Fitur Pengaman TOTP pada LPSE KemenPUPR, kebijakan berdasarkah?

    Kemarin, 24 Oktober 2021 saya kaget ketika hendak login ke https://lpse.pu.go.id/eproc4/ soalnya baru pertama kali dihadapkan pada prmintaan Kode TOTP, tentunya saya bingung apakah ini prosedur baru pada SPSE versi 4.4. Untuk menjawab kebingungan itu, saya coba akses ke https://lpse.lkpp.go.id/eproc4/# namun LPSE terrsebut sama sekali tidak meminta Kode TOTP. Sebagai orang yang berlatar Ilmu Kebijakan Publik yang memahami prosedur kebijakan maka coba saya cari penjelasan di Keputusan Deputi II Nomor 19 Tahun 2021 Panduan Penyesuaian Penggunaan Aplikasi Sistem Pengadaan Secara Elektronik Versi 4.4 dan 4.3 untuk Pelaksanaan Tender/Seleksi berdasarkan Peraturan Lembaga Kebijakan Pengadaan Barang/Jasa Pemerintah Nomor 12 Tahun 2021 tentang Pedoman Pelaksanaan Pengadaan Barang/Jasa Pemerintah Melalui Penyedia (KDIILKPP 19/21) dan User Guide SPSE 4.4 Untuk Pelaku Usaha, namun tetap tidak menjawab kebingungan saya.

Seketika saja saya teringat postingan kawan sehari yang lalu di medsos yang memohon bantuan atas permasalahannya terkait TOTP ini, saya lihat sangat minim tanggapan dan saya juga bingung mau nanggapi apa soalnya baru dengar juga istilah TOTP ini. Saya cek postingan lain juga sudah mulai muncul kebingungan-kebingungan serupa. Coba saya tanya melalui email ke Helpdesk.spse@pu.go.id dan memperoleh tanggapan 32 menit kemudian, ternyata ada tambahan aplikasi baru yang mereka sebut TIME-BASED ONE-TIME PASSWORD (TOTP). 

Pihak Helps Desk menerangkan bahwa :

TOTP atau yang sudah biasa dikenal sebagai salah satu jenis Two-Factor Authentication (2FA). User cukup melakukan Aktivasi TOTP menggunakan Smartphone (Android/iOS) dengan Aplikasi 2FA Gratis (Contoh: Google Authenticator, Tufa, FreeOTP, dan lain-lain) yang bisa didownload melalui Play Store (Android) dan App Store (iOS). Fitur TOTP ini digunakan sebagai salah satu peningkatan standar keamanan yang membutuhkan 2 proses verifikasi. Selain menggunakan User ID dan Password, User juga wajib menggunakan Security Code yang di-generate melalui Aplikasi 2FA tersebut. Cara ini terbilang lebih aman serta terjamin keamanannya karena terintegrasi dengan Smartphone pemilik akun. Sehingga kemungkinan akan terjadinya pembajakan akun dapat ditekan seminimal mungkin. Berbeda dengan fitur One-time Password (OTP), User/Pemberi Layanan bisa dikenakan biaya tambahan jika mengirimkan OTP melalui Text Message (SMS/Whatsapp) kepada User. Untuk saat ini penggunaan TOTP pada saat login untuk seluruh User bisa di enable/disable bergantung kepada kebijakan yang berlaku. Jika dibuat enable, User Login akan menggunakan TOTP/2FA dan jika dibuat disable, User Login akan menggunakan Two-step Login.

catt: Click disini untuk meliha Petunjuk teknis & QnA terkait TOTP

 

Segera saya coba, langkah awal men-dowload aplikasi Google Authenticator pada Play Store, agak ragu juga serasa keamanan yg ditawarkan LPSE dipindahkan ke pihak ketiga yaitu Perusahaan Google, mana lagi bahwa  user id dan password kita biasanya telah disimpan perusahaan tersebut soalnya biasanya aktivasi LPSE didaftarkan pake @gmail.com dan browsing juga pake google Chrome, demi cari makan biar bisa ikut tender terpaksalah menyerah dan ikuti langkah selanjutnya. Aktivasi dan login berhasil, kemudian saya coba fitur enable/disable dan meskipun sudah di disable-kan namun hasilnya tetap enable...mulai bingung, kemudian coba reset TOTP dan masukkan alamat email namun sudah jalan 3 hari ga kunjung dapat email dan akibatnya ga bisa akses tu LPSE, untungnya saya ga sendirian, penyedia lain mulai pada komplen di medsos namun saya ga bisa membayangkan bagaimana nasib teman-teman lain yang situasinya hendak upload penawaran.

