Wednesday, May 19, 2004

Opini pribadi: Sistem IT KPU saat ini kurang pantas digunakan untuk Pemilihan Presiden

Pertama-tama perlu saya kemukakan bahwa selama ini saya tidak terlalu menyuarakan opini negatif terhadap sistem IT KPU (tnp dan www) karena berbagai alasan yang terlalu panjang untuk diuraikan di sini. Pada awalnya saya beranggapan bahwa KPU sudah memiliki tim yang (semestinya) dapat menjalankan misinya. Namun, pada perjalanannya mulai nampak bahwa sistem kurang dikelola secara optimal sehingga menimbulkan banyak masalah. (I documented the problems elsewhere. Perhaps in the future I will put them here.)

Masalah yang menjadi perhatian saya adalah sisi security, yang kebetulan merupakan topik yang saya minati. Dalam pandangan saya, masalah yang terbesar adalah sisi cara pengelolaan dan penggunaan teknologi yang digunakan. Saya ambil contoh.

Dalam proses perhitungan yang lalu terdapat banyak masalah yang dapat dikatakan akibat dari keteledoran (lalai). Data-data yang seharusnya masih nol, ternyata berisi angka. Capacity planning kurang diperhatikan sehingga kisruh masalah bandwidth. Puncaknya adalah adanya berhasilnya sistem dijebol sehingga data-data nama partai berhasil diubah. (Ada partai kolor ijo segala!)

Tuntutan dari sebagian orang yang melek IT bahwa sistem harus diaudit ditanggapi dengan pernyataan bahwa tidak ada standar audit IT. Padahal audit teknologi yang terkait dengan security sudah lama saya lakukan. Sangat disayangkan bahwa KPU belum mengerti adanya bidang ini. Kemudian ramai orang membicarakan masalah audit IT ini, meski umumnya membahas dari kerangka information system (IS). Tidak salah. Tapi mungkin banyak yang lupa (atau belum tahu) bahwa ada juga audit dari sisi teknologi (IT).

Hari ini, Rabu 19 Mei 2004, ada sebuah artikel Koran Tempo (hal 4.) berjudul "KPU TETAP GUNAKAN TEKNOLOGI INFORMASI". Tidak ada salahnya. Namun kalimat yang membuat saya terhenyak, dan juga memicu tulisan ini adalah pernyataan dari Ketua KPU bapak Nazaruddin Sjamsuddin tentang audit KPU, "Yang audit KPU sendiri". (emphasis dari saya). Kemudian dicontohkan bahwa perusahaan telekomunikasi dan perusahaan listrik fasilitasnya tidak pernah diaudit. Memang tidak banyak orang yang tahu (apa perlu diworo-woro) bahwa saya pernah mengaudit sebagian dari fasilitas beberapa perusahaan telekomunikasi. Audit pun harus dilakukan oleh pihak ketiga yang independen. (Unfortunately, I don't have access to ISO 17799 handy. If I recall correctly, it's there.) Bagaimana pertanggung-jawaban hasil audit jika dilakukan oleh diri sendiri?

Dalam institusi finansial, misalnya, ada bagian audit yang melakukan audit terhadap divisi IT. Audit terhadap IT tidak dapat dilakukan oleh divisi IT itu sendiri. Demikian pula penanganan insiden, tidak dilakukan oleh divisi IT tapi oleh sebuah incident response team yang terpisah (yang mungkin langsung bertanggung jawab ke CEO). Mengapa hal ini dilakukan? Karena harus ada separation of duty (lagi-lagi ini term dari ISO 17799).

Di ambil dari buku Shon Harris, "Mike Meyer's Certification Passport: CISSP," Osborne: A security officer should be a separate entity from management and the IT department to ensure that all decisions are made for security purposes only. The security officer's findings and recommendations should be presented to a group that has anonimity from others.

[Catatan, pada Pemilu 1999, saya bertugas *hanya* untuk urusan security saja.]

Belakangan ini dilaporkan bahwa ada kelompok (yang menyebutkan diri sebagai TNP Auditor Team) yang sudah berhasil mendapatkan sebagian data-data dari server KPU. Data-data tersebut adalah program yang digunakan oleh IT KPU. IT KPU mengkonfirmasi bahwa data-data tersebut bukan dari mesin production melainkan dari mesin development. Production atau bukan, informasi sudah bocor. (Lain ceritanya jika memang source codenya sengaja di-open-source-kan.) Lagi-lagi kelalaian.

