Data dasar yang dimiliki oleh Dukcapil meliputi 33 komponen data yang terdiri dari data tercetak di kartu, data biometrik, data hubungan keluarga, dan data lainnya.
Data yang tercetak di kartu dapat kita lihat secara langsung antara lain: NIK, nama lengkap, jenis kelamin, tempat lahir, tanggal-bulan-tahun lahir, jenis kelamin, golongan darah, alamat sekarang, agama/kepercayaan, status perkawinan, jenis pekerjaan, kewarganegaraan, foto, dan tanda tangan.
Informasi biometrik mengenai sidik jari dan retina tersimpan juga di dalam kartu tersebut yang menggunakan teknologi RFID (ulasan mengenai kartu akan disampaikan di artikel berikutnya). Sementara data lebih lengkap tersimpan di basis data e-KTP.
Data hubungan keluarga meliputi: nomor KK, status hubungan dalam keluarga, cacat fisik/mental, pendidikan terakhir, NIK dan nama ibu kandung, NIK dan nama ayah, alamat sebelumnya, kepemilikan dan nomor akta kelahiran, kepemilikan, nomor buku nikah dan tanggal perkawinan, kepemilikan, nomor akta perceraian dan tanggal perceraian, serta data lainnya berupa data aib seseorang seperti pernah menjadi tahanan kasus hukum.
Data perorangan ini diatur dalam UU no. 24/2013 tentang Perubahan Atas UU no. 23/2006 tentang Administrasi Kependudukan pasal 58 ayat 1 dan 2.
Berdasar ayat 1 dan 3 mengenai data agregat, Dukcapil memperkaya data perorangan tersebut melalui kerja sama dengan mitra ketika permintaan otentikasi pelanggan baru ke server e-KTP dilakukan.
Misalnya, pengguna kartu prabayar baru, data KTP yang dimasukkan akan dibandingkan dengan data server e-KTP untuk mengaktifkan layanan dan server e-KTP merekam data MSISDN tersebut sesuai identitas penggunanya.
Demikian pula ketika kita melakukan pembukaan rekening bank, BPJS, dan pembuatan SIM. Diharapkan dapat menyusul juga data imigrasi, pajak, PLN, PAM, rekam medik, serta data Digital-ID dan Cyber-ID.
Bayangkan ketika seluruh data selesai tersinkronisasi ke server e-KTP, tidak hanya data pelanggan baru, server e-KTP akan menjadi pusat otentikasi single identity number yang sangat strategis dan masuk ke dalam infrastruktur kritikal. Hal ini sebenarnya sangat beresiko.
Jatuhnya pusat data tersebut akan mengakibatkan bencana digital seperti yang terjadi di Amerika ketika jutaan data pegawainya diretas. Kejadian tersebut mengakibatkan rentannya pemerintah akan mode serangan social engineering dan terancamnya privasi bagi para pegawainya.
Apabila kita cek fungsi NIK di sini, ternyata masih terjadi error sehingga sampai tulisan ini diterbitkan, fungsi tersebut tidak tersedia.
Tapi untunglah fitur cek NIK di situs tersebut tidak berjalan sebagaimana mustinya karena siapa pun dengan dengan kemampuan programmer, cukup dengan query random NIK, maka dapat dengan mudah mengumpulkan data kependudukan seluruh Indonesia.
Namun kalau memang secara sengaja fungsi tersebut ditutup, semestinya link ke halaman tersebut dihapuskan juga.
Lapisan keamanan halaman web Dukcapil juga terbilang lemah. Pengecekan lapisan ssl memberikan informasi bahwa walaupun terdapat protokol SSL dan TSL, namun sertifikat keamanannya tidak terpercaya (Not Trusted) karena menggunakan tanda tangan digital yang tidak aman (insecure signature). Situs tersebut dikatakan rentan terhadap serangan seperti Poodle, OpenSSL CCS, dan heartbleed.
Model sentralistik intermediari seperti ini memang menjadi model standar layanan negara kepada warga negaranya, berbeda dengan teknologi desentralisasi yang berkembang di internet belakangan ini seperti DLT (Distributed Ledger Technology).
Data dan transaksi yang saling terkait dan tersimpan tersebar di seluruh jaringan internet dibangun berdasarkan public key infrastructure dan hash. Teknologi public key memastikan keamanan lalu lintas data melalui enkripsi dan teknologi hash memungkinkan otentikasi data dilakukan dengan mudah tanpa harus menyentuh data utama.
Dengan beban lalu lintas data sebesar itu, database hendaknya dibuat desentralisasi dengan fungsi read and write yang terpisah. Untuk penggunaan data e-KTP sebagai fungsi otentifikasi, cukuplah menggunakan hash server yang terpisah dengan data utama, sementara fungsi write terdesentralisasi untuk mempercepat pemasukan data.
Namun yang paling penting adalah lapisan keamanan yang harus dipastikan berada di tingkat tertinggi karena ancaman serangan cyber sudah di depan mata.
Artikel ini merupakan tulisan pertama dari dua tulisan.
Penulis, Satriyo Wibowo adalah pegiat IPv6 yang fokus pada isu-isu Cyber Jurisdiction. Sementara S. Deta Harvianto adalah konsultan ERP, penggemar open source, open hardware dan teknologi terkini. (rou/rou)
