peretas pemilu

MANAJEMEN-TI.COM — Bagi umumnya warga negara, Pemilu merupakan pesta demokrasi yang selalu ditunggu-tunggu. Pemilu pada hakikatnya merupakan proses ketika rakyat sebagai pemegang kedaulatan memberikan mandat kepada para calon individu-individu untuk menjadi pemimpinnya di eksekutif atau menjadi wakilnya di legislatif. Barangkali tidak ada sebuah agenda yang jadi perhatian seluruh warga di seluruh pelosok negeri bahkan juga dunia Internasional yang melebihi agenda pemilu ini. Selain jumlah pesertanya yang sangat besar, hasil dari agenda ini dampaknya sangat besar terhadap nasib negara dan jutaan warga negara yang berada di dalamnya. Bahkan ia juga akan berdampak pada peta hubungan dan kerja sama luar negeri. Hal ini membuat banyak pihak berusaha mencurahkan segala daya upayanya agar proses dan hasil pemilu ini bisa seperti yang diharapkan.

Gegap gempitanya perhatian dan tingkat kepentingan dari Pemilu tersebut di sisi lain juga memberikan daya tarik tersendiri bagi banyak pihak untuk unjuk diri. Momen Pemilu ini juga merupakan kesempatan emas untuk bisa mendadak terkenal. Termasuk diantaranya adalah para peretas sistem (hacker).

Peretas ini ada yang baik dan ada yang jahat. Peretas yang baik mencoba menembus sebuah sistem untuk memastikan bahwa sistem tersebut cukup aman. Kalau seandainya dia menemukan kelemahan, maka ia sampaikan ke pemilik sistem untuk memperbaikinya. Peretas yang baik dan budiman ini bisa merupakan orang internal maupun eksternal organisasi pemilik sistem. Bisa profesional bayaran, bisa juga ahli gratisan yang dilandasi idealisme tertentu atau sekadar ingin menunjukkan bahwa dirinya diakui sebagai expert.

Sedangkan peretas yang “jahat” mencoba berbagai cara menembus sebuah sistem untuk tujuan-tujuan tertentu yang tidak diinginkan oleh pemilik sistem dan data targetnya.

Nah, momen Pemilu ini biasanya menjadi momennya para peretas untuk naik ke atas pentas. Baik yang sekedar ingin memunculkan namanya saja, iseng-iseng, sampai dengan yang melakukan penyerangan terhadap keamanan sistam dan informasi secara sangat serius.

Keamanan sistem atau informasi biasanya dilihat dari 3 aspek atau parameter, yaitu kerahasiaan (confidentiality), integritas (integrity), dan ketersediaan (availability). Tulisan sederhana ini membahas bagaimana keamanan sistem Pemilu dapat diserang dari ketiga aspek diatas. Tentu tidak akan mencakup seluruh risiko dan kasus kejadian, karena kalau demikian mungkin bisa jadi sebuah buku tebal tersendiri. Betapapun, tulisan sederhana ini diharapkan dapat meningkatkan kesadaran keamanan bagi para pihak terkait dan kita semua umumnya yang setidaknya merupakan peserta pesta demokrasi yang akan kita sama-sama ikuti di tahun-tahun politik ini.

Aspek Kerahasiaan

Aspek kerahasiaan informasi ini sangat penting terutama pada data-data personal yang disimpan pada sistem seperti sistem Pemilu ini. Hal ini karena sekali data personal tersebut terbongkar kerahasiaannya, maka berarti kerahasiaan data tersebut telah rusak selamanya. Misalnya ketika data nama, tanggal lahir, nama ayah dan ibu kandung, dan lain-lain dari seseorang itu terbongkar maka ia akan terbongkar selamanya. Karena seseorang tidak mungkin mengubah tanggal lahir, nama orang tua dan lain-lain akibat ada orang-orang yang mengetahuinya. Sehingga begitu kerahasiaan data personal seseorang terpapar, maka yang bersangkutan akan terpapar berbagai risiko keamanan dari berbagai sistem-sistem lain yang menggunakan data-data personal tersebut sebagai kunci pengamanannya.

