• November 25, 2024

blog.ur-doc.com

Berita Terpercaya Dan Terpopuler

Apakah Comelec bertanggung jawab atas kebocoran data situs web?
Politik

Apakah Comelec bertanggung jawab atas kebocoran data situs web?

MANILA, Filipina – Peretasan situs web Komisi Pemilihan Umum (Comelec) baru-baru ini mengakibatkan kebocoran data jutaan catatan pendaftaran pemilih yang dapat dianggap sebagai kebocoran data pribadi terbesar dalam sejarah Filipina.

Para peretas jelas-jelas melanggar undang-undang keamanan siber dan pemilu dan Divisi Kejahatan Siber dari Biro Investigasi Nasional (NBI) sudah menyelidiki insiden tersebut.

Seorang pengacara privasi data percaya bahwa pejabat Comelec yang bersangkutan juga bertanggung jawab karena gagal mengamankan data dari peretas. Namun, seorang pengacara yang pernah bekerja di lembaga pemungutan suara mengatakan sifat data yang bocor harus ditentukan sebelum tanggung jawab dapat ditetapkan.

Pengacara Marlon Anthony Tonson dari Aliansi Kebebasan Internet Filipina (PIFA) mengatakan kepada Rappler bahwa lembaga pemungutan suara, “sebagai pengontrol data informasi pribadi pemilih terdaftar, bertanggung jawab berdasarkan Undang-Undang Republik 10173, Pasal 26, tentang akses terhadap informasi pribadi karena kelalaian.” RA 10173 juga dikenal sebagai Undang-Undang Privasi Data.

Tonson mengatakan kelalaian Comelec itu bohong dalam “kegagalannya mengambil ‘langkah-langkah yang masuk akal dan tepat untuk melindungi informasi pribadi dari … akses yang melanggar hukum’ sesuai dengan RA 10173, Bagian 20.”

Tonson telah mempraktikkan hukum siber dan hukum privasi data sejak tahun 2012, tahun yang sama ketika ia menjadi anggota pendiri PIFA. Pada bulan Oktober tahun itu dia termasuk di antara para pemohon dalam petisi ke-15 dan terakhir diajukan ke Mahkamah Agung terhadap penerapan RA 10175 atau Undang-Undang Pencegahan Kejahatan Dunia Maya.

Ia juga dilibatkan oleh sebuah organisasi non-pemerintah untuk membantu merancang peraturan dan regulasi penerapan (IRR) Undang-Undang Privasi Data pada tahun 2012. Ia juga menjalankan praktik hukum media, dan menjabat sebagai penasihat pemilu di Sulu pada tahun 2007 dan 2010.

Mengenai siapa yang harus bertanggung jawab di Comelec, Tonson mengatakan bahwa individulah yang “bertanggung jawab atas kepatuhan organisasi terhadap Undang-Undang Privasi Data.” Dia menambahkan, “Secara teknis, siapa pun yang bertanggung jawab harus membuat database dapat diakses secara online. Jika keputusan mengenai aksesibilitas memerlukan resolusi Comelec, maka hal itu bisa sampai ke Komisi en banc.”

Kasus pidana juga dapat diajukan terhadap petugas pemungutan suara tersebut, dengan menggunakan Pasal 6 UU tersebut Undang-Undang Pencegahan Kejahatan Dunia Mayasehubungan dengan Undang-Undang Privasi Data.

Kasus-kasus ini dapat diajukan oleh kelompok masyarakat sipil jika mereka mau, kata Tonson.

Investigasi Rappler terhadap file yang diperoleh para peretas dan dibagikan secara online mengungkapkan bahwa tidak hanya informasi dan data yang tersedia untuk umum yang relevan dengan fungsi situs web Comelec yang terdapat dalam file yang bocor, tetapi juga data pendaftaran lebih dari 55 juta pemilih. (BACA: Para ahli takut akan pencurian identitas, penipuan karena kebocoran Comelec)

Penulisan data habeas

Solusi lain, kata Tonson, adalah menulis data habeas untuk melindungi data pribadi pemilih, sebuah banding yang dapat diperoleh oleh pengadilan “bahkan tanpa Komisi Privasi Nasional (NPC) beroperasi penuh.

Namun opsi tersebut, jelasnya, masih terus dikaji. “Sejauh yang saya tahu, data habeas belum dikeluarkan untuk kepentingan sekelompok atau seluruh golongan orang. Semua kasus data habeas yang saya tahu diajukan oleh individu, bukan kelompok.”

NPC dibuat pada tahun 2012 oleh Undang-Undang Privasi Data. Namun ketua dan komisarisnya baru ditunjuk oleh Presiden Benigno Aquino III beberapa minggu lalu, kata Tonson. Faktanya, mereka belum mengungkapkan IRR mereka sendiri.