Melihat gejala-gejala seperti ini, nampaknya saya harus bersuara. Opini saya, seperti judul tulisan ini: "Sistem IT KPU saat ini kurang pantas digunakan untuk Pemiihan Presiden". Sistem harus diaudit oleh pihak ketiga yang independen. Mumpung masih ada waktu. Ini bukan sistem untuk main-main akan tetapi sistem yang menyangkut hajat orang banyak. Apa yang sudah dilakukan sekarang belum cukup. It's not good enough.

Sebagai catatan, agar tidak timbul kesalahpahaman perlu saya jelaskan bahwa meskipun pekerjaan saya adalah mengaudit (teknologi dan non-teknologi) security IT, namun saya TIDAK TERTARIK DAN TIDAK BERSEDIA untuk mengaudit sistem IT KPU. Silahkan pihak lain yang melakukannya. Jika memang dianggap tidak ada yang kompeten di Indonesia, silahkan hire auditor asing saja. Sekalian lebih independen (mungkin?). Yang penting, sistem harus diaudit. Itu tuntutan saya sebagai warga negara Indonesia. Silahkan mau didengar atau tidak. At least, saya sudah menyuarakan suara saya.

Plong!



Budi Rahardjo

5 comments:

Deru Sudibyo said...

Budi Rahardjo wrote:
> Opini pribadi: Sistem IT KPU saat ini kurang pantas digunakan untuk
> Pemilihan Presiden

Kayaknya sih tidak pantas untuk pemilihan kades sekalipun. Dari hebohnya,
kelihatan masih mentah magel. Alasannya:
(1) Belum ada database kependudukan shg unifikasi penduduk tidak ada
rujukan.
(2) Tidak ada komitmen akan dipakainya output IT KPU
(3) Data entry terpisah berdasarkan hasil tusukan manual meningkatkan
peluang terjadinya kesalahan maupun penyelewengan.

Jadi... kesimpulan penonton: Penyelenggaraan IT KPU hanya sekedar
coba-coba. Sayang sekali ongkosnya mahal. Tapi yah... tontonan lumrah
sih di negeri tercinta ini.

> Opini saya, seperti judul tulisan ini: "Sistem IT KPU saat ini kurang
> pantas digunakan untuk Pemiihan Presiden". Sistem harus diaudit oleh
> pihak ketiga yang independen.

Kalo auditnya fair, ya pasti gugur total. Dari alasan (1), bukankah ini
sama dengan bikin kereta tapi belum bikin jalan? Memang perlu waktu lama
untuk menyiapkan database kependudukan. Tapi apa boleh buat, pasang
genteng ya harus sesudah tiang.

Dari alasan (2), bukankah ini spt pasang mesin di kereta tapi kereta tetap
ditarik kuda? Hanya menambah gaduh dan pengap asap saja. Waktu tempuh
bahkan bisa mlorot gara2 ada tambahan beban.

> Jika memang dianggap tidak ada yang kompeten di Indonesia,
> silahkan hire auditor asing saja. Sekalian lebih independen
> (mungkin?). Yang penting, sistem harus diaudit.

Wah proyek gede lagi donk?! Transaksi lagi. Dansa lagi...


salam,
_____________
Deru Sudibyo
http://www.geocities.com/nit_proclub

Anonymous said...

sebaiknya bapak baca email ini deh..
soalnya pak rhiza yg udah liat langsung kerja di KPU itu kaya apa..

salam kenal

---------- Forwarded message ----------
Date: Fri, 28 May 2004 04:49:51 +0800 (BORT)
From: Rhiza S. Sadjad To: itb75@i...
Cc: unhas-ml@yahoogroups.com, iatel-unhas@yahoogroups.com,
itb75-res@yahoogroups.com, prastowo@u...
Subject: Workshop IT di KPU

Salam dari Makassar !

nDak tahu dimas Basuki Suhardiman yang sudah
jadi selebritis IT-nya KPU itu mimpi apa, tiba-
tiba minggu lalu kirim e-mail (Subjectnya Re:
"Something stupid"), nanya apa saya bisa ikut
workshop di KPU hari Jum'at siang. Saya kira
beliau-nya becanda, dan saya kira KPU-nya yang
di Makassar saja........ eh, ternyata beliau
serius, dan KPU-nya di Imam Bonjol Jakarta.
Wah, sebagai PNS tentu perlu mengurus SPPD
kalo' mau pergi begitu, dan SPPD ndak bisa
diurus cuma berdasarkan e-mail.....