(Baca juga: Quo Vadis Perlindungan Data Pribadi di Indonesia)

Kasus seperti ini pernah terjadi pada Pemilu 2016 di Filipina. Ketika itu sistem pemilu berhasil diretas oleh kelompok yang menamakan dirinya Anonymous Philippines dan LulzSec Pilipinas. Para peretas berhasil mencuri database COMELEC (KPU Filipina) yang berukuran sampai 340 Gigabyte. Hal ini menyebabkan sekira 55 juta data pemilih negaranya Duterte itu terpapar kerahasiannya. Insiden pencurian data terbesar sepanjang sejarah Filipina ini membuat kondisi berdampak sangat serius. Apalagi kejadian tersebut terjadi kurang dari 2 bulan sebelum pelaksanaan Pemilu di negeri itu. Insiden yang dikenal juga dengan insiden COMELEAK tersebut juga menyebabkan berbagai institusi finansial, situs commerce dan online lainnya mengubah pertanyaan-pertanyaan keamanannya. Mereka tidak mungkin lagi menanyakan pertanyaan seperti tanggal lahir dan nama ibu kandung, karena data-data tersebut sudah terbongkar kerahasiaannya. Hal tersebut akan berlaku seterusnya di Filipina. Karena kerahasiaan data itu sekali hilang, maka akan hilang selamanya.

peretasan pemiluKasus lain adalah seperti yang terjadi pada pemilihan presiden AS 2016 yang lalu. Rusia dituding telah melakukan serangkaian aksi peretasan yang dikatakan mempengaruhi hasil pilpres tersebut. Rusia dituding berada dibalik diretasnya ribuan email yang dikelola komite demokrasi nasional AS. Terbongkarnya email-email rahasia itu pada publik berdampak pada anjloknya elektabilitas Hillary Clinton yang akhirnya kalah dari pesaingnya yang sebelumnya kurang diperhitungkan, Donald Trumph. AS mengklaim punya banyak bukti dalam berbagai bentuk termasuk sidik jari, alamat IP, malware, potongan kode program, dan lain-lain yang semuanya mengarah ke Rusia. Namun demikian, dalam sebuah wawancara di MSNBC, Vladimir Putin membantah tudingan tersebut. Putin mengatakan bahwa kekalahan Clinton adalah karena strategi yang dilancarkan tim Trumph lebih efektif dibandingkan Clinton. Bahwa mudah saja suatu kelompok peretas melakukan aksinya dengan meninggalkan jejak seolah-olah serangan bersumber dari Rusia. “Jangan karena kalah strategi lalu menimpakan kesalahan itu pada kami (Rusia)”, kata Putin yang baru saja menang telak dalam pemilihan presiden Rusia kemarin. Belakangan kita juga mengetahui ada sebuah kejahatan canggih yang dilakukan oleh Cambridge Analytica yang ikut membantu strategi pemenangan Trumph dalam Pemilu 2016 lalu.

(Baca juga: VIDEO: Putin Ceramahi Kelly Soal Cybersecurity dan Campur Tangan Negara)

Kasus lain misalnya yang terjadi di Perancis pada pemilihan presidennya 2017 lalu. Pada malam sebelum pemilihan, lebih dari 20 ribu email terkait kampanye Emmanuel Macron tiba-tiba terdapat pada sebuah website file sharing anonim. Kabar peretasan ini tersebar begitu cepat ke seluruh dunia melalui akun-akun robot dan spam. Analisis yang dilakukan oleh Flashpoint, perusahaan keamanan siber AS, menyatakan dengan cukup yakin bahwa APT28 merupakan kelompok dibalik peretasan tersebut dan aksi-aksi lanjutannya. APT28 atau kadang menggunakan nama “Fancy Bear” ini diduga terkait dengan badan intelijen militer Rusia. Kelompok ini juga dituding berada dibalik serangan pada pemilu di Jerman, Ukraina, dan sejumlah negara lainnya.

Dalam proses pemilihan presiden AS 2016 lalu, server email pribadi Hillary Clinton juga berhasil diretas dan dipublikasikan di WikiLeaks. Akibat hal ini banyak hal rahasia yang terbuka dan berakibat popularitas istri mantan presiden AS itu terjun bebas.

