Penulis: S. Priyarsono
Anggota Forum Masyarakat Statistik
Anggota Komtek Tata Kelola, Manajemen Risiko, dan Kepatuhan Badan Standardisasi Nasional
Guru Besar Fakultas Ekonomi dan Manajemen Institut Pertanian Bogor
Pada hari Selasa, 9 Agustus 2016, Australian Bureau of Statistics (ABS) menyelenggarakan sensus penduduk (nama resminya: 2016 Australian Census of Population and Housing, atau sering disingkat menjadi 2016 eCensus). Sensus ini memanfaatkan formulir digital yang harus dikirimkan oleh responden ke komputer (server) ABS melalui internet. Pada hari itu pukul 20:09 waktu setempat layanan penerimaan data dari reponden tersebut terpaksa harus ditutup karena ada kekhawatiran terjadinya kebocoran data.
Pada waktu itu ditemukan indikasi adanya aliran data keluar dari sistem. Gangguan tersebut dipicu oleh adanya beberapa kali serangan yang disebut distributed denial of service (DDoS). Serangan tersebut secara teoretis seharusnya dapat ditangkal, namun IBM yang disewa oleh ABS sebagai penyedia jasa teknologi untuk penyelenggaraan 2016 eCensus tidak berhasil menangani serangan itu.
Sistem baru bisa dibuka kembali untuk menerima kiriman data dari reponden pada hari Kamis, 11 Agustus 2016 pukul 14:29 waktu setempat. Dengan kata lain, sistem layanan penerimaan data dari responden tidak dapat berfungsi selama satu hari 18 jam 44 menit. Tak urung, peristiwa ini memicu berbagai spekulasi dan berisiko menghancurkan kepercayaan publik terhadap keandalan penyelenggaraan 2016 eCensus pada khususnya dan reputasi ABS pada umumnya.
Tulisan ini menyajikan rangkuman pendapat dan rekomendasi dari berbagai pihak yang terlibat dalam penyelenggaraan 2016 eCensus sebagai bahan pelajaran bagi persiapan Sensus Penduduk yang akan diselenggarakan oleh BPS pada tahun 2020. Sumber utama tulisan ini adalah dokumen yang diterbitkan oleh Office of the Cyber Security Special Adviser, Canberra, Australia (MacGibbon, 2016) dan makalah yang dipresentasikan dalam Conference of European Statisticians di Gdansk, Polandia (Palmer & Stathis, 2019).
Tentu disadari bahwa cyber risk bukanlah satu-satunya risiko dalam penyelenggaraan sebuah sensus penduduk (dalam kasus Australia, risiko kebocoran data pribadi dinilai sangat penting). Namun cyber risk perlu memperoleh perhatian khusus, karena bagi Australia maupun Indonesia penyelenggaraan sensus penduduk dengan menggunakan internet sebagai sarana pengiriman data dari responden ke pusat komando (ABS atau BPS) merupakan pengalaman baru.
Tabel 1. Perbandingan antara 2016 eCensus dan SP2020
Australia (2016 eCensus) |
Indonesia (SP2020) | |
Jumlah responden total |
24 juta orang |
270 juta orang |
Pendataan dengan internet |
16 juta responden |
62 juta responden |
Luas daratan |
7,6 juta km persegi |
1,9 juta km persegi |
Banyaknya pulau |
8222 |
16056 |
Anggaran total |
Rp 4,5 triliun |
Rp 4,0 triliun |
Anggaran per responden |
Rp 1 860 000,- |
Rp 14 810,- |
*Angka perkiraan, diolah dari berbagai sumber.
Jumlah penduduk Australia pada saat penyelenggaraan 2016 eCensus ada sekitar 24 juta orang. Data dari populasi itu sekitar 68 persennya (16 juta responden) direkam dalam 2016 eCensus dengan cara pengiriman oleh responden melalui internet. Untuk penyelenggaraan 2016 eCensus itu dianggarkan dana Aus$471 juta (sumber lain menyebut Aust$500 juta) atau sekitar Rp 4,5 triliun. Dari dana sebesar itu sekitar Aust$9,6 juta atau Rp 91,2 miliar digunakan untuk membayar IBM sebagai penyedia jasa layanan teknologi digital untuk keperluan 2016 eCensus.
