Berikut daftar lengkap kegiatan yang wajib menggunakan aplikasi PeduliLindungi selama PPKM. (dok.Fimela.com) |
Jakarta - Beberapa waktu lalu, beredar sejumlah screenshot yang merupakan Kebijakan Kerahasiaan PeduliLindungi. Isinya kurang lebih:
"PT Pemerintah Republik Indonesia dan PT Telkom tidak bertanggung jawab atas setiap kerugian yang timbul yang diakibatkan karena adanya pelanggaran atau akses tidak sah terhadap PeduliLindungi, termasuk namun tidak terbatas pada hal-hal ataupun fitur yang terdapat dalam PeduliLindungi yang dilakukan oleh Pengguna dengan cara yang bertentangan dengan Ketentuan ini maupun ketentuan hukum yang berlaku di wilayah RI."
Menanggapi berbagai permasalahan, salah satunya seperti di atas, Forum Tata Kelola Internet Indonesia/ Indonesia Internet Governance Forum memberikan rekomendasi terhadap aplikasi PeduliLindungi yang merupakan aplikasi untuk tracking dan tracing Covid-19 di Indonesia.
Rekomendasi ini diberikan kepada Menkominfo, Menkes, Mendagri, Kepala BSSN, hingga Dirut Telkom. Sekadar informasi, PeduliLindungi dikembangkan oleh Kemkominfo bersama Telkom.
"Sesuai Peraturan Pemerintah no 71 tahun 2019 pasal 31, PSE wajib melindungi pengguna dan masyarakat luas dari kerugian yang ditimbulkan oleh sistem elektronik yang diselenggarakannya," kata Forum Tata Kelola Internet Indonesia yang beranggotakan para pakar di bidang keamanan siber Indonesia, dalam keterangan, Rabu (8/9/2021).
Forum menyebut, dengan begitu, kebijakan kerahasiaan PeduliLindungi harus memuat klausul di atas. Selain itu PeduliLindungi harus dienkripsi dan hanya bisa didekripsi oleh aplikasi PeduliLindungi.
Tidak hanya itu, berbagai masalah lain juga disorot. Misalnya aplikasi yang mempersyaratkan GPS aktif 24 jam, kesalahan data penerima vaksinasi, penerbitan sertifikat vaksinasi terlalu lama, pengguna terus diminta login dan memasukkan NIK, sampai ke OTP yang sering gagal terkirim.
Forum pun menyarankan agar GPS tidak perlu aktif 24 jam, namun pengguna diberi opsi pemakaian GPS. Keempat opsi yakni pemakaian sekali, saat digunakan, selalu aktif, atau menolak pengaktifan.
Forum juga menyarankan agar pengguna diberi pilihan untuk tetap login dan tak perlu memasukkan NIK tiap membuka aplikasi.
Untuk perkara OTP yang gagal diterima, Forum menyarankan pengiriman OTP melalui email atau SMS maksimal 3 menit. PeduliLindungi juga disarankan untuk bisa memakai 2FA dengan aplikasi token random number generator yang dibuat oleh pengembang.
Untuk perlindungan data pribadi, Forum menyarankan PeduliLindungi harus mengadopsi praktik ISO27701.
Masalah lain yang disorot adalah fitur vaksinasi yang sulit dipahami, tidak menampilkan data dan lokasi, serta tidak realtime. Di sini, Forum menyarankan agar pengembang membuat fitur sederhana berisi lokasi, waktu, dan pilihan untuk mendaftar vaksinasi.
Selanjutnya setelah mendaftar, pengguna bisa langsung menerima konfirmasi dan jadwal untuk datang ke tempat vaksinasi yang dipilih tanpa perlu daftar ulang.
Ada pula masalah tentang database PeduliLindungi dan berbagai fiturnya tidak terintegrasi antara web dan aplikasi mobile. Dengan begitu, bisa terjadi duplikasi akun dan kerancuan.
Forum pun menyarankan agar pengembang melakukan perbaikan desain arsitektur aplikasi menggunakan metode DEVSECOPS. Dengan begitu bug, logical process error, fitur dan tampilan tidak user friendly bisa dikurangi. Semua database juga disarankan untuk terenkripsi.
Masalah lain yang disorot adalah banyaknya data yang dikumpulkan PeduliLindungi dan dianggap melebihi kebutuhannya. Hal ini dinilai memperbesar peluang pelanggaran data pribadi pengguna.
"Solusinya, menghapus ketentuan-ketentuan ini karena tidak sesuai dengan fungsi PeduliLindungi. Selain itu jika ada kebocoran data pengguna akan dengan mudah dipakai untuk social engineering oleh pihak lain," kata Forum Tata Kelola Internet Indonesia.
Bukan hanya itu, pengguna juga mengeluhkan layanan call center PeduliLindungi yang lambat merespon keluhan pengguna.
PT Telkom dalam hal ini disarankan untuk menggunakan layanan pelanggan profesional multi-channel 24 jam. Dengan begitu, pengguna PeduliLindungi bisa diperlakukan layaknya nasabah perbankan.
Forum juga melihat bahwa sistem input PeduliLindungi memiliki celah keamanan karena dilakukan secara manual oleh ratusan ribu nakes. Hal ini membuat waktu vaksinasi lebih lama dan banyaknya kesalahan data penerima vaksin.
Dalam hal ini, Forum memberi solusi berupa digitalisasi form registrasi sehingga pengguna hanya perlu scan QR Code. Dengan begitu, waktu tunggu vaksinasi massal bisa dipangkas menjadi hanya 25 menit per orang. Pun petugas input data tidak harus nakes untuk mengurangi kesalahan input data.
Masalah teknis lain yang disoroti Forum Tata Kelola Internet Indonesia adalah audit keamanan dan bug bounty. Forum melihat kedua hal ini perlu dilakukan secara periodik untuk menjamin keamanan data sistem PeduliLindungi maupun data pengguna yang tersimpan.
Forum juga menyarankan untuk membuat dokumentasi terbuka yang memungkinkan peer review memanfaatkan standar dokumentasi development seperti direktori Git oleh platform GitHub.
Terakhir, Forum menyarankan PT Telkom dan BSSN melibatkan profesional tester, baik Blue Team maupun Red Team. Selain itu juga user acceptance test guna memastikan fungsionalitas Fitur maupun UI/UX PeduliLindungi.
Sumber : https://www.liputan6.com/tekno/read/4653251/forum-tata-kelola-internet-pedulilindungi-harus-jamin-keamanan-data-jika-terjadi-akses-ilegal
Comments
Post a Comment