Dalam penyelenggaraan negara, data yang akurat menjadi pondasi dalam proses pengambilan keputusan untuk pembangunan yang berkelanjutan.
Oleh karena itu, pengumpulan dan pengelolaan data mesti dilakukan secara sistematis, berjenjang, dan dimulai dari unit terkecil dalam negara. Hal ini menjadi semangat dari Sistem Informasi Desa (SID) yang telah diamanatkan dalam Undang-Undang tentang Desa tahun 2014.
Sejak 2009, Combine Resource Institution (CRI) ikut berkontribusi dalam mendukung perubahan tata kelola data desa dan daerah dengan memprakarsai Sistem Informasi Desa (SID) Berdaya, disusul prakrasa Sistem Informasi Kabupaten (SIKAB) pada 2013. Keduanya adalah perangkat lunak yang digunakan untuk membantu desa dan daerah mengelola data dasar kependudukan, data sektoral, data potensi desa, dan informasi publik desa secara terpadu.
Saat ini Pemerintah Indonesia sedang membenahi kebijakan tata kelola data pembangunan di Indonesia, antara lain melalui Peraturan Presiden Nomor 39 Tahun 2019 tentang Satu Data Indonesia. Satu Data Indonesia dijelaskan sebagai konsep kebijakan tata kelola data pemerintah untuk menghasilkan data yang akurat, mutakhir, terpadu, dan dapat dipertanggungjawabkan, serta mudah diakses dan dibagipakaikan antarinstansi, baik pusat maupun daerah melalui pemenuhan standar data, metadata, interoperabilitas data, dan menggunakan kode referensi dan data induk. Pengaturan Satu Data Indonesia dimaksudkan untuk mengatur penyelenggaraan tata kelola data yang dihasilkan oleh instansi pusat dan instansi daerah untuk mendukung perencanaan, pelaksanaan, evaluasi, dan pengendalian pembangunan.
Dalam konteks program Satu Data Indonesia yang ditetapkan melalui Peraturan Presiden Nomor 39 Tahun 2019, SID Berdaya dan SIKAB berpeluang untuk turut berkontribusi dalam mewujudkan rujukan data tunggal.
Irman Ariadi, Staf Analisis dan Regulasi CRI, menjelaskan bahwa terdapat tiga prinsip hukum yang melandasi keamanan dan mitigasi data. Ketiganya telah diatur dalam Undang-Undang Nomor 14 tahun 2008, tentang Keterbukaan Informasi Publik (UU KIP), Undang-Undang Nomor 19 Tahun 2016 tentang Informasi dan Transaksi Elektronik (UU ITE), dan Peraturan Presiden Nomor 95 Tahun 2018 tentang Sistem Pemerintahan Berbasis Elektronik (SPBE).
UU ITE mengatur konsep pelindungan data dalam sistem elektronik. Dalam penjelasannya, UU ITE memuat tiga pendekatan untuk menjaga keamanan di ranah siber (cyber space), yakni pendekatan aspek hukum, aspek teknologi, serta aspek sosial, budaya, dan etika. “Untuk mengatasi gangguan keamanan dalam penyelenggaraan sistem secara elektronik, pendekatan hukum bersifat mutlak. Karena tanpa kepastian hukum, persoalan pemanfaatan teknologi informasi menjadi tidak optimal,” kata Irman.
Sementara itu, dalam Perpres mengenai SPBE ditekankan bahwa tata kelola dan manajemen sistem pemerintahan berbasis elektronik secara nasional diperlukan untuk meningkatkan keterpaduan dan efisiensi. Pemerintah memberikan ruang pengembangan SPBE secara luas sesuai dengan kebutuhan khusus pemerintah pusat dan/atau pemerintah daerah. SPBE dilaksanakan dengan prinsip efektifitas, keterpaduan, kesinambungan, efisiensi, akuntabilitas, interoperabilitas, dan keamanan. “Prakarsa SID Berdaya dan SIKAB saat ini akan semakin mendapatkan konteksnya dalam sistem pembangunan nasional. Sebab, upaya peningkatan ketersediaan kualitas data dan informasi diterakan sebagai salah satu arah dalam narasi Rencana Pembangunan Jangka Menengah Nasional (RPJMN) 2020-2024 oleh pemerintah,” jelas Irman.