Karena ini adalah masalah keamanan siber, maka insiden peretasan juga dapat ditangani oleh Komite Antar Lembaga Keamanan Siber (CIAC) di bawah Kantor Presiden. Aquino mendirikan CIAC pada tahun 2015 oleh Perintah Eksekutif 189.

CIAC “akan menginstruksikan (Pusat Investigasi dan Koordinasi Kejahatan Dunia Maya atau CICC) untuk menyelidiki kejahatan dunia maya, serta Tim Tanggap Darurat Komputer (CERT) Comelec – jika sudah dibentuk – untuk berkoordinasi dengan pihak berwenang untuk memecahkan dan mengamankan data dan sistem Comelec terhadap peretasan di masa depan,” kata Tonson.

Informasi dasar atau sensitif?

Pengacara pemilu Emil Marañon III, yang bekerja sebagai kepala staf mantan ketua Comelec Sixto Brillantes, mempunyai pandangan berbeda mengenai pertanyaan tentang akuntabilitas lembaga pemungutan suara.

Marañon mengatakan kepada Rappler bahwa sifat data yang dicuri harus diselesaikan sebelum menentukan jenis kerusakan yang disebabkan oleh kebocoran tersebut.

Ia menjelaskan, ada dua kategori informasi pemilih. Yang pertama adalah informasi dasar, seperti nama pemilih, nomor daerah dan barangay. Biasanya, kata Marañon, itu dapat diakses oleh publik. “Ini mirip dengan dokumen publik, dan demi transparansi, dokumen ini dapat diakses oleh publik oleh Comelec.”

Ia menambahkan bahwa informasi ini sama dengan informasi yang dipasang di luar tempat pemungutan suara, dan dapat diminta dari Comelec dengan biaya minimal, “tetapi sebagian besar permintaan biasanya datang dari politisi, partai politik, pengawas pemilu, dan pemantau.”

Namun, jenis kedua – informasi sensitif seperti foto, tanda tangan dan sidik jari, yang secara kolektif dikenal sebagai data biometrik – yang dirahasiakan berdasarkan kebijakan, kata Marañon.

Itu “hanya dapat diperoleh atas dasar panggilan atau perintah yang datang dari pengadilan atau Ombudsman,” ujarnya. Penegakan hukum dan lembaga pemerintah juga dapat mengaksesnya, namun hanya dalam kondisi tertentu, lanjutnya.

Jika kebocoran hanya berisi informasi dasar, Marañon mengatakan “tidak ada banyak masalah” dalam hal tanggung jawab. Namun lain halnya, menurutnya, jika informasi tersebut mencakup informasi sensitif seperti biometrik.

Dalam kasus tersebut, Marañon mengatakan bahwa “ini bermuara pada masalah kelalaian kriminal, yang pada dasarnya menanyakan apakah kebocoran tersebut terjadi bukan karena penipuan, penipuan, atau kesalahan yang dilakukan oleh pejabat atau karyawan Comelec yang bersangkutan.”

Dalam hal ini, katanya, pertanggungjawaban dapat timbul dari undang-undang pidana, antikorupsi, atau antikorupsi apa pun, “tetapi yang pasti di luar ketentuan pidana UU Omnibus Pemilu, yang tentunya tidak dapat mencakup konsep pendaftaran pemilih otomatis, pencurian digital. atau bahkan komputer.”

Sidik jari yang dikodekan

Berdasarkan penyelidikan Rappler sendiri, tampaknya tidak ada indikasi bahwa gambar yang berisi foto, tanda tangan, dan sidik jari pemilih disertakan dalam file apa pun yang diunggah peretas ke situs web mereka.

File gambar seperti ini umumnya memerlukan lebih banyak ruang dibandingkan teks biasa. Memiliki file gambar terkompresi satu megapiksel untuk masing-masing dari 3 data biometrik untuk seluruh 55 juta pemilih akan memakan ruang sekitar 330 TB, sekitar 1.000 kali lebih besar dari ukuran total database yang bocor. Jumlah ini setara dengan lebih dari 94 juta lagu dalam format MP3 atau 82.500 film dalam format DVD.

Perusahaan perangkat lunak keamanan internet Trend Micro, dalam dosanya sendiri, bagaimanapun, mengklaim telah “menemukan 15,8 juta catatan sidik jari”, tetapi dalam format digital atau kode. (BACA: Kebocoran data Comelec menempatkan pemilih di Filipina ‘dalam risiko’ – Trend Micro)

Namun demikian, Marañon mengatakan bahwa menentukan kelalaian dalam masalah ini “akan menjadi sebuah tantangan.”

“Dapatkah kelalaian secara otomatis diperhitungkan, hanya karena seseorang yang lebih baik dari Anda dapat memecahkan kode Anda? Atau apakah hal ini cukup untuk membuktikan bahwa langkah-langkah keamanan telah diterapkan menggunakan standar industri yang dapat diterima? Dia bertanya.