Melihat permasalahan tersebut, sebagai Layanan Publik tentunya KemenPUPR harus memikirkan kepentingan penyedia, bagaimana sebanyak 28.773 penyedia mengakses LPSE KemenPUPR. Bagaimana tujuan memberikan pengamanan menjadi menghambat dan menghalangi penyedia dalam mengikuti kompetisi Tender, belum lagi secara keamanan sistim IT telah melibatkan  Badan Siber dan Sandi Negara. Apa yang hendak diamankan dengan TOTP ini ? toh dalam satu perusahaan yang diberikan akses untuk mencari paket, mendaftar, mendownload  dokumen dan mengupload dipegang beberapa orang. Untuk pengamanan agar dokumen penawaran tidak bocor sudah melibatkan enkripsi Apendo. Dari sisi penyedia kalo memang TOTP mengunci satu perangkat maka terpaksa harus membeli perangkat tersebut untuk dipakai bersama-sama para karyawan, sangat tidak efektif kalo kegiatan umum tersebut dikuasai hanya direktur atau karyawan tersebut, lagian sudah ada Pakta Integritas dan disclaimer bahwa user ID dan pasword adalah tanggung jawab masing-masing penyedia. 

Dari sisi kebijakan bicara SPSE LPSE maka kita bicara ketentuan BAB X tentang PENGADAAN BARANG/JASA SECARA ELEKTRONIK pada PS 16/18. Sangat jelas disebutkan bahwa LKPP mengembangkan SPSE dan sistem pendukung, lebih lengkapnya sebagai berikut:

Layanan Pengadaan Secara Elektronik

Pasal 69

1. Penyelenggaraan Pengadaan Barang/Jasa dilakukan secara elektronik menggunakan sistem informasi yang terdiri atas Sistem Pengadaan Secara Elektronik (SPSE) dan sistem pendukung.
2. LKPP mengembangkan SPSE dan sistem pendukung.

Pasal 71

(1)  Ruang lingkup SPSE terdiri atas:

1. Perencanaan Pengadaan;
2. Persiapan Pengadaan;
3. Pemilihan Penyedia;
4. Pelaksanaan Kontrak;
5. Serah Terima Pekerjaan;
6. Pengelolaan Penyedia; dan
7. Katalog Elektronik.

(2)  SPSE sebagaimana dimaksud pada ayat (1) memiliki interkoneksi dengan sistem informasi perencanaan, penganggaran, pembayaran, manajemen aset, dan sistem informasi lain yang terkait dengan SPSE.

(3)  Sistem pendukung SPSE meliputi:

1. Portal Pengadaan Nasional;
2. Pengelolaan Sumber Daya Manusia Pengadaan
3. Barang/Jasa;
4. Pengelolaan advokasi dan penyelesaian
5. permasalahan hukum;
6. Pengelolaan peran serta masyarakat;
7. Pengelolaan sumber daya pembelajaran; dan Monitoring dan Evaluasi.
8. Bagian Kedua

Pasal 73

(1)  Kementerian/Lembaga/Pemerintah Daerah menyelenggarakan fungsi layanan pengadaan secara elektronik.

(2)  Fungsi layanan pengadaan secara elektronik sebagaimana dimaksud pada ayat (1) meliputi:

pengelolaan seluruh sistem informasi Pengadaan Barang/Jasa dan infrastrukturnya;

pelaksanaan registrasi dan verifikasi pengguna seluruh sistem informasi Pengadaan Barang/Jasa; dan

pengembangan sistem informasi yang dibutuhkan oleh pemangku kepentingan.

(3)  LKPP menetapkan standar layanan, kapasitas, dan keamanan informasi SPSE dan sistem pendukung.

(4)  LKPP melakukan pembinaan dan pengawasan layanan pengadaan secara elektronik.

(5)  Ketentuan lebih lanjut mengenai fungsi layanan pengadaan secara elektronik sebagaimana dimaksud pada ayat (2) diatur dengan Peraturan Kepala Lembaga. 

