Jakarta, 19 Juli 2024. Dalam artikel ini, kami akan membahas dua putusan baru dari Komisi Informasi Pusat (KIP) yang melibatkan Yayasan Advokasi Hak Konstitusional Indonesia (YAKIN) melawan Komisi Pemilihan Umum (KPU). Fokus utama adalah informasi yang diperoleh dari putusan 006, di mana KPU menerima putusan KIP dan telah memberikan informasi yang diminta kepada YAKIN: semua sertifikasi sistem IT mereka.
Informasi yang Diberikan oleh KPU
KPU telah memberikan sertifikasi ISO27001 dari tahun 2022 dan sertifikasi dari Badan Siber dan Sandi Negara (BSSN) dari tahun 2023. Selain itu, terdapat juga penghargaan dari sebuah kementerian yang tidak memenuhi kriteria sebagai sertifikasi yang sah. Putusan menyatakan bahwa semua sertifikasi harus diberikan, sehingga ISO27001 dan BSSN adalah satu-satunya sertifikasi yang dimiliki oleh KPU terkait IT mereka.
Sertifikasi ISO27001
ISO27001 adalah standar internasional untuk manajemen keamanan informasi. Sertifikasi ini menunjukkan bahwa organisasi telah menerapkan sistem manajemen keamanan informasi yang sesuai dengan standar internasional. Namun, penting untuk dicatat bahwa ISO27001 tidak mencakup audit sistem IT secara langsung, tetapi lebih fokus pada aspek organisasi seperti prosedur operasi standar (SOP), pelatihan staf, dan kesadaran keamanan.
Sertifikasi BSSN
Sertifikasi dari BSSN mencakup aspek keamanan siber, namun tidak termasuk aspek fungsional dari sistem IT secara umum dan SIREKAP. Sebagai contoh, kelemahan atau kesengajaan dalam SIREKAP yang dapat mengkompromikan data pemilu tidak termasuk dalam audit BSSN.
Masalah dengan Putusan KIP
Sebagai bagian dari permohonan yang sama, YAKIN juga meminta laporan audit dan rincian sertifikasi, terutama ruang lingkup apa yang diaudit dalam proses sertifikasi. Namun, semua permintaan ini ditolak dalam putusan KIP dan dinyatakan sebagai rahasia. Hal ini tentu saja tidak dapat diterima. Sertifikasi saja tanpa mengetahui ruang lingkupnya menjadi tidak bermakna dan kertas bisu saja. Kami percaya putusan KIP ini sangat cacat baik secara faktual maupun hukum, dan telah mengajukan keberatan ke PTUN dengan tuntutan untuk meninjau dan membatalkan putusan tersebut, serta menyatakan rincian sertifikasi, terutama ruang lingkup, sebagai informasi terbuka.
Putusan Kedua: Kode Sumber SIREKAP
Putusan kedua (005) terkait dengan kode sumber (source code) SIREKAP, yang ditolak dan KIP menyatakan kode sumber tersebut sepenuhnya rahasia. Alasan untuk penolakan yang dinyatakan dalam putusan terbukti salah dan hanya didasarkan pada klaim yang tidak terbukti dari KPU, yang diterima KIP tanpa dasar dan tanpa verifikasi. KIP juga salah menerapkan UU KIP dan melanggar hukum acara. Mereka seharusnya mengadakan sesi tertutup untuk meninjau kode sumber tersebut untuk memverifikasi klaim dari KPU, tetapi mereka gagal melakukannya. YAKIN juga telah mengajukan keberatan ini ke PTUN untuk ditinjau dan dibatalkan.
Pentingnya Sertifikasi dan Audit
Seperti yang telah disebutkan dan dapat dilihat dalam sertifikasi yang dilampirkan di akhir artikel ini, ISO27001 adalah dari tahun 2022 dan BSSN dari tahun 2023. Mengapa ini penting? KPU sudah mengklaim di bawah sumpah di MK dan di sidang KIP serta kepada media/publik bahwa IT pemilu 2024 dan SIREKAP sudah diaudit. Ini sekarang terbukti tidak mungkin benar, SIREKAP baru diterima oleh KPU pada Januari 2024 dari ITB dan IT pemilu 2024 juga baru dibuat pada tahun 2024, yang dapat dilihat dari tender cloud yang dimenangkan oleh Alibaba yang dimulai pada Januari 2024 (Cari kode RUP 48838501 di https://sirup.lkpp.go.id/sirup/rekap/penyedia/L31). Artinya IT pemilu 2024 sebenarnya tidak pernah diaudit oleh siapa pun.
ISO27001 tidak termasuk audit sistem IT yang sebenarnya, tetapi lebih pada tingkat organisasi seperti SOP, pelatihan staf, dan kesadaran. BSSN juga tidak relevan karena ruang lingkupnya hanya mencakup aspek keamanan siber, bukan aspek fungsional. Meskipun rincian tentang ruang lingkup sertifikasi dinyatakan rahasia dalam putusan, KPU telah mengakui dalam sidang KIP bahwa ruang lingkupnya hanya mencakup keamanan siber.
Contoh pernyataan KPU yang terbukti tidak benar:
KPU Menjadi Ahli Teori Konspirasi
Dalam kesimpulan yang dikutip dalam putusan KIP 005, KPU telah menghabiskan satu halaman penuh untuk membuat klaim dan tuduhan bahwa YAKIN memiliki agenda gelap, ingin menjual informasi, dan bahkan menyebut Ketua YAKIN sebagai agen khusus asing. Tuduhan-tuduhan ini menunjukkan niat buruk KPU, terutama jika dilihat dalam konteks bahwa informasi yang diminta sejalan dengan apa yang telah diperintahkan oleh Mahkamah Konstitusi. Hal ini benar-benar menunjukkan upaya KPU untuk mengalihkan perhatian dari masalah sebenarnya dan menghambat transparansi yang seharusnya dijunjung tinggi dalam proses pemilu.
Langkah-langkah Berikutnya
Selain telah mengajukan dua gugatan ke PTUN, YAKIN bersama dengan anggota APDI (Aliansi Penegak Demokrasi Indonesia) lainnya akan segera menyampaikan detail ini kepada Komisi II DPR dan menuntut intervensi mereka. Situasi ini tidak dapat diterima dan tidak bisa ditoleransi bahwa Pilkada dilaksanakan dengan sistem IT yang sepenuhnya tidak diaudit. Kita juga perlu ingat bahwa Mahkamah Konstitusi sudah memerintahkan audit independen terhadap sistem IT KPU, terutama SIREKAP, tetapi KPU terus mengabaikan perintah ini. Perincian ada di artikel berikut: 7 Perintah MK untuk Perbaiki Pemilihan di Masa Depan
Kasus ini akan berlanjut di DPR dan di PTUN di mana diharapkan persidangan untuk kedua gugatan, kode sumber dan sertifikasi/audit, akan dimulai sekitar satu bulan dari sekarang.
Lampiran Artikel:
- Putusan KIP 005 tentang kode sumber SIREKAP
- Putusan KIP 006 tentang sertifikasi/audit IT KPU
- Sertifikasi ISO27001 KPU
- Sertifikasi BSSN KPU
Kami akan terus memantau perkembangan kasus ini dan memberikan update lebih lanjut seiring berjalannya waktu.
