MANAJEMEN-TI.COM – Masa Pemilu memang masanya ribut bin heboh. Segala hal bisa diributkan dan dihebohkan. Banyak orang yang tiba-tiba mendadak jadi seolah ahli di segala bidang, bahkan ahlinya ahli.
Diantara isu yang heboh belakangan ini adalah adanya tuduhan bahwa Komisi Pemilihan Umum (KPU) melakukan kecurangan sistemik dalam sistem Teknologi Informasi (TI) yang diterapkannya. Sehingga organisasi penyelenggara pesta demokrasi itu dituduh telah mendesain sistemnya sedemikian rupa sehingga akan memenangkan salah satu pasangan calon dengan angka yang sudah ditentukan. Dasarnya antara lain dari beredarnya sebuah video dari seseorang yang katanya menemukan bahwa server KPU yang katanya berada di Luar Negeri telah di-setting untuk memenangkan salah satu pasangan calon.
[Baca juga: Pemilu, Pentas Para Peratas]
KPU yang merasa dirugikan dengan viralnya tuduhan tak berdasar tersebut melaporkan penyebar video tersebut secara hukum melalui Polisi. Publik luas pun seperti biasa terbelah dalam 2 kelompok, pro dan kontra. Dalam kedua kelompok yang pro dan kontra tersebut sebagian besar diantaranya sebenarnya hanya sebagai penyebar gema dari suara-suara yang ada di ruang gema (echo chamber) kelompoknya masing-masing. Sehingga berfikirnya menjadi kurang jernih, dan seringkali cenderung emosional.
Dalam tulisan ini saya ingin sedikit menjelaskan mengenai apa dan bagaimana Audit Teknologi Informasi itu? Bagaimana dengan Audit TI dalam konteks Pemilu dan sistem KPU? Dan apakah yang dipeributkan belakangan itu cukup relevan?
Audit TI
Audit TI itu pada dasarnya adalah proses mengumpulkan dan mengevaluasi bukti-bukti untuk menilai sejauh mana TI dan sumber daya terkait telah cukup melindungi aset-aset organisasi, memelihara integritas dan ketersediaan data dan sistem, dapat mencapai obyektif secara efektif dan efisien, serta mencegah, mendeteksi, atau mengkoreksi jika terjadi hal-hal yang tidak diinginkan dengan cepat.
Audit TI dilakukan dengan berbasis pada risiko dalam area yang akan diaudit. Sehingga asesmen risiko merupakan tahapan yang sangat penting dalam merencanakan audit. Risiko disini meliputi seluruh proses bisnis terkait secara komprehensif. Berdasarkan hasil asesmen terhadap risiko tersebut akan terlihat titik-titik mana saja yang berisiko tinggi, sedang dan rendah. Berdasarkan profil tersebut dapat ditentukan lingkup area yang akan diaudit, alokasi sumber dayanya, dan sebagainya. Biasanya fokus audit akan diarahkan pada area-area yang berisiko tinggi dan sedang atau disesuaikan dengan tingkat toleransi risiko serta pertimbangan lain seperti kapasitas, ketersediaan sumber daya, dan sebagainya. Kemudian selanjutnya berdasarkan profil risiko tersebut dapat disusun program audit yang terdiri atas obyektif dan prosedur audit yang perlu dilakukan untuk mencapai obyektif tersebut.
[Baca juga: Pentingnya Program Audit]
Audit TI Pemilu
Sebelum melakukan audit TI atas penyelenggaraan Pemilu oleh KPU maka yang pertama harus dilakukan adalah melakukan asesmen risiko terhadap seluruh proses bisnis terkait Pemilu yang dikelola oleh KPU. Proses bisnis penyelenggaraan Pemilu oleh KPU yang terdiri atas tahapan-tahapan dalam penyelenggaraan Pemilu Legislatif maupun Pemilu Presiden dan Wakil Presiden seperti pada dua gambar di bawah ini:
Selanjutnya pada setiap tahapan dalam proses bisnis pemilu legislatif maupun presiden/wakil presiden diatas, perlu diidentifikasi kerentanan (vulnerability) apa saja yang terdapat padanya. Lalu pada setiap kerentanan tersebut ada ancaman (threat) apa saja. Kerentanan dan ancaman tersebut perlu dianalisis untuk setiap aset/sumber daya yang digunakan pada tahapan tersebut. Baik aset-aset digital (seperti aplikasi, database, jaringan, dll) maupun non digital (seperti dokumen, orang, dll).