Terkait LPSE, cukup jelas bahwa tugas dan tanggungjawabnya ada pada LKPP, telah dilaksanakan oleh PLKPP 12/21 dimana pada Pasal 6 ayat 3-nya menyebutkan bahwa "Ketentuan lebih lanjut mengenai Sistem Pengadaan Secara Elektronik (SPSE) dan sistem pendukung sebagaimana dimaksud pada ayat (1) ditetapkan dalam Keputusan Deputi" dimana pelaksannaannya telah dituangkan dengan diluarkannya Keputusan Deputi II Nomor 19 Tahun 2021 Panduan Penyesuaian Penggunaan Aplikasi Sistem Pengadaan Secara Elektronik Versi 4.4 dan 4.3 untuk Pelaksanaan Tender/Seleksi berdasarkan Peraturan Lembaga Kebijakan Pengadaan Barang/Jasa Pemerintah Nomor 12 Tahun 2021 tentang Pedoman Pelaksanaan Pengadaan Barang/Jasa Pemerintah Melalui Penyedia (KDIILKPP 19/21) dan User Guide SPSE 4.4.

Update (16/12/21): berdasarkan surat jawaban LKPP, disebutkan bahwa Payung hukum penambahan fitur Two-Factor Authentication (2FA) Login Penyedia dan Non Penyedia menggunakan mekanisme Time-based One-time Password (TOTP) pada Aplikasi SPSE v4.4 dapat mengacu pada Keputusan Deputi Bidang Monitoring-Evaluasi dan Pengembangan Sistem Informasi Nomor 13 Tahun 2021 tentang Panduan Penggunaan Aplikasi Sistem Pengadaan Secara Elektronik Versi 4.4 pada diktum kesatu sampai dengan diktum ketujuh; dan File User Guidenya bernama User Guide TOTP SPSE v4.4 Penyedia dan Non Penyedia (Desember 2021) telah diupload pertanggal 11/12/21 dan dapat diunduh pada link berikut https://inaproc.id/unduh.....silahkan dianalisa sendiri.

    Menurut pandangan saya, KemenPUPR dalam hal ini telah melakukan Pengembangan Sistem Pendukung SPSE berupa penambahan fitur TOTP, alasannya sederhana yaitu pertama tidak adanya fitur tersebut dalam User Guide SPSE 4.4, kedua bahwa pengembangan tersebut masuk ruang lingkup tugas dan tanggungjawab LKPP dan saya juga belum melihat adanya kebijakan pelepasan tanggungjawab dari LKPP ke KemenPUPR. Bisa saja tindakan ini berdasarkan Peraturan Menteri Pekerjaan Umum Nomor 207 tahun 2005 tentang Pedoman Pengadaan Jasa Konstruksi Pemerintah Secara Elektronik.

Bagaimana dengan LPSE lain, ada 712 LPSE diseluruh Indonesia, jika masing-masing buat TOTP dan hanya memilih salah satu diantara Google Authenticator, Tufa atau FreeOTP saja maka bisa dibayangkan kacaunya Penyedia seperti apa? apalagi tidak ada sosialisasi, tanpa manual guide dan banyak BUGS-nya ....maksud baik jadi menghambat persaingan sehat. itu baru kendala 1 variabel jenis aplikasi 2FA saja, belum lagi kendala 1 User ID 1 Gadget Smartphone....kalo Penyedia pasti harus siapkan beberapa HP untuk 1 LPSE atau terpaksa kerjaan bolak-balik disable/able lalu unistal/instal aplikasi TOTP setiap kali ganti LPSE atau ganti HP...yang kaya itu operator dan perusahaan software 2FA, mengantisipasi ketergantungan Smartphone Android, Penyedia juga harus investasi HP Android yang bisa scan untuk ditinggal dikantor karena biasanya karyawan yang mengakses LPSE lebih dari satu.  Bagaimana dengan semangat "Kemudahan berusaha" yang digaungkan UU Cipta Kerja? Semoga Pejabat Publik di KemenPUPR bersedia mempertimbangkan kebijakan TOTP ini.

Update: 

LPSE Kementerian PUPR saat ini (25/09/2022) telah menggunakan SPSE Autheticator yang aplikasinya bisa diambil di Playstore.

Salam Kebijakan Publik.

Update : 

1. Saat ini LPSE kemenhub juga telah menerapkan TOTP

2. Artikel ini dibuat sebelum LKPP mengupload Manual Guide TOTP pertanggal 21 Desember 2021...untuk mendownloadnya silahkan klik disini