Catatan Kunjungan ke Pengadilan Soal SQL Injection

Ringkasan

• Menurut Freedom of Information Act (FOIA) negara bagian Illinois, sebagian besar informasi yang dimiliki lembaga publik wajib dibuka, tetapi Kota Chicago menolak permintaan FOIA dengan alasan bahwa skema database (schema) dapat menimbulkan risiko keamanan. Menanggapi hal itu, jurnalis data Matt Chapman mengajukan gugatan, dan melalui kesaksian ahli berhasil membuktikan bahwa skema bukan ancaman keamanan, sehingga menang di pengadilan tingkat pertama dan banding, namun pada akhirnya kalah di Mahkamah Agung Illinois.
• Mahkamah Agung menafsirkan bahwa skema database termasuk dalam kategori "file layout" sehingga tidak wajib diungkapkan, dan keputusan ini membuka jalan bagi lembaga publik untuk menolak keterbukaan informasi dengan menjadikan struktur database sebagai alasan. Namun, rancangan undang-undang untuk memperbaiki masalah ini (SB0226) telah diajukan, yang mencakup ketentuan agar lembaga publik menjelaskan struktur database sehingga pemohon informasi dapat meminta kueri data yang spesifik.
• RUU tersebut merupakan langkah penting untuk memperkuat transparansi informasi, dan perlu ada dorongan kepada para legislator daerah agar mendukung pengesahannya.

Latar belakang

• Freedom of Information Act (FOIA) Illinois tergolong kuat, dan dalam banyak kasus informasi yang dikumpulkan lembaga publik dianggap sebagai milik publik.
• Permintaan informasi dapat diajukan dengan mudah melalui email, dan secara hukum tanggapan atas permintaan itu harus diberikan dalam waktu 5 hari.
• Keterbatasan utama FOIA adalah tidak dapat memaksa pembuatan catatan baru.
• Skema database menjelaskan struktur sebuah database, dan menjadi semakin penting seiring makin banyaknya informasi lembaga publik yang disimpan di dalam database.

Matt Chapman vs. Kota Chicago

• Matt Chapman adalah seorang ahli yang menjalankan jurnalisme data melalui permintaan FOIA dalam skala besar.
• Sistem CANVAS milik Chicago adalah database besar yang mengelola data tiket parkir secara terpusat; Matt meminta skema database ini tetapi ditolak.
• Chicago menolak dengan alasan bahwa pengungkapan informasi tersebut dapat mengancam keamanan sistem, dan Matt kemudian menggugat keputusan itu.

Saya naik ke kursi saksi

• Ada perdebatan mengenai apakah pengungkapan skema database akan mengancam keamanan.
• SQL injection adalah salah satu metode utama serangan terhadap database, dan muncul pembahasan apakah skema database dapat digunakan dalam serangan semacam itu.
• Saya memberikan kesaksian dengan menekankan bahwa serangan SQL injection tidak dilakukan melalui skema database.

Jejak berdarah hukum

• Mereka menang di pengadilan tingkat pertama, tetapi Chicago segera mengajukan banding.
• Di tingkat banding, ditekankan bahwa pengungkapan informasi harus memiliki kemungkinan yang sangat tinggi untuk mengancam keamanan agar dapat ditolak.
• Pada akhirnya, Mahkamah Agung Illinois memutuskan bahwa skema database dapat dianggap sebagai file layout.

Situasi saat ini

• Lembaga publik di Illinois kini memiliki kewenangan untuk menolak pengungkapan skema database.
• Database tidak seharusnya menjadi alat untuk menyembunyikan informasi, dan RUU baru SB0226 dapat menjadi solusi untuk hal ini.
• RUU tersebut menyatakan bahwa struktur database harus dijelaskan secara memadai agar pemohon dapat meminta kueri yang spesifik.