Hermansyah: Catatan Lemahnya Sistem Situng KPU
Ahad, 23 Juni 2019
Faktakini.net
*CATATAN LEMAHNYA SISTEM SITUNG KPU*
Oleh: Hermansyah
Kisruh salah input Situng KPU, sudah tidak lagi bisa dilihat sebagai masalah teknik. Kekacauan ini, sudah menjadi problem sistemik yang mengancam kredibilitas dan penyelenggara pemilu. Pasalnya, kekeliruan input bukan hanya terjadi sekali, tapi ratusan bahkan 73 ribu kali sudah dilaporkan ke Bawaslu.
Tujuan audit forensik IT KPU sejak September 2018 untuk mendeteksi data DPT amburadul dan sistem yang bisa manipulatif.
Forensik diperlukan agar bisa menjamin keamanan dan mencegah intruder dari luar. Jangan sampai ada yang ditutup-tutupi.
Namun sayangnya, permintaan audit forensik tersebut tak direspon.
Meski telah ditemukan banyak kekeliruan dan kejanggalan, respon KPU selalu normatif. Respon KPU yang kerap mengatakan faktor human error, tak bisa dimaklumi. Selain tak menyelesaikan masalah, respon tersebut justru menandakan sikap KPU yang kurang bertanggung jawab.
Jumat 3 Mei 2019, saya bersama Wakil Ketua DPR RI, Fadli Zon dan saudara Riza Patria- Wakil Ketua Komisi II DPR RI.
Menggunakan hak pengawasan melakukan sidak ke KPU untuk menyampaikan keresahan publik, sekaligus meminta keterangan dari Pimpinan KPU. Kami diterima lengkap oleh Ketua KPU, Komisioner KPU, serta pejabat Setjen. Setelah dialog dan berdebat, kami melakukan peninjauan langsung ke ruang server dan operation room.
Secara sederhana, dari sidak tersebut saya bisa menyimpulkan, bahwa Situng KPU memang dibuat longgar. Aturan validasinya lemah. Celah terjadinya manipulasi sangat besar. Salah input C1 dalam Situng KPU terjadi begitu masif.
Dan ke KPUD Bogor 4 Mei 2019 berdua dengan Pak Fadli Zon untuk mengecek kesalahan input dan proses di KPUD Daerah.
KPU berlindung dengan disclaimer yang menyebutkan bahwa apa yang ditampillan bukan hasil resmi.
Dari sidak di KPU Pusat dan KPU Daerah ada lima catatan serius yang menandakan lemahnya Situng KPU:
1. Kelemahan perhitungan Situng KPU.
- Sistem yang di sebutkan tim IT KPU mereka Operating System: Linux, Database: mysql dan program php.
Yang semua nya secara umum open source dan gratis.
Situng KPU saat ini, tak dilengkapi sistem koreksi dini pada tahapan input data.
Padahal Untuk menerapkan fungsi tersebut hanya membutuhkan bahasa program sederhana. Akibatnya, karena verifikasi inputnya lemah, data yang salah otomatis akan tetap masuk ke server KPU. Kemudian tergambarkan ke dalam grafik real count yang dilihat oleh masyarakat. Ini jelas merupakan kesalahan fatal. Sebab, bagaimana bisa KPU sebagai lembaga resmi negara, berani menampilkan grafik dengan data yang belum tentu benar?
- Kekeliruan tersebut sebenarnya dapat diantisipasi secara otomatis sejak tahapan input data. Jika DPT setiap TPS berjumlah maksimum 306 pemilih, misalnya, maka ketika ada input suara lebih 306 atau tambahan batas maksimalnya, atau lebih dari 3 digit, secara otomatis harusnya tertolak oleh sistem. Ironisnya, fungsi itu tak ada di Situng KPU saat ini. Jadi jika inputer atau verifikator memasukkan angka ribuan atau jutaan di TPS tetap bisa masuk. Sekalipun ada mekanisme koreksi, proses pemberitahuan dari pusat kepada petugas verifikator di daerah, dilakukan secara manual melalui whatsapp (WA). Tidak melalui system Situng KPU. Maka tak aneh jika hingga saat ini, masih ditemukan ratusan, bahkan ribuan kasus salah input dalam Situng KPU. Jika tak ada WA dari pusat pada inputer atau verifikator di KPU daerah maka tak terjadi koreksi. Bagaimana kesalahan bisa diketahui? Sebagian karena protes masyarakat di media sosial. Ataupun (katanya) ada proses dari pegawai KPU Pusat kesalahan input KPUD Daerah.