Aspek Integritas

Serangan terhadap aspek integritas artinya data-data yang dikelola berhasil diubah oleh peretas sehingga tidak sesuai dengan data yang seharusnya.

peretasan pemiluKita mungkin masih ingat ketika pada Pemilu 2004 yang lalu situs situs tabulasi nasional pemilu KPU berhasil ditembus dan kemudian sempat diubah wajahnya sesuai keinginan peretasnya. Disamping itu nama-nama partai yang ada disitu juga diacak-acak. Partai Golkar diubah jadi Partai Jambu, Partai Demokrat jadi Partai Mbah Jambon, PKS diubah jadi partai Kolor Ijo, dan lain-lain. Menurut pengakuan pelakunya, motifnya hanya iseng karena tergerak oleh pernyataan jumawa pejabat KPU tentang keamanan sistem TI Pemilu yang dikelolanya. Padahal sebelumnya ia telah memperingatkan akan adanya lubang-lubang keamanan pada sistem TI Pemilu tersebut namun kurang didengarkan. Pelakunya kemudian diputus bersalah di pengadilan. Waktu itu komunitas sekuriti di Indonesia sempat menuntut pembebasan Dani Firmansyah sang peretas yang katanya bermaksud baik karena peringatannya tentang kelemahan keamanan sistem tidak diindahkan oleh tim pengelola. Tapi tetap ini merupakan tindakan yang ilegal, sehingga hukum berlaku padanya.

Pada Pemilu 2009, sistem TI KPU juga menghadapi hujan serangan peretas. Mereka sempat mengacaukan tampilan website KPU, menyusupi berita dan informasi yang ada di situs tersebut dengan pesan-pesan aneh. Demikian juga pada Pemilu 2014, ada ribuan peretas yang mencoba menguji keamanan sistem TI KPU. Jika ditelusuri dari alamat IP nya maka terlihat bahwa para peretas itu ternyata juga berasal dari banyak negara luar. Mereka berusaha masuk untuk merubah data-data yang dikelola, namun KPU memastikan mereka tidak berhasil mengubah apapun.

Walaupun sebenarnya peretasan sistem TI Pemilu di Indonesia tidak sampai akan mengubah hasil formal Pemilu. Karena data yang diakui absah sebagai hasil pemilu adalah rekapitulasi perhitungan hasil pemungutan suara yang dikumpulkan dari formulir-formulir yang diisi pada setiap tempat pemungutan suara. Data yang dikelola pada sistem TI pemilu lebih digunakan untuk memudahkan publikasi informasi perkembangan hasil perhitungan suara yang dilakukan secara manual tersebut.

Tapi bagi negara yang menggunakan mesin voting untuk pemungutan suaranya, maka mesin voting tersebut dapat menjadi target peretasan. Hal ini bisa dilakukan dengan melalui jaringan yang digunakan untuk pelaksanaan pemungutan suara, memasang sesuatu secara fisik di mesin votingnya, menginstal suatu malware di software mesin voting, meretas sistem pada penyedia mesin voting yang digunakan, dan sebagainya. Tujuannya ingin merubah pilihan yang dimasukkan oleh para pemilih pada mesin-mesin pemungutan suara yang digunakan.

Aspek Ketersediaan

Serangan terhadap aspek ketersediaan menyebabkan sistem Pemilu tidak dapat memberikan layanan sebagaimana seharusnya dalam kurun waktu tertentu.

Salah satu metode yang paling sering digunakan untuk menyasar aspek ketersediaan ini adalah dengan metode Distributed Denial of Service (DDoS). Serangan ini dilakukan dengan membanjiri sistem, server, atau sumber daya jaringan dengan pesan-pesan, permintaan koneksi, atau paket-paket tertentu secara masif sehingga memaksa sistem/server/jaringan target menjadi drop performansinya dan mati (shut down). Sehingga akhirnya para pengguna yang seharusnya berhak mendapatkan layanan justru tidak dapat menggunakannya akibat serbuan “zombie” pengirim pesan/permintaan/paket palsu tersebut.

(Baca juga: Serangan DDoS, Makin Besar, Makin Cepat)

Banyak sekali serangan jenis ini menyerang pemilu di berbagai belahan dunia. Pada oktober 2015, sejumlah peretas melakukan serangan DDoS pada komisi pemilu Bulgaria dengan tujuan untuk mengganggu jalannya pemilu daerah dan nasional mereka. Pada oktober 2014, kelompok peretas menarget situs komisi pemilu Ukraina untuk mengacaukan pemilu disana. Pada saat pemilihan presiden AS yang lalu, situs Donald Trumph (kandidat presiden pemenang pemilu) juga berulangkali menjadi target serangan DDoS dan data dump.