Meski begitu, menurut Irman, proses menuju Satu Data tidak hanya berhenti pada pengelolaan dan integrasi data terpadu, tetapi juga mewujudkan perlindungan untuk keamanan dan mitigasi data. Hal-hal inilah yang dibahas dalam Focus Group Discussion (FGD) “Perumusan Konsep Keamanan dan Mitigasi Pelindungan Data dalam SID Berdaya dan SIKAB” yang diselenggarakan Rabu (19/2/2020). Kegiatan ini menghadirkan Setyo Budi Prabowo (Kepala UPT Museum Sandi Badan Siber dan Sandi Negara), Yudi Prayudi (Kepala Pusat Studi Digital Forensik UII Yogyakarta), Wahyu Ardy Nugroho (Kepala Bidang Perencanaan Bappeda Gunungkidul), Kelik Yuniantoro (Kepala Diskominfo Kabupaten Gunungkidul) dan Heru Tjatur (Praktisi TIK dan ICT Watch).
Analisis Risiko dan Tata Kelola Privasi sebagai Pijakan Awal
Untuk memenuhi standar keamanan data diperlukan infrastruktur yang baik untuk mendukungnya. Infrastruktur tersebut meliputi kualitas server, komputer, hingga aplikasi legal yang digunakan. Keamanan dan mitigasi data menjadi semakin penting terutama untuk mengantisipasi hal-hal di luar kontrol manusia seperti bencana alam.
Sebagai contoh adalah pengalaman Kabupaten Lombok Utara yang merupakan salah satu penerap SID Berdaya. Direktur CRI, Imung Yuniardi, menceritakan pengalaman yang terjadi ketika gempa menerjang Lombok pada 2018. “Ketika gempa terjadi, data hanya ada di servernya. Nah, server tersebut berada di reruntuhan bangunan dan tak ada yang berani mengambilnya,” katanya. Ketiadaan rancangan mitigasi data membuat data-data yang ada di dalam server tidak dapat digunakan, padahal semestinya dapat membantu proses pendataan penerima bantuan. Dalam kasus ini, keamanan server merupakan sesuatu yang sangat penting.
Selain itu, pengalaman Lombok juga memberikan pelajaran bahwa prosedur keamanan data harus dirancang secara utuh. Setiap komponen dalam tata kelola data harus memiliki konsep mitigasi sendiri. “Soal data, [maka] kita membahas [data] secara fisik dan nonfisik. Fisik, seperti misalnya, server dan komputer, [pengamanannya] seperti apa. Sementara nonfisik, yaitu data, diamankannya seperti apa,” kata Imung.
Kepala UPT Museum Sandi Badan Siber dan Sandi Negara, Setyo Budi Prabowo, mengatakan bahwa pijakan awal dari keamanan dan mitigasi data adalah analisis risiko. “Risk assessment (analisis risiko) diperlukan untuk meninjau sejauh apa antisipasi yang bisa kita lakukan untuk mengamankan data,” ujar Setyo.
Setyo mengatakan bahwa pada dasarnya tidak ada sistem yang seratus persen aman. Kendati demikian, dengan melakukan analisis risiko sejak awal pengembangan, dapat membantu mengantisipasi serangan yang mungkin terjadi. “Memang tidak bisa seratus aman, tetapi ada penanggulangan yang sudah siap dalam perencanaan, sehingga dapat dilakukan secara tepat dan lebih cepat,” katanya.
Sementara itu, Kepala Dinas Komunikasi dan Informatika (Diskominfo) Kabupaten Gunungkidul, Kelik Yuniantoro, menjelaskan bagaimana keamanan dan mitigasi data yang saat ini telah dilakukan dalam penerapan SID Berdaya di Gunungkidul. Ia mengatakan bahwa pusat data di Gunungkidul telah dibangun sejak 2019. “Server-server-nya memang masih terpisah-pisah tapi dikendalikan dalam satu manajemen oleh Kominfo. Hosting-nya semuanya di Kominfo,” katanya.