Akhirnya hari Kamis baru muncul FAX berisi
undangan resmi dengan kop Garuda-nya KPU.
Kebetulan hari Kamis itu saya lagi repot
mendampingi anak-anak Elektro yang sedang
di-site visit oleh dua Prof. dari ITS dalam
rangka Kontes Robot Indonesia. Untung pak Bakri,
KTU-nya Jurusan, cukup gesit mengurus SPPD dan
tiket, sehingga hari Jum'at pagi saya bisa
berangkat memenuhi undangannya dimas Basuki...

Sampai di gedung KPU, pas baru akan Jum'atan.
Ternyata di belakang gedung KPU yang cukup
"angker" (karena ada kendaraan lapis baja-nya
polisi parkir di depannya) itu ada juga mesjidnya.
Khatib-nya dari Sumatera (Jambi atau Bengkulu?),
lumayanlah cukup khusyu' salat di tengah hujan
deras yang membasahi (membanjiri???) Jakarta
siang itu.

Setelah Jum'atan, saya langsung naik ke lantai
dua. Ternyata saya peserta Workshop yang datang
dari tempat yang paling jauh, dan yang pertama
mendaftar. Dapat tas berisi block-note dan
ball-point, juga nasi kotak Gudeg Bu Tjitro
(wah, ini salah satu dari dua nama ibu-ibu
yang sudah beken dari tempo doeloe, ibu yang
satunya Bu Dibyo.....) untuk makan siang.
Karena perut saya masih ikut jam WITA, wajar
saja kalo' saya langsung masuk ruang sidang
KPU yang kosong, dan makan di situ sambil
mengamat-amati ruang sidang yang menjadi saksi
banyak peristiwa bersejarah ini.... Rasanya
gimana gitu yah... sebagai warga-negara biasa
sempat bisa duduk-duduk makan nasi-gudeg di
ruang KPU itu ....

Peserta mulai berdatangan, dimas Basuki sendiri
ada, lalu ada mas Bambang Prastowo dari UGM
yang dulu saya kenal baik pernah jadi "carik"-nya
Isnet, ada mas Fahmi yang pernah ketemu dulu
di St. Louis, LS entah barangkali 15-an tahun
lalu, ada yang pernah "ketemu" (di Internet)
karena sama-sama pelanggan uk-indonesian
jaman baheula.......... dan yang paling
surprise adalah ketemu teman sebangku saya
di kelas III SMP (!!!) Bogie Djatmiko
(misua-nya Ida Udur) yang doktor Geologi
tapi juga ternyata ngurusin IT-nya KPU....
Jadi kaya' reuni aja nih ....

Anyway, workshop dibuka oleh Ketua KPU
Prof. Nazaruddin, yang intinya "mengeluhkan"
kurangnya "apresiasi" dari kalangan masyarakat
umum mau pun masyarakat IT di Indonesia
dan kalangan media terhadap peranan IT
dalam pelaksanaan PEMILU legislatif yang
paling rumit di dunia kemarin ini. Apresiasi
dan penghargaan justru banyak datang dari
luar-negeri, bahkan team IT KPU minggu depan
ini akan diundang ke Australia untuk "ngajarin"
mereka di Australia bagaimana memanfaatkan IT
dalam PEMILU. Ibu Chusnul, anggota KPU yang
selanjutnya memandu acara Workshop ini, juga
mengeluhkan hal yang serupa. Beliau mengeluhkan
sikap beberapa pakar IT kita yang sepertinya
tidak "supportive" (juga kurang sportif???)
pada pengembangan IT-nya KPU, serta media
yang suka "memelintir" berbagai pernyataan
sehingga salah kaprah. Peristiwa di-hack-nya
tampilan web KPU saja dibesar-besarkan abis...,
padahal cuma tampilan saja yang kena, dan itu
pun cuma beberapa menit saja.

Dalam workshop persiapan PilPres nanti, ada
banyak usul, antara lain dari pak Gatot Dismenjur
yang mengusulkan agar diupayakan "public-relation"
yang lebih baik mengena'i per-IT-an KPU ini.
Apalagi dalam PilPres nanti ini, walau pun
secara teknis jauh lebih sederhana daripada
PEMILU legislatif yang lalu, tapi jumlah
perolehan suara akan lebih "sensitif" terutama
antara perolehan peringkat kedua dan ketiga
yang menentukan apakah Capres/Cawapres-nya
akan masuk putaran kedua atau tidak ....