Sementara itu, penduduk Indonesia pada Sensus Penduduk 2020 nanti ada sekitar 270 juta orang. Ditargetkan bahwa data sekitar 23 persen dari populasi itu (62 juta responden) direkam dan dikirimkan ke BPS dengan teknologi digital berbasis telepon genggam. Adapun anggaran yang disediakan untuk SP2020 adalah sekitar Rp 4 triliun, dengan 83 persen di antaranya digunakan untuk membayar upah dan pelatihan petugas lapangan. Dengan demikian, dapat diperbandingkan bahwa biaya sensus penduduk di Australia adalah sekitar Rp1,86 juta per responden, sedangkan biaya untuk SP2020 adalah sekitar Rp 14,81 ribu per responden. Dengan kata lain, perbandingannya kurang lebih adalah Australia : Indonesia = 125:1. Tidak perlu dibahas lebih lanjut soal tingkat kesulitan penyelenggaraan sensus di negara dengan lebih dari 16 ribu pulau dibandingkan dengan tingkat kesulitan di negara tetangga itu. Dengan asumsi-asumsi tentang ketersediaan anggaran dan tingkat kesulitan tersebut, sekurang-kurangnya dapatlah diantisipasi bahwa dalam beberapa aspek SP2020 di Indonesia tidak akan lebih ringan daripada 2016 eCensus di Australia. Oleh karena itu pengelolaan risiko merupakan suatu keniscayaan untuk diterapkan dalam proyek yang sebesar dan serumit SP2020.
Dalam cukup banyak kasus kesadaran akan perlunya pengelolaan risiko datang terlambat. Artinya, setelah terjadi masalah, krisis, atau bencana, barulah penyelenggara proyek, atau pemimpin organisasi secara umum, menyadari perlunya manajemen risiko. Beberapa pakar dan praktisi manajemen risiko berpendapat bahwa kepekaan pejabat publik (pemerintahan) terhadap perlunya manajemen risiko umumnya lebih rendah daripada kepekaan para pemimpin korporasi. Hal ini tidak terlalu mengherankan, karena lazimnya golongan yang pertama itu bekerja berlandaskan regulasi (perundang-undangan, peraturan pemerintahan, instruksi atasan) sedangkan golongan yang kedua lebih banyak didorong oleh ukuran-ukuran kinerja yang langsung terkait dengan eksistensi organisasinya (laba, reputasi, keberlanjutan usaha). Oleh karena itu, lebih-lebih untuk organisasi pemerintahan, langkah mendasar yang pertama harus diupayakan adalah pengembangan budaya risiko yang dimulai dari level pucuk pimpinan.
Kesadaran pucuk pimpinan akan pentingnya manajemen risiko merupakan prasyarat bagi penyelenggaraan manajemen risiko dalam sebuah organisasi. Kesadaran ini kemudian harus berlanjut menjadi komitmen untuk menyelenggarakan manajemen risiko. Komitmen itu harus mewujud pada upaya penyediaan infrastruktur manajemen risiko, yakni perangkat organisasi (struktur dan pengaturan fungsi unit-unit dalam organisasi), sumber daya manusia yang memadai (menguasai metode-metode untuk proses pengelolaan risiko), perangkat instrumen, serta anggaran yang cukup memadai. Untuk itu semua diperlukan upaya pendidikan bagi pucuk pimpinan.
Pendidikan tentang cyber security sekurang-kurangnya pada level elementer juga perlu diselenggarakan bagi para eksekutif pengambil keputusan organisasi. Hal ini sejalan dengan upaya pemerintah untuk mentransformasi birokrasi menjadi berbasiskan e-Government.
Apabila kesadaran akan pentingnya membangun budaya risiko serta pemahaman tentang cyber security di semua lini sudah cukup memadai, maka perlu segera disusun rancangan prosedur (protocol) penanganan situasi krisis. Dalam peristiwa cyber attack terhadap 2016 eCensus di Australia tampaknya penanganan krisis terlampau lambat sehingga membuka peluang terjadinya spekulasi-spekulasi di tengah masyarakat yang berisiko mengancam reputasi 2016 eCensus pada khususnya serta ABS pada umumnya.