Selain tata kelola data (data governance), tata kelola privasi (privacy governance) menjadi hal yang penting dalam penyelenggaraan SID Berdaya dan SIKAB. Praktisi TIK, Heru Tjatur, menjelaskan bahwa privasi dalam tata kelola data harus dilakukan baik dari aspek teknis maupun legal. “Dalam keamanan data, aspek teknis hanya mencakup 20% saja, 40% lainnya adalah aspek legal, sementara sisanya adalah aspek SDM,” jelas Tjatur.
Berkaitan dengan ketiga aspek tersebut, terdapat lima tahapan dalam mengimplementasikan program tata kelola privasi yang berkelanjutan. Pertama, merumuskan visi dan misi organisasi bersangkutan. Kedua, memetakan apa saja cakupan dari program privasi yang dilakukan. Konsep privasi seharusnya sudah mulai dirancang sejak awal pengembangan aplikasi. “Sejak awal, nilai-nilai privasi sudah harus mulai diterapkan. Misalnya saja seperti bagaimana kita akan absorb [mengambil] konsen pengguna/pemilik data. Bagaimana ngobrol konsen pemilik data menjadi proses yang tidak menyalahi undang-undang data, bahwa data ini mau digunakan layanan pihak ketiga,” jelasnya.
Oleh karena itu, penting untuk menyusun kerangka kerja yang tepat agar program privasi lebih operasional. Hal tersebut menjadi tahap ketiga dalam penyusun tata kelola privasi. Tahap selanjutnya adalah pengembangan strategi dari program privasi tersebut. “Jadi, bagaimana pendekatan yang dilakukan oleh organisasi tersebut untuk mengomunikasikan program privasi itu,” kata Tjatur.
Tahap terakhir berkaitan dengan pembagian tugas kerja. Selain merancang siapa yang akan menjalankan program, Tjatur menjelaskan bahwa orang tersebut harus memiliki kapasitas memadai mengenai tata kelola privasi. “Semua pihak harus tahu bagaimana tata kelolanya. Misalnya ini [siapa] yang punya hak memindahkan [data], [siapa] punya konsen, dan tahu proses yang digunakan dalam privacy governance,” jelasnya.
SDM Jadi Kunci
Selain aspek teknis, pondasi utama lain dalam keamanan dan mitigasi data adalah kapasitas sumber daya manusia. Kelik menjelaskan bahwa kemampuan SDM dalam keamanan dan mitigasi data menjadi hal yang penting. Sayangnya, hal tersebut harus terkendala oleh pergantian individu yang cukup sering terjadi. “Setiap kali kami sudah memiliki staf yang terampil, dia harus pindah fungsi karena naik jabatan,” jelasnya.
Hal ini juga diungkapkan oleh Kepala Bidang Perencanaan, Badan Perencanaan Pembangunan Daerah (Bappeda), Wahyu Ardy Nugroho. Pergantian staf yang cukup sering kerap membuat fungsi yang sudah ditetapkan menjadi tidak berjalan. “Kami perlu waktu lagi untuk melatih staf mulai dari nol,” katanya.
Dalam persoalan SDM ini, Setyo berpendapat bahwa kuncinya adalah literasi. Semua warga harus memiliki pengetahuan yang sama terkait dengan pentingnya keamanan data pribadi. Basis pengetahuan ini nantinya bisa menjadi pondasi awal dalam penerapan SID Berdaya dan SIKAB.
Sementara itu, Manajer Unit Pengelolaan Sumber Daya Komunitas (UPSDK) CRI, Elanto Wijoyono, menyebut ada tiga hal penting dalam penerapan keamanan dan mitigasi dalam SID Berdaya dan SIKAB, yakni pengembangan aplikasi, penggunaan, serta kerjasama SID Berdaya dan SIKAB. Dalam pengembangannya, aplikasi SID Berdaya dan SIKAB harus memenuhi kualifikasi sebagai perangkat lunak yang menghormati privasi dan data pribadi. Hal ini juga berlaku dalam penggunaannya. Lembaga yang bertanggung jawab dalam penerapan SID Berdaya dan SIKAB harus memahami betul bagaimana tata kelola data dan privasi. Sementara pada aspek kerja sama, CRI dapat dilibatkan dalam berbagai bentuk kerja sama yang dilakukan oleh pemerintah dengan pihak ketiga agar keamanan data dapat terjamin. “Masing-masing harus memenuhi ketiga aspek tersebut untuk mewujudkan keamanan data,” pungkasnya.[]