- Catatan lain jika aplikasi WhatsApp penerima perintah perbaikan terhadap verifikator misalnya Handphone hilang maka perbaikan kesalahan input tidak bisa diatasi karena WhatsApp bukan aplikasi Situng. Jadi kalau tak ada temuan atau tak ada protes maka tak ada koreksi.
Satu hal yang kami catat tidak adanya eskalasi perbaikan dari seorang verifikator yang lebih dari satu kali TPS yang sama dan kalau berulang tidak ada justifikasi kesalahan input lebih terus menerus (loop).
2. Proses input data yang masih ada tanpa hasil scan lembar C1 dan delay tampilan di Situng KPU.
- Info dari KPU, sempat ada sekitar ribuan file tanpa pindaian C1 sekitar 92 ribu sehari sebelum pengumaman. Menurut KPU RI, hal tersebut disebabkan kapasitas penyimpanan data pada sistem yang telah penuh. Sehingga, memori tak bisa menampung file yang dikirim dari KPU daerah. Jika benar demikian apa yang dilakukan KPU selama ini sangat amatir. Untuk hajat sebesar pemilu serentak, segala kebutuhan harus dipersiapkan dengan baik, antisipatif. Apalagi jika hanya terkait jumlah memori dan bandwidth. Dengan perkembangan teknologi, masalah ini tak bisa menjadi alasan.
- Dari hasil sidak di KPUD Bogor pengiriman data oleh petugas input tanpa pindaian C1, secara sistem sebenarnya tak dimungkinkan. Sehingga, ketika petugas input tak bisa mengirim file ke server KPU tanpa pindaian C1.
Kenapa sempat bisa ada ribuan file tanpa pindaian C1 terupload? Siapa pengirimnya? Kejanggalan ini menandakan KPU tak serius mempersiapkan infrastruktur IT-nya.
- Ada juga delay penampakan pindaian C1 padahal teksnya sudah muncul lebih dulu. Delay text 5-10 menit dan 5-10 menit kemudian file C1. Sistem delay ini dengan alasan buffer memory system dan bandwidth saat ini tidak menjadi alasan. Bahkan saya menduga bisa terjadi middle war dalam konteks menampilkan data di Situng KPU. Kalau itu terjadi siapa sebenarnya middle war dan ada dimana Situng KPU ?
3. Tenaga penginput tidak Control Management.
Berdasarkan pemaparan ketua KPU, di setiap KPU Kabupaten/Kota terdapat 25 petugas input. Ada juga yang bertugas sebagai verifikator. Mereka inilah ujung tombak proses real count KPU. Masalah yang kami temukan dari paparan KPU, petugas input kerap juga menjadi verifikator. Mereka inputer tapi juga verifikator. Seharusnya tak boleh. Karena mustahil akan ada verifikasi data yang berkualitas, jika cara kerjanya tumpang tindih seperti itu. Tugas penginput dan verifikator data, harus tegas dipisahkan dan dijalankan oleh petugas yang berbeda. Harusnya ada Control Management.
4. KPU juga menyatakan tenaga input dan verifikator memiiiki IP Address yang tidak berdasarkan daerah.
IP Address KPUD Bogor harusnya di Bogor tidak bisa KPUD Kota lain. Namun, ketika dikonfirmasi berapa total jumlah pasti IP Address petugas input data, tak ada yang mampu menyebutkannya. Data dasar seperti ini, wajib diketahui KPU terkait. Bahkan, idealnya KPU wajib melakukan pengawasan berkala terhadap trafik IP address. Berapa jumlah IP Address yang aktif, dari mana lokasinya, dan apa log aktifitasnya. Ini semua perlu dimonitoring, sebagai antisipasi dan deteksi, ketika ada IP address yang tak dikenal masuk ke dalam proses Situng KPU. Walaupun KPUD pakai system OTP (One Time Password) untuk input data macam login tapi kalau dari Kota mana saja tidak dimonitor.