Kalau sudah diidentifikasi kerentanan dan ancaman pada setiap tahapan tersebut, maka berikutnya adalah menentukan sejauh mana kemungkinan (probabilitas) terjadinya setiap ancaman tersebut dan seberapa besar dampaknya. Kombinasi antara kemungkinan terjadinya ancaman dan besar/kecilnya dampak tersebut yang akan menghasilkan tingkat risiko dari sebuah ancaman.
Berikutnya akan dilakukan analisis penanganan seperti apa yang akan dilakukan untuk setiap risiko tersebut. Jika tingkat risiko tersebut berada diatas tingkatan yang dapat ditoleransi, maka mesti dievaluasi bagaimana pengendaliannya.
Nah, sekarang yang diributkan oleh sebagian kalangan yang menuntut dilakukannya audit TI KPU karena dicurigai ada kecurangan itu ada pada titik mana sebenarnya?
Pada titik tersebut aset/sumber daya apa yang berkaitan? Berkaitan dengan sistem, data, dokumen, orang, atau apa saja? Pada tulisan ini saya akan mengambil 2 (dua) titik yang banyak diangkat, yaitu: soal penyusunan daftar pemilih, dan sistem perhitungan suara.
Daftar Pemilih Tetap (DPT)
Darimana KPU mendapatkan data pemilih ini?
Data DPT awalnya didapatkan dari data kependudukan yang dikelola Kemendagri (Dukcapil). Data ini kemudian telah mengalami beberapa siklus perbaikan yang melibatkan berbagai kalangan termasuk melibatkan legislatif, parpol, dan masyarakat secara luas. Data ini juga terus dimutakhirkan seiring dengan perkembangan data kependudukan di Dukcapil. Untuk memfasilitasi masyarakat dalam perbaikan DPT ini, KPU antara lain juga menjalankan gerakan lindungi hak pilih. Setiap orang bisa memeriksa apakah dirinya sudah terdaftar dalam DPT yang dikelola oleh KPU tersebut. Selain itu Bawaslu juga ikut mengawasi jalannya perbaikan data DPT ini disamping Komisi II DPR sebagai mitra pengawasnya.
[Baca juga: Soal e-KTP Lagi. Apakah Single Identity Number = Satu Kartu untuk Semua?]
Pada DPT Hasil Perbaikan Tahap I, KPU menetapkan ada 185.084.629 orang yang terdaftar sebagai pemilih di dalam negeri dan 2.025.344 orang di luar negeri. Sehingga total DPT hasil perbaikan tahap I yang dirilis pada 16 September 2018 tersebut total jumlah pemilih adalah 187.109.973 orang.
Sedangkan pada DPT hasil perbaikan tahap II yang dirilis 15 Desember 2018, ditetapkan jumlah pemilih sebanyak 192.828.520 jiwa. Artinya terdapat tambahan sebanyak 5.038.236 jiwa. Adapun pada DPT hasil perbaikan tahap III yang baru dirilis kemarin (8 April 2019) jumlah pemilih pada DPT bertambah menjadi 192.866.254 jiwa. Atau mengalami peningkatan sebesar 37.734 jiwa.
Proses perbaikan DPT ini akan terus dilakukan KPU hingga dua hari menjelang pemungutan suara atau 15 April 2019 mendatang. Termasuk merespon komplain, tuduhan, kekhawatiran, masukan dan lain-lain dari berbagai pihak.
Dan kontrol terakhir pengujian validitas DPT ini nanti akan ada pada TPS-TPS. Salinan dari DPT terakhir itu akan diberikan pula kepada seluruh saksi-saksi yang ada. Masyarakat juga dapat melihat DPT yang terpampang di TPS masing-masing untuk memastikan kebenaran dari DPT tersebut.
Jadi setelah semua proses pengendalian di atas (dan sejumlah kontrol lain yang tidak disebutkan diatas), apakah DPT masih dimungkinkan salah atau tidak valid? Risiko tersebut pasti tetap ada. Tidak mungkin menghilangkan semua risiko sama sekali. Tapi setidaknya risiko tersebut dapat ditekan seminimal mungkin dengan menerapkan beberapa kontrol pengendalian seperti yang telah dirancang.
Sistem Perhitungan Suara
Suara lain yang juga kencang terdengar belakangan seperti yang disebutkan di awal tulisan ini adalah terkait tuduhan bahwa sistem perhitungan suara hasil pemilu itu sudah diatur untuk kemenangan salah satu pasangan calon presiden-wakil presiden. Sehingga kemudian santer lagi tuntutan untuk Audit TI KPU. Termasuk seorang pakar IT terkenal ikut meminta agar KPU melakukan audit keamanan mulai dari vulnerability analysis, penetration test, audit ISMI[1] ISO 27001, risk management ISO 31000. Kemudian hasil audit tersebut dipublikasikan supaya tidak ada keresahan tentang keamanan server KPU, katanya.
