BatamNow.com, Jakarta – Aplikasi PeduliLindungi termasuk perangkat yang diandalkan pemerintah untuk bisa membawa bangsa Indonesia ke luar dari krisis pandemi Covid-19. Namun, aplikasi ini ternyata menyimpan sederet kekurangan dan kelemahan dalam hal keamanan data yang disimpannya.
Dilansir Tempo.co, satu kasusnya yang sudah terjadi, tak tanggung-tanggung, melibatkan profil pengguna tertinggi di Indonesia yakni Presiden Joko Widodo atau Jokowi sebagai korbannya. Data sertifikat vaksin dan data pribadi lainnya bisa diakses secara ilegal dan disebar.
Sejumlah kekurangan dan kelemahan soal keamanan aplikasi PeduliLindungi itu telah dipetakan Forum Tata Kelola Internet Indonesia (Indonesia Internet Governance Forum/ ID-IGF). Mereka mengirimkan surat rekomendasi dan masukan untuk perbaikan aplikasi itu ditujukan kepada lembaga terkait, seperti Kementerian Komunikasi dan Informatika, Kementerian Kesehatan, Kementerian Dalam Negeri, Badan Siber dan Sandi Negara, dan PT Telekomunikasi Indonesia.
Berikut peta masalah yang mereka temui dan rekomendasi perbaikannya:
1. Syarat penggunaan
Permasalahan PeduliLindungi mencantumkan syarat penggunaan yang tidak menjamin layanannya selalu bisa diakses serta tidak menjamin data yang akurat dan aman.
Rekomendasi untuk masalah tersebut adalah mengubah syarat penggunaan PeduliLindungi agar sesuai dengan Peraturan Pemerintah nomor 71 Tahun 2019 tentang Penyelenggara Sistem dan Transaksi Elektronik. Dalam pasal 3, mewajibkan setiap Penyelenggara Sistem Elektronik (PSE) bertanggungjawab terhadap penyelenggaraan sistemnya.
2. Kebijakan kerahasiaan
Kebijakan kerahasiaan PeduliLindungi tidak menjamin keamanan data bila terjadi akses illegal.
Sesuai Peraturan Pemerintah nomor 71 Tahun 2019 Pasal 31, PSE wajib melindungi pengguna dan masyarakat luas dari kerugian yang ditimbulkan oleh sistem elektronik yang diselenggarakannya. Sehingga, kebijakan kerahasiaan PeduliLindungi harus memuat klausul di atas. Selain itu data aplikasi harus dienkripsi dan hanya bisa didekripsi oleh aplikasi.
3. Database dan fitur tidak terintegrasi
Database PeduliLindungi dan berbagai fiturnya tidak terintegrasi antara aplikasi web dan mobile apps. Hal itu mengakibatkan duplikasi akun dan kerancuan penggunaan oleh pengguna.
Untuk mengatasi masalah tersebut, rekomendasinya adalah segera dilakukan perbaikan desain arsitektur aplikasi dengan menerapkan metode DEVSECOPS. Tujuannya untuk kontrol proses pengembangan, sehingga mengurangi bug, logical process error, fitur dan UI/UX yang tidak user friendly dan berbagai kesalahan mendasar yang masih terjadi pada versi release. Jangan lupa, memastikan database terenkripsi pada semua level akses aplikasi.
4. Keamanan database dan domain
Keamanan database di cloud dan domain alamat PeduliLindungi, serta ketahanan akses Pusat Data Nasional terkait isu utama, availability.
ID-IGF merekomendasikan agar mengubah arsitektur dan topologi PDN selaku host PeduliLindungi menjadi multihome network yang terhubung ke beberapa peering dan IP transit secara agregasi untuk mencegah single point of failure dan menjaga robustness. Serta replikasi PeduliLindungi ke sejumlah host selain PDN dengan model konvensional mirror site atau CDN/ Anycast untuk menjamin availability dan performa.
5. Security audit dan bug bounty
Untuk masalah ini, rekomendasinya adalah dilaksanakan secara periodik untuk menjamin keamanan sistem PeduliLindungi maupun data-data pengguna yang tersimpan. Membuat dokumentasi terbuka yang memungkinkan peer review memanfaatkan standar pengembangan dokumentasi seperti direktori Git yang diselenggarakan oleh platform GitHub. Serta melibatkan Professional Tester, baik Blue Team maupun Red Team. Juga User Acceptance Test untuk memastikan fungsionalitas fitur mapun UI/UX. (*)