5. Terkait server KPU saat ini berada di tiga lokasi. Di kantor KPU, BPPT, dan Sentul.
- Server utama ditaruh di kantor KPU, sementara di BPPT dan Sentul difungsikan sebagai cadangan. Setelah melihat langsung ke lokasi server di kantor KPU RI, kondisi ruang penyimpanan server sangat tidak representatif. Secara fisik, server KPU itu tak representatif. Dari segi biaya, server KPU itu di kisaran 1 milyar rupiah.
- Begitupun dengan operation room nya. Berdasarkan keterangan yang saya dapat di lokasi, KPU tak menggunakan server bersertifikat ISO (The International Standardization of Organization) 27001. Padahal, sertifikat itu merupakan standar sistem manajemen keamanan informasi, atau dikenal juga dengan Information Security Management System (ISMS).
Ada manajemen security ke system akan bagus di Situng KPU.
- Ketika ditanyakan adakah admin server di lokasi, dijawab tidak ada. Tidak ada yang tahu bagaimana mengakses server, login-nya.
Berdasarkan penilaian bisa bahwa fisik server Situng KPU itu bukan benar-benar server KPU yang aktif.
Kelemahan tersebut, sebagian besar adalah hal yang elementer, yang secara teknis sebenarnya tak perlu terjadi.
Dengan kata lain Situng KPU ini amatiran.
Mengingat telah ditemukan banyaknya kelemahan Situng KPU.
Banyaknya kasus salah input serta proses verifikasi yang lemah.
Sistem ini cacat. Ini bisa menambah kisruh dan semakin menurunkan kredibilitas KPU di mata masyarakat.
Kita semua ingin pemilu yang sudah menghabiskan biaya 24.9 triliun rupiah ini, memberikan keadilan bagi semua pihak.
Adil bagi peserta pemilu. Adil bagi para pemilih.
Dan tentunya, pemilu yang menghasilkan Presiden dan Wakil Presiden yang benar-benar mencerminkan PILIHAN rakyat Indonesia.
Foto: Hermansyah saat memberikan kesaksian di Sidang MK
Faktakini.net
*CATATAN LEMAHNYA SISTEM SITUNG KPU*
Oleh: Hermansyah
Kisruh salah input Situng KPU, sudah tidak lagi bisa dilihat sebagai masalah teknik. Kekacauan ini, sudah menjadi problem sistemik yang mengancam kredibilitas dan penyelenggara pemilu. Pasalnya, kekeliruan input bukan hanya terjadi sekali, tapi ratusan bahkan 73 ribu kali sudah dilaporkan ke Bawaslu.
Tujuan audit forensik IT KPU sejak September 2018 untuk mendeteksi data DPT amburadul dan sistem yang bisa manipulatif.
Forensik diperlukan agar bisa menjamin keamanan dan mencegah intruder dari luar. Jangan sampai ada yang ditutup-tutupi.
Namun sayangnya, permintaan audit forensik tersebut tak direspon.
Meski telah ditemukan banyak kekeliruan dan kejanggalan, respon KPU selalu normatif. Respon KPU yang kerap mengatakan faktor human error, tak bisa dimaklumi. Selain tak menyelesaikan masalah, respon tersebut justru menandakan sikap KPU yang kurang bertanggung jawab.
Jumat 3 Mei 2019, saya bersama Wakil Ketua DPR RI, Fadli Zon dan saudara Riza Patria- Wakil Ketua Komisi II DPR RI.
Menggunakan hak pengawasan melakukan sidak ke KPU untuk menyampaikan keresahan publik, sekaligus meminta keterangan dari Pimpinan KPU. Kami diterima lengkap oleh Ketua KPU, Komisioner KPU, serta pejabat Setjen. Setelah dialog dan berdebat, kami melakukan peninjauan langsung ke ruang server dan operation room.
Secara sederhana, dari sidak tersebut saya bisa menyimpulkan, bahwa Situng KPU memang dibuat longgar. Aturan validasinya lemah. Celah terjadinya manipulasi sangat besar. Salah input C1 dalam Situng KPU terjadi begitu masif.
