Forum Tata Kelola Internet: PeduliLindungi Harus Jamin Keamanan Data Jika Terjadi Akses Ilegal

Forum juga menyarankan agar pengguna diberi pilihan untuk tetap login dan tak perlu memasukkan NIK tiap membuka aplikasi.

Untuk perkara OTP yang gagal diterima, Forum menyarankan pengiriman OTP melalui email atau SMS maksimal 3 menit. PeduliLindungi juga disarankan untuk bisa memakai 2FA dengan aplikasi token random number generator yang dibuat oleh pengembang.

Untuk perlindungan data pribadi, Forum menyarankan PeduliLindungi harus mengadopsi praktik ISO27701.

Masalah lain yang disorot adalah fitur vaksinasi yang sulit dipahami, tidak menampilkan data dan lokasi, serta tidak realtime. Di sini, Forum menyarankan agar pengembang membuat fitur sederhana berisi lokasi, waktu, dan pilihan untuk mendaftar vaksinasi.

Selanjutnya setelah mendaftar, pengguna bisa langsung menerima konfirmasi dan jadwal untuk datang ke tempat vaksinasi yang dipilih tanpa perlu daftar ulang.

Ada pula masalah tentang database PeduliLindungi dan berbagai fiturnya tidak terintegrasi antara web dan aplikasi mobile. Dengan begitu, bisa terjadi duplikasi akun dan kerancuan.

Forum pun menyarankan agar pengembang melakukan perbaikan desain arsitektur aplikasi menggunakan metode DEVSECOPS. Dengan begitu bug, logical process error, fitur dan tampilan tidak user friendly bisa dikurangi. Semua database juga disarankan untuk terenkripsi.

Masalah lain yang disorot adalah banyaknya data yang dikumpulkan PeduliLindungi dan dianggap melebihi kebutuhannya. Hal ini dinilai memperbesar peluang pelanggaran data pribadi pengguna.

"Solusinya, menghapus ketentuan-ketentuan ini karena tidak sesuai dengan fungsi PeduliLindungi. Selain itu jika ada kebocoran data pengguna akan dengan mudah dipakai untuk social engineering oleh pihak lain," kata Forum Tata Kelola Internet Indonesia.

Bukan hanya itu, pengguna juga mengeluhkan layanan call center PeduliLindungi yang lambat merespon keluhan pengguna.

PT Telkom dalam hal ini disarankan untuk menggunakan layanan pelanggan profesional multi-channel 24 jam. Dengan begitu, pengguna PeduliLindungi bisa diperlakukan layaknya nasabah perbankan.

Forum juga melihat bahwa sistem input PeduliLindungi memiliki celah keamanan karena dilakukan secara manual oleh ratusan ribu nakes. Hal ini membuat waktu vaksinasi lebih lama dan banyaknya kesalahan data penerima vaksin.

Dalam hal ini, Forum memberi solusi berupa digitalisasi form registrasi sehingga pengguna hanya perlu scan QR Code. Dengan begitu, waktu tunggu vaksinasi massal bisa dipangkas menjadi hanya 25 menit per orang. Pun petugas input data tidak harus nakes untuk mengurangi kesalahan input data.

Masalah teknis lain yang disoroti Forum Tata Kelola Internet Indonesia adalah audit keamanan dan bug bounty. Forum melihat kedua hal ini perlu dilakukan secara periodik untuk menjamin keamanan data sistem PeduliLindungi maupun data pengguna yang tersimpan.

Forum juga menyarankan untuk membuat dokumentasi terbuka yang memungkinkan peer review memanfaatkan standar dokumentasi development seperti direktori Git oleh platform GitHub.

Terakhir, Forum menyarankan PT Telkom dan BSSN melibatkan profesional tester, baik Blue Team maupun Red Team. Selain itu juga user acceptance test guna memastikan fungsionalitas Fitur maupun UI/UX PeduliLindungi.

(Tin/Isk)