Data EKTP Warga Terpampang di 4 Situs Pemda: DKI Jakarta hingga Jateng

Mudahnya data internal pada situs-situs tersebut diakses menunjukkan pengembang sistem tidak paham tentang keamanan sistem.

Sesungguhnya, hal itu menunjukkan bahwa pihak pengelola/pengembang sistem pada situs-situs seperti itu, tidak paham tentang keamanan sistem dimana fokus utamanya pada ketahanan sistem," ujar Kun.

Pengembang situs kerap menganggap keamanan sistem bisa dilakukan hanya dengan menyematkan sejumlah alat bantu seperti antivirus, firewall, dan lain-lain.

"Ketidakpahaman itu adalah keamanan sistem dianggap sebagai pekerjaan terakhir dari development dan amannya sistem cukup dengan menambahkan / menempelkan / meletakkan alat bantu keamanan saja (antivirus, firewall, datacenter aman, dll)," jelasnya.

"Sehingga, bukan karena kesengajaan tetapi masalah ketidakpahaman," tambah Kun menegaskan.

Kemudian Kun menjelaskan situs-situs tersebut dibuat pada platform open source, dan pada platform tersebut pengembang harusnya menutup 'pintu-pintu' fitur agar tidak bisa diakses oleh publik.

"Platform website yang digunakan memang merupakan platform open source yang maknanya adalah platform tersebut hampir seluruh fitur dan isi didalamnya bersifat terbuka (sistemnya) dan dapat dikembangkan atau di-manage oleh pengembangnya secara bebas," kata Kun.

"Keterbukaan (sistem) pada platform-platform open source seperti itu yang berimplikasi bahwa pengembang pada saat deployment, selayaknya harus menutup 'pintu-pintu fitur' dari platform tersebut," tambahnya.

Lihat Juga : Cara Agar Foto eKTP Tidak Disalahgunakan

Solusi dari masalah ini adalah kemampuan pengembang dalam mengidentifikasi dan mengeksekusi penutupan pintu-pintu yang dapat menjadi celah keamanan pada sistem.

Kemudian Kun mengatakan sebuah sistem atau aplikasi seharusnya tidak online atau dirilis untuk publik jika dirasa tidak aman.

Dan keamanan tersebut hanya bisa dibuktikan melalui hasil audit penetration testing.

"Dan keyakinan atas keamanan sistem atau aplikasi hanya bisa berdasarkan hasil audit pentesting, tidak bisa hanya ditambahkan atau ditempelkan dengan alat bantu pengamanan atau diletakkan dalam lokasi pengamanan saja," pungkasnya.