.bps.go.id. Hasil dari pengujian dan rekomendasi dari mereka menjadi masukan yang kemudian diimplementasikan sehingga aplikasi yang dibangun menjadi aman.

Melibatkan pakar keamanan siber?

Di dalam pembangunan kami berdiskusi dengan tim keamanan siber ABS karena ABS telah berpengalaman dalam melakukan sensus secara online. Dari diskusi tersebut kami petik pelajaran terkait keamanan siber dan kami implementasikan dalam aplikasi. Tetapi, untuk meyakinkan apa yang kami bangun itu aman maka kami libatkan pihak yang berkompeten seperti BSSN dan pakar keamanan siber di dalam pengujian.

(Romzi juga mengatakan, pakar keamanan siber yang diajak termasuk dari Indonesia dan Jepang.)

BPS Yakin dengan kemampuan Tim TI internal?

Yakin. Dengan tenaga terbaik yang dimiliki dan keinginan untuk menjadi world-class National Statistical Office (NSO), kami percaya dengan kemampuan Tim TI di BPS. Namun, tidak sekadar percaya, ada capacity building yang BPS lakukan untuk tim pengembang aplikasi sehingga mereka memiliki kemampuan yg dibutuhkan untuk pengembangan.

Yang tahu kebutuhan kami adalah kami sendiri. Mentransfer keinginan dan kebutuhan ke pihak lain itu tidak mudah dan memerlukan waktu. Oleh karena itu, BPS mempercayakan kepada tim internal untuk pengembangan sistem dengan bantuan technical assistance dari ABS.

Hal ini terbukti dengan masih belum adanya insiden berarti yang terjadi.

Apakah aplikasi telah dilakukan uji keamanan (pentest)?

Sudah. Ketika aplikasi SP Online ini dibangun kami berpedoman pada triad atau heart of information security yaitu confidentiality, integrity, dan availability.

Seperti apa itu?

Yang mencakup confidentiality, seperti BPS hanya menyampaikan partial prefill seperti nomor Kartu Keluarga, Nomor Induk Kependudukan, dan nama anggota keluarga di dalam database. Lalu, password untuk pengamanan data yang sudah diisi oleh responden SP Online.

Untuk Availability mencakup, antara lain: multi-server dengan load balancer, infrastruktur database dengan konfigurasi Always on Availability Group, DC–DRC dengan status active-standby, instalasi perangkat anti-DDOS, dan “Sorry page” untuk antrean yang melebihi threshold value tertentu

Sedangkan, Integrity mencakup, antara lain: penggunaan CAPTCHA anti-bot, menggunakan alat Open Web Application Security Project (OWASP), dan terakhir, bersama-sama BSSN, tim pakar keamanan ABS, ahli cybersecurity, dan akademisi untuk melakukan penetration test.

Bug apa yang pernah ditemukan?

Misalnya, CAPTCHA yang tidak terbaca, special character yang tidak terbaca, dan nomor berawalan digit 9 yang tidak terbaca sempurna. Salah satu potensi kerentanan di awal adalah password yang lemah, dan kemungkinan untuk brute-force di halaman password. Solusinya dengan menerapkan kombinasi huruf dan nomor serta menambahkan CAPTCHA di halaman password.

Skenario terburuk dari bug tersebut?

Tidak adanya CAPTCHA di halaman password membuat brute- force menjadi mungkin untuk dilakukan dan lemahnya password memungkinkan untuk password dapat diketahui dengan lebih mudah.

Adakah antisipasi serangan DDoS (Distributed Denial of Service)?

Langkah antisipasinya dengan: (1) memblokir international traffic, meletakkan anti-DDoS, dan menggunakan DRC (Disaster Recovery Center)

Maksudnya memblokir trafik internasional?

Kalau dia bukan pegawai kedutaan berarti dia di luar wilayah luar Indonesia dan tidak dianggap sebagai objek wilayah  yang disensus.

Artinya, jika seseorang sedang di luar negeri tak bisa akses ya?

Enggak bisa., tapi kan anggota keluarganya ada di sini. Kalau enggak bisa partisipasi, kan masih ada periode bulan Juli.

Bisa dijelaskan gambaran bug CAPTCHA?

Sebenarnya kalau bikin aplikasi itu kan ada bug, tidak sempurna. [Artinya] perilaku aplikasi tidak sesuai dengan apa yang kita inginkan.

[Dari bug] itu dikhawatirkan ada bot, bisa entah phishing atau apa, masuk bertubi-tubi tidak bisa dicegah. Dengan adanya CAPTCHA, [serangan masuk bertubi-tubi] seperti itu terproteksi ya. Dipastikan bahwa hanya orang yang masuk, bukan bot. Itu yang kemarin agak sedikit bermasalah.

CAPTCHA ini menghalangi bot untuk mencoba masuk?

Iya benar. Kami juga punya anti-DDoS untuk memproteksi serangan-serangan yang tidak kami inginkan. Jadi, proses pengamanannya berlapis.

Ancaman bot ini seperti apa? Manipulasi data?

Iya itu ada, kemungkinan untuk orang bisa masuk itu juga ada. Sampai dia bisa manipulasi data.

Adakah temuan situs-situs web yang menyalagunakan SP Online?

Sejauh ini enggak. Jadi banyak sih teman-teman Dukcapil pake poster himbauan, sosialisasi tentang sensus. Laman resmi itu hanya di sensus.bps.go.id.

Bisa dijelaskan soal DRC?

Disaster Recovery Center kami punya di Kalimantan Selatan, berbentuk server juga. Jadi, kalau ada apa-apa, tidak berharap itu terjadi sih, data di server-nya bisa di-take over, ini server cadangan.

Serangan deface bagaimana?

Isyaallah upaya-upaya seperti itu, pengamanannya telah kami lakukan.  Kami minta dukungan daripada masyarakat Indonesia untuk mengamankan dan melancarkan kegiatan ini. Jangan sampai ada yang iseng. Dari dalam kan ada BSSN yang ngawasin.

Sudah berapa kali pentest?

Berkali-kali kami lakukan, bahkan sekarang ada tim yang terlibat tadi itu juga selain memonitor nge-test juga. Selalu kami waspadai. Karena expert security juga bilang kalau keamanan itu tidak bisa bilang 100 persen. Jadi, setelah berusaha mengamankan, ya pengawasan.

Jika terjadi kebocoran data, adakah sanksinya?

Keamanan data merupakan isu yang kami sangat perhatikan, sehingga kami memberikan perlakuan yang cukup ketat untuk keamanan data ini. Hanya, sebagian orang yang dapat mengakses data ini dan kami kontrol. Tentunya jika ada pelanggaran keamanan yang dilakukan, maka akan diberikan sanksi sesuai peraturan yang berlaku.[]

Redaktur: Andi Nugroho