Data pengguna aplikasi video conference rentan dibobol. Yang dipakai Presiden dan ring satunya, juga diragukan keamanannya. Sedang ada pemeriksaan BSSN. Masalah keamanan data, apalagi milik negara, harus jadi perhatian utama.  

Sebelum rapat terbatas (ratas) kelima Kabinet Indonesia Maju dimulai pada 20 April lalu, Menteri Sekretaris Kabinet Pramono Anung melaporkan kepada Presiden bahwa rapat secara daring itu dilakukan dengan menggunakan sebuah aplikasi konferensi video asli buatan dalam negeri. Aplikasi bernama CloudX diklaim aman, setidaknya dibandingkan dengan aplikasi Zoom yang sempat digunakan sebelumnya. "Perlu kami laporkan, aplikasi yang digunakan untuk video conference kali ini adalah buatan anak negeri, yaitu CloudX Telkomsel," ujarnya.

Sebelumnya, Zoom, aplikasi video konferensi yang sedang populer di dunia akibat pandemi COVID-19, disinyalir memiliki banyak masalah keamanan dan privasi. Ribuan aktivitas pertemuan daring di Zoom dilaporkan bocor di internet dan bisa ditonton siapa saja. Saking bahayanya, bahkan rapat Dewan Teknologi Informasi dan Komunikasi Nasional (Wantiknas), tersusupi pemutaran video porno.

Badan Siber dan Sandi Negara (BSSN) juga sudah melakukan kajian terhadap Zoom dan merekomendasikan agar aplikasi ini tidak dipakai instansi negara. Di samping itu, Kepala Badan Nasional Penanggulangan Terorisme (BNPT) mengeluarkan Surat Edaran Nomor 08/2020 tentang larangan penggunaan Zoom di lingkungan BNPT.

Direktur Utama Telkomsel, Setyanto Hantoro, saat konferensi pers usai rapat terbatas itu, mengeklaim teknologi milik perusahaannya lebih baik dari buatan luar negeri. "Pak Jokowi ingin agar ada produk dalam negeri dan yang lebih aman, sehingga alhamdulillah ratas menggunakan CloudX itu lancar tanpa hambatan sama sekali dan terbukti lebih aman, lebih baik dibandingkan produk-produk lain," tuturnya.

Namun, klaim CloudX merupakan produk asli dalam negeri dan terjamin aman, diragukan. Seorang sumber GATRA menyebut, aplikasi CloudX sebenarnya juga menggunakan perangkat lunak milik Zoom. Ia menemukan, jeroan peranti lunak CloudX menggunakan package com.zipow, semacam identitas milik Zoom.

Aktivitas aplikasi ini juga memakai komponen com.metaswitch, aplikasi milik perusahaan layanan komunikasi Metaswitch, yang tidak lain bagian dari perusahaan Zoom. Ini menjadikan CloudX hanyalah perusahaan pemakai jasa layanan pihak ketiga. Pemakaian CloudX pun punya risiko yang sama dengan penggunaan Zoom.

"Penggunaan komponen asing atau library atau service dalam sebuah software sangat berisiko, karena di dalam komponen asing, bisa saja terdapat Trojan yang sengaja diletakkan untuk kepentingan tertentu," kata sang sumber.  

Potensi kebocoran data juga makin besar. Sang sumber menyelisik lebih jauh dan menemukan bahwa CloudX ternyata tidak menggunakan server dalam negeri. "Jika kita telusuri komunikasi data CloudX, terlihat bahwa CloudX berkomunikasi dengan dua server dengan IP address yang berlokasi tidak di Indonesia," ujarnya. 

***

GATRA mencoba melakukan klarifikasi melalui pakar keamanan siber, Pratama Persadha, dari Lembaga Riset Keamanan Siber dan Komunikasi (CISSReC). Ia juga menemukan hal yang sama pada CloudX. "Bila dicek, memang CloudX ini masih menggunakan metaswitch pihak ketiga. Jadi, ya bukan 100% develop Telkomsel dari nol," katanya. 