Dan ke KPUD Bogor 4 Mei 2019 berdua dengan Pak Fadli Zon untuk mengecek kesalahan input dan proses di KPUD Daerah.
KPU berlindung dengan disclaimer yang menyebutkan bahwa apa yang ditampillan bukan hasil resmi.
Dari sidak di KPU Pusat dan KPU Daerah ada lima catatan serius yang menandakan lemahnya Situng KPU:
1. Kelemahan perhitungan Situng KPU.
- Sistem yang di sebutkan tim IT KPU mereka Operating System: Linux, Database: mysql dan program php.
Yang semua nya secara umum open source dan gratis.
Situng KPU saat ini, tak dilengkapi sistem koreksi dini pada tahapan input data.
Padahal Untuk menerapkan fungsi tersebut hanya membutuhkan bahasa program sederhana. Akibatnya, karena verifikasi inputnya lemah, data yang salah otomatis akan tetap masuk ke server KPU. Kemudian tergambarkan ke dalam grafik real count yang dilihat oleh masyarakat. Ini jelas merupakan kesalahan fatal. Sebab, bagaimana bisa KPU sebagai lembaga resmi negara, berani menampilkan grafik dengan data yang belum tentu benar?
- Kekeliruan tersebut sebenarnya dapat diantisipasi secara otomatis sejak tahapan input data. Jika DPT setiap TPS berjumlah maksimum 306 pemilih, misalnya, maka ketika ada input suara lebih 306 atau tambahan batas maksimalnya, atau lebih dari 3 digit, secara otomatis harusnya tertolak oleh sistem. Ironisnya, fungsi itu tak ada di Situng KPU saat ini. Jadi jika inputer atau verifikator memasukkan angka ribuan atau jutaan di TPS tetap bisa masuk. Sekalipun ada mekanisme koreksi, proses pemberitahuan dari pusat kepada petugas verifikator di daerah, dilakukan secara manual melalui whatsapp (WA). Tidak melalui system Situng KPU. Maka tak aneh jika hingga saat ini, masih ditemukan ratusan, bahkan ribuan kasus salah input dalam Situng KPU. Jika tak ada WA dari pusat pada inputer atau verifikator di KPU daerah maka tak terjadi koreksi. Bagaimana kesalahan bisa diketahui? Sebagian karena protes masyarakat di media sosial. Ataupun (katanya) ada proses dari pegawai KPU Pusat kesalahan input KPUD Daerah.
- Catatan lain jika aplikasi WhatsApp penerima perintah perbaikan terhadap verifikator misalnya Handphone hilang maka perbaikan kesalahan input tidak bisa diatasi karena WhatsApp bukan aplikasi Situng. Jadi kalau tak ada temuan atau tak ada protes maka tak ada koreksi.
Satu hal yang kami catat tidak adanya eskalasi perbaikan dari seorang verifikator yang lebih dari satu kali TPS yang sama dan kalau berulang tidak ada justifikasi kesalahan input lebih terus menerus (loop).
2. Proses input data yang masih ada tanpa hasil scan lembar C1 dan delay tampilan di Situng KPU.
- Info dari KPU, sempat ada sekitar ribuan file tanpa pindaian C1 sekitar 92 ribu sehari sebelum pengumaman. Menurut KPU RI, hal tersebut disebabkan kapasitas penyimpanan data pada sistem yang telah penuh. Sehingga, memori tak bisa menampung file yang dikirim dari KPU daerah. Jika benar demikian apa yang dilakukan KPU selama ini sangat amatir. Untuk hajat sebesar pemilu serentak, segala kebutuhan harus dipersiapkan dengan baik, antisipatif. Apalagi jika hanya terkait jumlah memori dan bandwidth. Dengan perkembangan teknologi, masalah ini tak bisa menjadi alasan.
- Dari hasil sidak di KPUD Bogor pengiriman data oleh petugas input tanpa pindaian C1, secara sistem sebenarnya tak dimungkinkan. Sehingga, ketika petugas input tak bisa mengirim file ke server KPU tanpa pindaian C1.
Kenapa sempat bisa ada ribuan file tanpa pindaian C1 terupload? Siapa pengirimnya? Kejanggalan ini menandakan KPU tak serius mempersiapkan infrastruktur IT-nya.