Serangan terhadap Personil

Pentas pemilu tidak hanya memacu adrenalin para peretas untuk mencoba membongkar sistem TI Pemilu saja, tapi juga personil-personil tertentu yang dianggap dapat mengganggu ambisi dan tujuan kelompok atau individu lainnya dalam memenangkan Pemilu. Biasanya pada tahun-tahun politik seperti tahun 2018 dan 2019 ini, para aktor politik akan berusaha untuk membongkar aib dari lawan-lawan politiknya. Kasus yang terjadi pada dibongkarnya email pribadi Hillary Clinton di AS dan Macron di Perancis, misalnya, juga banyak terjadi di berbagai tempat lain dengan tujuan untuk menghancurkan karakter seorang yang sedang atau akan berkompetisi di Pemilu. Hal yang sama dalam sejumlah bentuknya juga kita lihat di negeri kita. Setiap aktor politik mesti bersiap bahwa lawan-lawan politiknya akan berusaha dengan segala cara untuk menjatuhkannya. Bentuknya bisa meretas email, ponsel, menyadap rumah tinggal, dan sebagainya.

Apa yang harus dilakukan?

Seperti sudah dijelaskan diatas, bahwa momen pemilihan umum baik pada tingkat daerah maupun nasional adalah momen yang sering dimanfaatkan sebagai pentas para peretas dengan berbagai motifnya. Probabilitas kejadian yang tinggi dan dampaknya yang juga bisa sangat besar menghasilkan tingat risiko yang sangat tinggi pula. Oleh karena itu maka menjadi wajib bagi para pihak terkait untuk merencanakan pengendalian risiko-risiko tersebut sebaik-baiknya.

Bagi organisasi pengelola pemilu, hal yang mutlak harus dilakukan utamanya adalah: (1) lakukan asesmen risiko keamanan yang komprehensif; (2) rencanakan penanganan setiap risiko dengan sebaik-baiknya; (3) terapkan penanganan risiko sesuai rencana; (4) pantau, evaluasi dan update status setiap risiko dan penanganannya; (5) siapkan tim penanganan insiden keamanan yang kuat; dan yang tak kalah pentingnya (6) tetap rendah hati dan jangan jumawa.

Bagi individu-individu terutama yang berencana ikut dalam kontestasi pemilu, lebih berhati-hatilah dengan pengamanan data-data pribadi Anda dan keluarga, serta sadari risiko-risiko dalam komunikasi secara digital.

Bagi yang punya rencana jahat untuk meretas sistem pemilu atau menyasar data aib pribadi orang-orang tertentu, baiknya diurungkan saja. Itu jelas-jelas pelanggaran hukum berat dan merugikan banyak sekali orang dan kepentingan bangsa yang lebih besar. Ajaran agama manapun melarang keras perbuatan seperti ini.

Bagi yang hanya ingin iseng-iseng cari pentas, baiknya Anda ikut membantu beri masukan pada organisasi pengelola pemilu jika anda menemukan ada celah-celah keamanan yang dapat membahayakan. Selain dapat pahala, anda juga mungkin dapat pentas juga. Daripada nanti malah iseng-iseng ke hotel prodeo.

Semoga tahun-tahun politik ini dapat kita lewati dengan aman dan damai. Pentas para peretas yang hampir pasti terjadi dapat dikelola risikonya dengan sebaik-baiknya. Sehingga pesta demokrasi di negeri kita ini benar-benar menjadi pesta rakyat yang sesungguhnya karena memberikan hasil yang terbaik bagi seluruh bangsa. Jangan korbankan kepentingan ratusan juta manusia Indonesia, hanya karena kepentingan pribadi atau kelompok. Apalagi kalau hanya sekedar mau naik pentas! [mti/af/picture: okezone]

Penulis: Umar Alhabsyi, ST, MT, CISA, CRISC.

Senior IT Management Consultant, founder and CEO of PT IVIT Konsulindo.