Pratama juga punya keyakinan adanya kemungkinan kebocoran data bila memang Telkomsel benar-benar menggunakan komponen milik Zoom untuk dipakai pejabat negara. "Yang jadi masalah, ada di mana letak servernya? Apakah di Tanah Air atau tidak? Ini menjadi hal yang cukup sensitif, karena CloudX digunakan untuk rapat-rapat jarak jauh di ring satu Istana, sehingga bila data dan rekaman rapat disimpan di cloud, jelas kita juga perlu tahu di mana servernya. Server Zoom sendiri ada di luar Indonesia. Apakah kita bisa bergerak bila terjadi sesuatu hal yang tidak diinginkan?" tuturnya. 

Ia juga mengungkapkan, terkait keamanan memang tidak hanya persoalan CloudX ini bagian dari Zoom atau tidak. Letak server berpengaruh dan sejauh mana enkripsi dilakukan. Apakah memakai teknologi end to end encryption (E2E) atau tidak. Lalu, apakah E2E tersebut memakai enkripsi yang benar-benar teruji, misalnya AES256? Apakah mendukung multi-factor authentication (MFA)? Apakah user bisa mengelola dan menghapus data di sisi client serta server? Hal-hal pengamanan data semacam ini yang patut mendapat perhatian besar.

Oleh karena itu, perlu dilakukan pengecekan lebih mendalam kepada CloudX. "Dalam hal ini, sebaiknya BSSN bisa membantu melakukan pengecekan yang lebih mendalam lagi. Apakah CloudX ini cukup aman untuk dipakai atau tidak, sebelum merekomendasikannya menjadi platform video conference yang digunakan oleh Presiden," ujarnya.  

Sebagai aplikasi yang mulai naik dan dan vital bagi kehidupan manusia ke depan, aplikasi konferensi video memang akan menjadi tulang punggung aktivitas di masa depan. Namun, keamanan menjadi salah satu isu sensitif.

Zoom, misalnya, sempat dituduh membagi data pengguna ke Facebook. Namun, pihak Zoom menyatakan telah melakukan perbaikan keamanan. Dengan menambahkan standar enkripsi baru, yaitu enkripsi ACM 256-bit GCM, yang dianggap sebagai standar emas enkripsi dan digunakan oleh pemerintah AS untuk mengamankan data.

Di sisi lain, perusahaan teknologi raksasa Google yang merilis aplikasi konferensi video Google Meet, baru-baru ini juga menambahkan fitur integrasi dengan akun Gmail yang diluncurkan mulai 16 April lalu. Dengan fitur tersebut, Google Meet diklaim mendapatkan keamanan yang lebih unggul.

***

Juru Bicara BSSN, Anton Setiyawan, menyatakan bahwa pihaknya telah diminta untuk meneliti dan menguji keamanan CloudX dalam penggunaan di ranah pemerintahan. Namun ia belum bisa menyampaikan secara detail tentang pengujian keamanan seperti apa saja yang telah dilakukan BSSN kepada aplikasi tersebut.

Anton memastikan, penggunaan CloudX aman. "Iya [CloudX telah melalui uji keamanan BSSN]. Setiap aplikasi video conference yang digunakan [pemerintah] pasti melalui pertimbangan BSSN. Dari pihak Sekretaris Kabinet (Seskab) selalu mengoordinasikan hal ini ke BSSN," ucapnya kepada Ucha Julistian Mone dari GATRA.

Ia juga menegaskan, BSSN terus berupaya melakukan langkah-langkah pencegahan, mitigasi, dan pengawasan, baik terkait kebocoran data maupun masalah keamanan pelaksanaan konferensi video melalui berbagai aplikasi. 

Terkait kerja sama dengan Metaswitch, General Manager External Corporate Communications Telkomsel, Aldin Hisyam, menegaskan bahwa pengembangan sebuah perangkat lunak tak mungkin mengesampingkan pihak lain. "Karena di era digital sekarang, lazim untuk melakukan interoperability. Sebuah perusahaan dalam membuat produknya tidak akan bisa mengembangkan semua komponen produk atau layanan itu sendiri. Alasannya, karena waktu yang lama, investasi yang besar, dan resources yang terbatas," tuturnya kepada Drean Muhyil Ihsan dari GATRA.

Aldin kembali menegaskan, walaupun ada kerja sama dengan pihak lain, CloudX adalah hasil kerja sendiri. "Cloud X adalah produk Telkomsel. Titik!"