Diskusi masalah per-IT-an KPU ini kemudian
berlangsung cukup hangat dengan partisipasi
aktif dari seluruh peserta yang berasal dari
berbagai kalangan, baik tentang masalah
teknis mau pun non-teknis. Terungkap dalam
diskusi itu betapa kerja-kerasnya dimas
Basuki dan kawan-kawan team IT KPU men-sukses-kan
penggunaan IT kemarin ini...... termasuk juga
sekian juta operator di lapangan yang terdiri
dari mahasiswa dan guru/siswa SMK seluruh
Indonesia. Kalo' pun ada masalah, masalahnya
ternyata bukan di IT-nya melainkan di pelaksanaan
PEMILU-nya itu sendiri. Terbukti ada korelasi
yang sahih antara banyaknya permasalahan di
suatu kawasan dengan persentasi data-entry
via sistem IT di kawasan itu. Yang selalu
dijadikan contoh misalnya provinsi SUMUT,
yang banyak sekali permasalahannya, data
entry via IT-nya cuma 40 % saja. Kalo' nggak
salah, totalnya sekitar 92 % dari data hasil
pemilihan berhasil dikumpul via data-entry
IT-nya KPU sebelum hasil rekap manual-nya
sampai di KPU. Lumayan! Ternyata juga bahwa
di negeri yang sudah hampir 60 tahun merdeka
ini ndak sampai 2/3 dari seluruh ibukota
kecamatan punya akses ke saluran telepon yang
"setia melayani anda" ..... Itu juga jadi
kendala besar, walau pun diupayakan agar
PSN bisa pasang VSAT-nya untuk tempat-tempat
yang tidak dicapai telepon biasa (apalagi
yang bukan telepon biasa.......).

Banyak yang saya catat-catat dari obrolan
sore itu, tapi terlalu panjang kalo' saya
ceritakan semua..... Yang penting lagi,
seusai acara Workshop, kami peserta diajak
ngelihat fasilitas Data Center KPU yang
baru dibelikan komputer seharga 50M oleh ibu
Chusnul. Wah, memang mewah tenan !!! Masuk
ke ruangannya saja (di lantai 1) cuma bisa
dengan sidik jari-nya dimas Basuki dkk. Jadi
kalo' orang lain, ya mesti bawa potongan jarinya
dimas Basuki baru bisa masuk ke situ....
Di dalamnya duuuinginnn sekali, lha wong AC-nya
saja buesarnya minta ampun. Komputer yang ada
merk-nya HP, ada tape untuk back-up, ada h/d
dengan kapasitas total beberapa Terabit atau
TeraByte (pokoknya buanyak sekali tuh!),
dan prosesor-prosessor yang kecepatannya
sudah main GHz. Katanya itu sistem yang pertama
di-install di Indonesia oleh HP. Selain itu
Data Center ini juga punya back-up untuk
Disaster Recovery (barangkali kalo' crash atau
sampai di-hack, misalnya) di tempat lain yang
dirahasiakan oleh dimas Basuki dkk. Pokoknya
canggih sekali deh .... Seneng juga dimas
Basuki dkk. punya mainan canggih begitu, yah...

Nah, sementara sekian dulu cerita saya,
Insya Allah nanti lagi disambung ....

Wassalam, Rhiza
rhiza@u...
http://www.unhas.ac.id/~rhiza/

budi said...

Well, I still think it needs a formal audit to prove (show) that it is as good as it says. Other than that, it's hogwash. I stand by my statement.

Anonymous said...

[+] yang ikut workshop dan menyaksikan sistem ti kpu ... selamat untuk saudara.
[+] tapi ceritanya lebih menunjukkan kepada kemewahan teknologi, kerja keras tim ti kpu, pujian luar negeri.
[+] teknologi tak penting, kerja keras tak penting, pujian tak penting.
[+] yang diperlukan, sistem bekerja dengan benar dan valid, serta aman.

Anonymous said...

Pak, bagaimana dengan hasil Team Grand Design IT KPU akhirnya? Apakah dipergunakan? Atau sia-sia? Saya pernah membaca (di Detik.com) bahwa Bapak dgn Team meminta KPU untuk meminta permohonan maaf. Bagaimana kelanjutannya?