Pertanyaannya, apakah relevan audit-audit yang disebut tersebut jika tujuannya adalah memastikan tidak adanya pengaturan terhadap hasil perhitungan hasil pilpres?
Sekali lagi mari coba kita lihat bagaimana proses perhitungan suara hasil pemilu itu akan dilakukan. KPU menegaskan bahwa proses perhitungan rekapitulasi yang digunakan sebagai hasil resmi Pemilu 2019 adalah yang melalui cara manual. Hasil pemungutan suara di setiap TPS akan direkap dalam formulir C1 yang disaksikan dan ditanda-tangani pula oleh saksi-saksi. Masyarakat juga diberikan kesempatan untuk memfoto hasil C1 plano, formulir besar yang dihitung di TPS. Kemudian, rekapitulasi itu akan dibawa ke kecamatan, dihadiri saksi, pemantau pemilu, dan pengawas TPS yang masing-masing akan menerima formulir C1-nya. Kemudian rekapitulasinya akan dibawa ke Kabupaten/Kota untuk discan masuk ke dalam server KPU agar bisa diakses oleh masyarakat. Formulir C1 itu kemudian bisa dijadikan bahan pembanding jika nanti ada C1 yang palsu atau dimanipulasi. Nantinya di setiap desa yang ada TPS-nya akan ditempel C1 asli yang bisa difoto dan diakses masyarakat dan bahkan kalau mau bisa juga di-upload di media sosial. Hal tersebut diharapkan merupakan bagian dari pengawasan tambahan dari masyarakat terhadap kerja penyelenggara Pemilu 2019, disamping oleh unsur-unsur pengawas lainnya.
Adapun sistem perhitungan hasil pemilu (Situng) itu sebenarnya hanya berfungsi menampilkan rekap hasil form-form C1 manual tersebut. Sebagai bagian dari transparansi proses yang dilakukan oleh KPU sebagai penyelenggara pemilu.
Kalau seandainya sistem tersebut taruhlah ada setting kecurangan gimana? Bagaimana kalau data yang ditampilkan pada sistem tersebut ada yang mengubah-ubahnya seperti kasus “Partai Kolor Ijo” tahun 2004 lalu? Bagaimana kalau sistemnya ada yang meretas dan datanya hilang semua? Dan berbagai skenario risiko lain yang bisa diteruskan nyaris tak terbatas. Dan selama ini KPU mengakui sering diserang dari berbagai pihak dalam dan luar negeri. Tapi tetap saja kalau berkaitan dengan keabsahan hasil Pemilu maka jawabnya sama saja: ia tidak berpengaruh pada hasil pemilu. Karena hasil Pemilu 2019 itu dihitung secara manual berbasis pada formulir-formulir C1 yang ada di tangan begitu banyak pihak seperti dijelaskan diatas.
[Baca juga: Digitalisasi Layanan Pemerintah: Antara Kecepatan Vs Keamanan]
Jadi perlukah Audit TI dilakukan pada KPU? Kalau tujuannya seperti disebutkan diatas, yaitu untuk keabsahan hasil pemilu 2019, maka ia menjadi kurang relevan dilakukan saat ini. Lebih baik fokus energi kita lebih diarahkan pada pengawalan pemungutan suara di TPS-TPS, dari mulai verifikasi DPT dan validitas pemilihnya hingga rekapitulasi hasilnya sesuai dengan kapasitas dan jaringan yang kita miliki.
Tapi kalau tujuannya untuk perbaikan TI KPU atau Sistem Pemilu ke depan, saya sangat setuju untuk dilakukan. Sekedar melihat sepintas website KPU saja, saya sudah menangkap banyak hal yang dapat diperbaiki ke depan. Kita semua ingin negeri ini semakin maju, dengan sistem yang lebih baik, efisien, praktis, dan aman. Ya kan?! [mti/foto: antara]
Penulis: Umar Alhabsyi, ST, MT, CISA, CRISC.
Certified Information System Auditor – Certified in Risk and Information System Control
Founder and CEO iValueIT Consulting (PT IVIT Konsulindo)
[1] mungkin maksud beliau bukan ISMI, tapi adalah ISMS (Information Security Management System)
1 comment on "Ribut-Ribut Tuntutan Audit TI KPU. Apakah Relevan Saat Ini?"