Layanan INA Digital dirilis terbatas, bagaimana keamanan datanya?

Pemerintah telah merilis secara terbatas tiga layanan utama dalam ekosistem INA Digital yakni INApas, INAku, dan INAgov. Peluncuran tiga layanan merupakan upaya pemerintah untuk menciptakan ekosistem pelayanan yang terintegrasi, menyederhanakan birokrasi, dan mempermudah masyarakat untuk mengakses layanan publik. 

Pada perilisan terbatas tahap pertama, layanan INA Digital akan diuji coba 40 ribu pengguna untuk mendapatkan masukan dan perbaikan. Selanjutnya perilisan terbatas tahap kedua berupa uji coba 136 instansi pemerintah pusat dan daerah. Perilisan INApas, INAku, dan INAgov untuk umum akan dilakukan pada awal tahun 2025. 

Terlepas dari pentingnya peluncuran terbatas ini dalam mengakselerasi pemerintahan digital, pemerintah perlu memastikan keamanan data ketika layanan-layanan INA Digital digunakan secara masif oleh jutaan masyarakat. 

Proteksi data menjadi sangat penting mengingat terjadinya insiden serangan siber di Pusat Data Nasional Sementara-2 pada bulan Juni dan beberapa kasus kebocoran data pribadi dalam beberapa tahun terakhir. 

Selain itu, Undang-Undang Perlindungan Data Pribadi akan berlaku secara penuh mulai 17 Oktober, yang memungkinkan setiap pengendali dan pemroses data pribadi dapat dikenakan sanksi ketika terjadi kegagalan perlindungan data pribadi.  

INA Digital – sebagai lembaga yang saat ini sedang mendapat sorotan sebagai ujung tombak upaya negara dalam mengintegrasikan layanan-layanan digitalnya – diekspektasikan menjadi role model tentang bagaimana lembaga pemerintah melindungi data pribadi warga negaranya.

Berlangganan Bulletin GovInsider untuk mendapatkan informasi terbaru inovasi sektor publik.    

Security by design 

Peneliti Center for Digital Society Universitas Gadjah Mada (UGM), Faiz Rahman, mengatakan, INA Digital harus mengadopsi pendekatan aman secara desain (security by design) dalam melakukan pemrosesan data pribadi, yang mencakup pengumpulan data, pengolahan data, penyimpanan data, dan transfer data.

Pendekatan ini memikirkan aspek keamanan sejak awal, yang meliputi jaminan atas hak subyek data, penggunaan data pribadi secara terbatas dan sesuai dengan tujuannya untuk penyelenggaraan layanan publik. 

“Pendekatan ini juga memastikan bahwa perangkat teknologi yang digunakan mampu menjaga data pribadi tetap terlindungi,” katanya. 

Kedua, INA Digital harus membuat penilaian dampak perlindungan data (data protection impact assesment) saat memproses data-data yang tergolong berisiko tinggi terhadap subyek data, yang meliputi pemrosesan data spesifik dan rahasia seperti data kesehatan, data transaksi keuangan, dan data biometrik, serta pemrosesan data dalam skala besar.

Selanjutnya, INA Digital dapat menetapkan pejabat perlindungan data pribadi (Data Protection Officer) sebagai pengawas yang bekerja secara independen untuk memastikan data pribadi warga terlindungi.  

Berlangganan Bulletin GovInsider untuk mendapatkan informasi terbaru inovasi sektor publik.    

Melibatkan BSSN 

Menteri Pendayagunaan Aparatur Negara dan Reformasi Birokasi, Abdullah Azwar Anas, mengatakan bahwa pemerintah mengupayakan berbagai cara untuk mengamankan data pribadi masyarakat yang dikelola oleh INA Digital.  

“Yang paling utama ialah melibatkan berbagai pihak yang ahli dan berpengalaman dalam aspek keamanan data, termasuk tim dari Badan Siber dan Sandi Negara (BSSN), untuk mendampingi INA Digital dalam melakukan pemrosesan data,” kata Anas dikutip oleh RRI. 

Selain itu, pihaknya juga telah melakukan uji coba pengujian keamanan data dan jaringan dengan melakukan simulasi serangan (penetration test) pada sistem yang dikelola INA Digital nantinya.

Menurut Faiz, UU Perlindungan Data Pribadi memberikan tanggung jawab kepada BSSN untuk menjaga keamanan informasi pada sistem elektronik. Pada konteks INA Digital, BSSN dapat memberikan pendampingan di setiap layer, mulai dari proses onboarding hingga pengembangan layanan. 

“Pelibatan BSSN di dalam pengembangan aplikasi INA Digital menjadi penting sebagai bentuk kepatuhan organisasi kepada regulasi pemerintah,” katanya.  

Audit keamanan berlapis 

Direktur Utama Peruri, Dwina Septiani Wijaya, dalam acara Townhall Meeting Agustus lalu, menekankan bahwa tiga layanan INA Digital yang dikembangkan telah melalui tahapan audit keamanan berlapis dan dijalankan sesuai dengan standar yang ditetapkan Peruri sebagai perusahaan digital security dan mematuhi perundang-undangan yang berlaku. 

“Penerapan multi-factor authentication memungkinkan verifikasi data dan identitas dapat berjalan secara aman, serta pengguna memiliki otoritas penuh dalam menggunakan data pribadinya saat mengakses layanan publik secara elektronik," katanya.  

Disamping itu, meski dalam proses kerjanya INA Digital mengintegrasikan data yang dimiliki antar-kementerian/lembaga, melakukan transfer dan pertukaran data, data masyarakat dipastikan akan tetap aman tersimpan di masing-masing kementerian/lembaga. 

INApas merupakan layanan identitas digital terpadu yang digunakan oleh setiap pengguna untuk mengakses berbagai layanan digital pemerintah (single sign-on) yang terdapat di dalam INAku dan INAgov. 

Selanjutnya, INAku merupakan portal pelayanan publik yang memberikan masyarakat akses ke berbagai layanan digital pemerintah, mencakup layanan administrasi kependudukan, kesehatan, pendidikan, bantuan sosial, hingga layanan kepolisian.  

Sementara INAgov adalah portal administrasi yang memberikan ASN akses ke berbagai layanan pemerintahan.