Ia juga menjamin keamanan CloudX. "Server CloudX itu ada di Indonesia," ucap Aldin.

Lalu, apakah para menteri masih menggunakan CloudX sebagai aplikasi utama dalam melakukan rapat antar-menteri, juga dengan presiden? Seorang anggota kabinet yang tak mau disebut namanya membenarkan. Di sisi lain, Pramono Anung tak mau bilang apakah Istana masih menggunakan CloudX. "Rahasia negara," katanya.

Pengakuan menarik datang dari Menteri Koordinator Politik Hukum dan Keamanan, Mahfud MD. Menurutnya, meski tetap ada rapat secara daring, ia sudah mendapatkan masukan dari Menteri Pertahanan Prabowo agar masalah-masalah sensitif tidak dirapatkan secara virtual. "Pak Prabowo minta pejabat terkait rapat di darat, bertemu langsung, dengan tetap ikut protokol kesehatan. Kami sudah beberapa kali rapat darat dalam jumlah peserta yang sangat terbatas," ujarnya. 

Rosyid dan MS Widodo

- - - - - -

Komparasi Aplikasi Konferensi Video

Di era pandemi COVID-19, ketika orang-orang harus menjalani hidup di karantina, aktivitas konferensi video menjadi salah satu solusi untuk menuntaskan pekerjaan. Aplikasi Zoom melesat, meskipun aspek sekuriti sempat menggangu popularitasnya. Setelah Zoom booming, pemain-pemain besar makin serius mengemas produknya. Berikut perbandingan beberapa aplikasi konferensi video yang populer.

Zoom

1. Mudah digunakan dengan fitur berbagi layar, chatting, dan kolaborasi. Host memiliki kontrol siapa yang akan bicara atau muncul di kamera.

2. Beroperasi di beragam platform seperti Windows, macOS, Linux, Chrome OS, iOS, dan Android.

3. Peserta pertemuan yang bisa diakomodasi, mencapai 100 orang dan untuk yang berbayar bisa 1.000 orang. Versi gratis dibatasi 40 menit.

4. Sempat bermasalah di sektor security, Zoom melakukan perbaikan besar-besaran. Termasuk mengakuisisi Keybase, sebuah startup yang memberi layanan komunikasi terenkripsi, dan file sharing antiretas.

5. Versi gratisnya sudah memadai. Versi premiumnya ditawarkan US$14,99 per bulan dan US$19,99 per bulan.

Microsoft Teams

1. Lebih rumit dengan beragam opsi dan add-ons.

2. Beroperasi di beragam platform, seperti Windows, macOS, Linux, Chrome OS, iOS, dan Android.

3. Peserta pertemuan yang bisa diakomodasi mencapai 20 orang, tetapi yang ditampilkan hanya 9 orang yang terakhir bicara.

4. Menggunakan enkripsi end to end penuh sejak diluncurkan dengan enkripsi untuk data video, audio, dan desktop data sharing.

5. Versi gratisnya murah hati dengan unlimited chat, group audio, atau video calling dan file storage 10 GB. Versi berbayar US$9,99 per bulan.

Google Meet

1. Pengguna harus memiliki akun Google, tidak sepraktis Zoom.

2. Beroperasi di iOS and Android.

3. Peserta pertemuan yang bisa diakomodasi mencapai 100 orang dan untuk yang berbayar bisa 1.000 orang. Versi gratis tidak dibatasi waktu.

4. Diklaim lebih aman dari Zoom. Ada fitur pemeriksa tamu, host bisa menerima atau menolak, membisukan, bahkan menghapus tamu. Rapat dienkripsi dan rekamannya disimpan di Google Drive.

Skype

1. Dengan fitur Meet Now, pengguna bisa membuat meeting link tanpa perlu akun.

2. Skype tersedia di Windows, Mac, Linux, Android, iOS, dan Microsoft Xbox.

3. Peserta pertemuan hingga 50 orang untuk versi gratis, dengan waktu empat jam untuk sekali pertemuan.

4. menawarkan beragam fitur, seperti group chat, file sharing, background blur, cloud call recording, dan emoji. Dilengkapi dengan voice translator hingga sepuluh bahasa berbeda.

5. Termasuk yang dipuji soal keamanannya.

Sumber: Diolah dari beragam sumber