Tanggung jawab peretas

Mengenai para peretas itu sendiri, Tonson mengatakan mereka bertanggung jawab berdasarkan undang-undang yang sama.

“Para peretas melanggar RA 10175 (Undang-Undang Pencegahan Kejahatan Dunia Maya), Bagian 4(a), mengenai pelanggaran terhadap kerahasiaan, integritas, dan ketersediaan data dan sistem komputer. Khususnya, pasal 4(a)(1) tentang akses melanggar hukum ke sistem komputer, 4(a)(3) tentang gangguan data, dan pasal 4(a)(4) tentang gangguan sistem,” kata Tonson.

Dia menambahkan bahwa para peretas, yang tergabung dalam kelompok LulzSec Pilipinas, “juga bertanggung jawab berdasarkan RA 10173 (Undang-Undang Privasi Data), Bagian 29, untuk akses tidak sah atau pelanggaran yang disengaja.”

“Karena mereka meretas database pemilih terdaftar, hal ini dianggap sebagai pelanggaran skala besar berdasarkan RA 10173, Pasal 35, yang menyerukan hukuman maksimum berdasarkan undang-undang,” jelas Tonson.

Demikian pula, para peretas – jika teridentifikasi – dapat dituntut karena melakukan pelanggaran pemilu berdasarkan Bagian 45(e) dan (f) UU Undang-Undang Republik 8189 atau Undang-Undang Pendaftaran Pemilu.

Mereka yang dinyatakan bersalah melakukan pelanggaran akan menghadapi hukuman 6 hingga 12 tahun penjara, sebagaimana diatur dalam RA 10175 – yang menetapkan hukuman kejahatan dunia maya satu tingkat lebih tinggi dibandingkan dengan dua undang-undang lainnya – dan denda berkisar antara P500.000 hingga P2 juta, sebagaimana diatur dalam RA 10173, kata Tonson.

Investigasi NBI sedang berlangsung

Saat dimintai komentar, juru bicara Comelec James Jimenez mengatakan pembobolan sudah terjadi dilaporkan ke NBI. “Saat ini yang terbaik adalah menunggu temuan investigasi itu, pada semua aspek kasus ini,” ujarnya.

Sementara itu, NBI mengatakan penyelidikannya terhadap pelanggaran dan peretasan situs tersebut sedang berlangsung.

“Sudah ada koordinasi formal antara Comelec dan NBI. Kami bekerja sama dengan mereka untuk mencari tahu apa yang sebenarnya terjadi. Hanya sampai saat itu (Saya berhenti di situ saja),” kata Pejabat Eksekutif Divisi Kejahatan Siber NBI Vic Lorenzo.

“Ada perkembangan dalam kasus ini, tapi saat ini saya belum bisa membahasnya karena akan mendahului penyidikan,” ujarnya.

Disinggung soal keberadaan informasi pribadi berdasarkan penyelidikan Rappler, Lorenzo menjawab masih memvalidasi berkas tersebut. “Kami sebagai penyidik ​​tidak berasumsi.” Ada banyak faktor yang harus dipertimbangkan terlebih dahulu, tambahnya. “Apakah itu keseluruhan database atau hanya cuplikan saja? Apakah itu nyata atau tidak?”

Mengenai tanggung jawab Comelec setelah situs tersebut diretas, Lorenzo berkata, “Harus ada niat kriminal sebelum seseorang dapat dimintai pertanggungjawaban pidana, administratif, atau perdata. Itu hanya apa yang Anda lihat (Tetapi jika dilihat), Comelec adalah korbannya. Bukan sekedar upload database saja kan? Orang-orang di luar Comelec yang melakukan (peretasan).”

Lorenzo menambahkan bahwa “terlalu mutlak” untuk segera meminta pertanggungjawaban Comelec karena gagal melindungi data pemilih. Dia menjelaskan bahwa “edi negara lain, bahkan di negara-negara dunia pertama, insiden peretasan juga terjadi. Tidak ada penghalang atau firewall yang tidak bisa ditembus. Akan selalu ada jalan keluar dari firewall.”

Tampaknya tidak adil bagi saya (Pemikiran itu sepertinya tidak adil bagi) administrator sistem,” lanjutnya.

Lorenzo belum bisa memberikan batas waktu kapan penyelidikan mereka akan berakhir, namun dia mengatakan, “hal ini harus diselesaikan sebelum pemilu untuk menghilangkan keraguan, asumsi, rumor dan ketakutan.”

Comelec berjanji dapat melindungi suara pada hari pemilihan meskipun terjadi insiden peretasan. – dengan Wayne Manuel/Rappler.com

Hongkong Prize

Dari operasi penyelamatan sandera yang gagal hingga Tontowi/Liliyana menjadi juara Malaysia Open
Duterte melampaui Poe dalam survei SWS