Melindungi PeduliLindungi

Aplikasi PeduliLindungi yang dikembangkan oleh pemerintah melalui Kementerian Komunikasi dan Informatika (Kominfo) telah digunakan oleh 32,8 juta pengguna, dengan rata-rata penambahan pengguna per hari mencapai 500.000 pengguna.

PeduliLindungi berperan dalam pengendalian pandemi Covid-19 dan menjadi syarat untuk akses ke tempat atau transportasi publik.

per 29 Agustus 2021, total masyarakat yang melakukan skrining dengan menggunakan PeduliLindungi di beberapa sektor publik, seperti pusat perbelanjaan, industri, tempat olahraga, dan lainnya, telah mencapai 13,6 juta orang.

Semakin tinggi penggunaan, ternyata semakin kencang goyangan ke aplikasi PeduliLindungi. Terakhir, bermunculan situs palsu memanfaatkan nama PeduliLindungi.

Situs palsu itu mempunyai alamat pedulilindungia.com, dengan mencatut logo, gambar, dan tampilan yang menyerupai situs PeduliLindungi.id. Pembuat menambahkan satu huruf "a" di belakang untuk mengecoh masyarakat.

Butuh Perbaikan    
Forum Tata Kelola Internet Indonesia (Indonesia Internet Governance Forum/ID-IGF) menyarankan pihak-pihak yang terlibat dalam pengelolaan aplikasi PeduliLindungi (PL) untuk melakukan sejumlah perbaikan agar maksimal melayani publik di tengah pandemi.

Usulan perbaikan tersebut ditujukan kepada lima pihak yakni Kememntrian Komunikasi dan Informatika (Kominfo), Kementrian Kesehatan, Kementrian Dalam Negeri, Badan Siber dan Sandi Negara, serta Telkom.

Dalam pantauan organisasi ini sejak bulan Juli 2021 sampai bulan September 2021 banyak bermunculan keluhan dari pengguna aplikasi PeduliLindungi seperti,  mencantumkan syarat Penggunaan yang tidak menjamin layanannya selalu bisa diakses serta tidak menjamin data yang akurat dan aman.

Untuk keluhan tersebut disarankan agar pengelola mengubah Syarat Penggunaan agar sesuai dengan Peraturan Pemerintah nomor 71 Tahun 2019 tentang Penyelenggara Sistem dan Transaksi Elektronik pasal 3 yang mewajibkan setiap Penyelenggara Sistem Elektronik (PSE) bertanggungjawab terhadap penyelenggaraan sistemnya.

Pengguna juga menyorot kebijakan Kerahasiaan PeduliLindungi tidak menjamin keamanan data bila terjadi akses illegal. Padahal, sesuai Peraturan Pemerintah nomor 71 Tahun 2019 Pasal 31, PSE wajib melindungi pengguna dan masyarakat luas dari kerugian yang ditimbulkan oleh sistem elektronik yang diselenggarakannya. Sehingga, Kebijakan Kerahasiaan PL harus memuat klausul di atas. Selain itu data PL harus dienkripsi dan hanya bisa didekripsi oleh aplikasi PL.

ID-IGF menayarankan adanya perbaikan desain arsitektur aplikasi agar dapat memanfaatkan optimal fitur Software Development Kit (SDK) dengan menerapkan metode standar DEVSECOPS yang komprehensif.Tidak tambal sulam seperti sekarang.

Organisasi ini menyarankan GPS tidak perlu aktif 24 jam, sebagai pengganti berikan 4 pilihan pemakaian GPS: pemakaian sekali, saat digunakan, selalu aktif, dan menolak pengaktifan. PL perlu menggunakan message broker untuk antisipasi kegagalan request akibat tingginya akses pengguna pada saat bersamaan. Pengguna diberi pilihan untuk tetap login dan tidak perlu setiap saat harus memasukkan NIK.

Harus ada mutu layanan pengiriman one time password (OTP) melalui SMS maupun email maksimal 3 menit. Atau bisa memakai model 2FA dengan aplikasi token random number generator yang dibuat sendiri oleh developer.

PL bisa mengadopsi praktik terbaik dari ISO 27001 untuk keamanan teknologi informasi dan ISO 27701 untuk perlindungan data pribadi.

Selain itu diperlukan perbaikan desain arsitektur aplikasi dengan menerapkan metode DEVSECOPS untuk kontrol proses pengembangan sehingga mengurangi bugs, logical process error, fitur dan UI/UX yang tidak user friendly dan berbagai kesalahan mendasar yang masih terjadi pada versi release. Memastikan database terenkripsi pada semua level akses aplikasi.

Mengubah arsitektur dan topologi Pusat Data Nasional (PDN) selaku host PL menjadi Multihome network yang terhubung ke beberapa peering (local exchange) dan IP transit secara agregasi. Untuk mencegah single point of failure dan menjaga robustness. Replikasi PL ke sejumlah host selain PDN dengan model konvensional mirror site atau CDN / Anycast
untuk menjamin availability dan performa.

ID-IGF juga mendesak pengelola PL segera mendaftarkan aplikasinya sebagai PSE sehingga statusnya legal dan terpercaya.

Terakhir, agar pemerintah melibatkan professional tester, baik Blue Team maupun Red Team. Juga, User Acceptance Test memastikan fungsionalitas fitur maupun user interface/user experience (UI/UX).

Masyarakat tentu akan manut jika PeduliLindungi bisa menjadi alat untuk mengendalikan pandemi. Tetapi para pengelola aplikasi jangan lupa untuk menjaga platform agar data  dan kenyamanan pengguna tak tergadaikan.  

@IndoTelko