Pengalaman di ABS itu juga memberikan pelajaran tentang perlunya melakukan risk assessment secara akurat. Tampaknya telah terjadi peremehan (underestimate) terhadap dampak risiko serangan DDoS. Kejadian ini tidak boleh berulang dalam penyelenggaraan SP2020. Setiap risiko harus dapat teridentifikasi (well identified), terases (well assessed), dan terevaluasi (well evaluated) sehingga dapat dirumuskan langkah-langkah mitigasi yang dibutuhkan serta skenario-skenario contingency planning untuk diterapkan mana kala terjadi situasi krisis. Ini semua diupayakan melalui proses komunikasi dan konsultasi di antara para pemangku kepentingan yang terkait dengan penyelenggaraan SP2020. Panduan tentang manajemen risiko sesungguhnya sudah dibakukan oleh Badan Standardisasi Nasional dalam bentuk Standar Nasional Indonesia (SNI) ISO 31000 Manajemen Risiko yang telah teruji keandalannya dalam berbagai organisasi bahkan di level internasional pada berbagai sektor.
Pelajaran lain adalah soal komunikasi dan koordinasi. Sesungguhnya ini dapat dianggap sebagai bagian dari crisis planning. Yang perlu diperhatikan bukan hanya strategi komunikasi dan koordinasi di dalam BPS secara internal, melainkan juga strategi komunikasi dan komunikasi dengan pihak-pihak eksternal termasuk dengan publik. ABS terkesan tertatih-tatih dalam perancangan maupun penerapan strategi komunikasi massa pasca kejadian cyber attacks terhadap 2016 eCensus. Sebagai contoh, ada penilaian bahwa ABS kurang memperhatikan percakapan di media sosial sebagai salah satu key risk indicator. Padahal ABS mempunyai rumus yang bagus mengenai kepercayaan publik, yakni PUBLIC TRUST = (EASY + INCLUSIVE + RESPONSIVE) / NEGATIVE PUBLIC VIEWS. Implikasinya, untuk memastikan adanya public trust (kepercayaan publik), perlu diciptakan pandangan publik yang positif, dan oleh karena itu pemantauan atas pandangan publik (antara lain melalui media sosial) perlu dilakukan secara berkelanjutan. Seiring dengan itu, survei harus dibuat sedemikian rupa sehingga mudah, inklusif, dan responsif. Palmer dan Stathis (2019) melaporkan upaya-upaya ABS untuk memperbaiki berbagai sistem pasca penyelenggaraan 2016 eCensus.
Poin terakhir terkait dengan pola hubungan kemitraan dengan para penyedia jasa. ABS terlanjur sangat percaya pada IBM, karena memang reputasinya bagus serta adanya pengalaman memuaskan dalam kerja sama yang bersejarah cukup panjang di antara kedua lembaga itu. Namun ternyata kepercayaan itu membuat ABS lengah dalam menerapkan tata kelola yang baik (good governance). Salah satu prinsip dalam good governance adalah independensi. Ternyata prinsip itu tidak diterapkan dalam verifikasi keandalan sistem cyber security; ABS abai dan tidak melibatkan pihak independen dalam uji keandalan sistem keamanan itu. Akibat kelengahan ini, seperti kita ketahui, ternyata fatal. Kerja sama dengan mitra ternyata juga menciptakan risiko ketergantungan yang berlebihan, khususnya kemitraan yang terkait dengan penggunaan instrumen (software maupun hardware) berteknologi tinggi. Secara lebih khusus perlu dipastikan bahwa tata kelola proyek (project governance) dapat terselenggara secara konsisten.
Apabila sudah ada keyakinan yang cukup memadai tentang penyelenggaraan manajemen risiko dalam rangka SP2020, maka BPS dapat melangkahkan kaki secara lebih mantap dalam proyek nasional yang amat penting itu. Manajemen risiko bukanlah obat segala penyakit. Namun sebuah organisasi tanpa manajemen risiko bagaikan sebuah mobil yang tengah berjalan di malam hari yang gelap tanpa diperlengkapi dengan lampu sorot. Sopir dan para penumpangnya was-was di sepanjang perjalanan.
Sumber: Statistical and Policy Brief (Forum Masyarakat Statistik, 2019). Diterbitkan atas izin penulis dan penerbit.
Daftar Pustaka
MacGibbon, A. Review of the events surrounding the 2016 eCensus. Office of the Cyber Security Special Adviser, Canberra, Australia, 2016.
Palmer, S. & N. Stathis. Learning from the 2016 Australian census and ensuring effective issues management during ABS’ most challenging sensitive and divisive data collection. Conference of European Statisticians, Gdansk, Poland, 12-14 June 2019.