- Ada juga delay penampakan pindaian C1 padahal teksnya sudah muncul lebih dulu. Delay text 5-10 menit dan 5-10 menit kemudian file C1. Sistem delay ini dengan alasan buffer memory system dan bandwidth saat ini tidak menjadi alasan. Bahkan saya menduga bisa terjadi middle war dalam konteks menampilkan data di Situng KPU. Kalau itu terjadi siapa sebenarnya middle war dan ada dimana Situng KPU ?
3. Tenaga penginput tidak Control Management.
Berdasarkan pemaparan ketua KPU, di setiap KPU Kabupaten/Kota terdapat 25 petugas input. Ada juga yang bertugas sebagai verifikator. Mereka inilah ujung tombak proses real count KPU. Masalah yang kami temukan dari paparan KPU, petugas input kerap juga menjadi verifikator. Mereka inputer tapi juga verifikator. Seharusnya tak boleh. Karena mustahil akan ada verifikasi data yang berkualitas, jika cara kerjanya tumpang tindih seperti itu. Tugas penginput dan verifikator data, harus tegas dipisahkan dan dijalankan oleh petugas yang berbeda. Harusnya ada Control Management.
4. KPU juga menyatakan tenaga input dan verifikator memiiiki IP Address yang tidak berdasarkan daerah.
IP Address KPUD Bogor harusnya di Bogor tidak bisa KPUD Kota lain. Namun, ketika dikonfirmasi berapa total jumlah pasti IP Address petugas input data, tak ada yang mampu menyebutkannya. Data dasar seperti ini, wajib diketahui KPU terkait. Bahkan, idealnya KPU wajib melakukan pengawasan berkala terhadap trafik IP address. Berapa jumlah IP Address yang aktif, dari mana lokasinya, dan apa log aktifitasnya. Ini semua perlu dimonitoring, sebagai antisipasi dan deteksi, ketika ada IP address yang tak dikenal masuk ke dalam proses Situng KPU. Walaupun KPUD pakai system OTP (One Time Password) untuk input data macam login tapi kalau dari Kota mana saja tidak dimonitor.
5. Terkait server KPU saat ini berada di tiga lokasi. Di kantor KPU, BPPT, dan Sentul.
- Server utama ditaruh di kantor KPU, sementara di BPPT dan Sentul difungsikan sebagai cadangan. Setelah melihat langsung ke lokasi server di kantor KPU RI, kondisi ruang penyimpanan server sangat tidak representatif. Secara fisik, server KPU itu tak representatif. Dari segi biaya, server KPU itu di kisaran 1 milyar rupiah.
- Begitupun dengan operation room nya. Berdasarkan keterangan yang saya dapat di lokasi, KPU tak menggunakan server bersertifikat ISO (The International Standardization of Organization) 27001. Padahal, sertifikat itu merupakan standar sistem manajemen keamanan informasi, atau dikenal juga dengan Information Security Management System (ISMS).
Ada manajemen security ke system akan bagus di Situng KPU.
- Ketika ditanyakan adakah admin server di lokasi, dijawab tidak ada. Tidak ada yang tahu bagaimana mengakses server, login-nya.
Berdasarkan penilaian bisa bahwa fisik server Situng KPU itu bukan benar-benar server KPU yang aktif.
Kelemahan tersebut, sebagian besar adalah hal yang elementer, yang secara teknis sebenarnya tak perlu terjadi.
Dengan kata lain Situng KPU ini amatiran.
Mengingat telah ditemukan banyaknya kelemahan Situng KPU.
Banyaknya kasus salah input serta proses verifikasi yang lemah.
Sistem ini cacat. Ini bisa menambah kisruh dan semakin menurunkan kredibilitas KPU di mata masyarakat.
Kita semua ingin pemilu yang sudah menghabiskan biaya 24.9 triliun rupiah ini, memberikan keadilan bagi semua pihak.
Adil bagi peserta pemilu. Adil bagi para pemilih.
Dan tentunya, pemilu yang menghasilkan Presiden dan Wakil Presiden yang benar-benar mencerminkan PILIHAN rakyat Indonesia.
Foto: Hermansyah saat memberikan kesaksian di Sidang MK