Modul literasi digital: Upaya tanggung jawab bersama menjaga data pribadi di ruang digital

Sebuah postingan Instagram viral di lini masa. Unggahan yang dibagikan akun Instagram @evan_neri.tfft ini menunjukkan modus baru kejahatan siber yang banyak memakan korban. Memuat percakapan di sebuah aplikasi berbagi pesan dari seorang yang mengaku kurir ekspedisi J&T.

Si ‘kurir’ membagikan dokumen berupa foto dalam format APK. “Kalau tidak jeli dan hanya melihat judul file, bakal terkecoh pingin nge-klik dan unduh file-nya. Perhatikan dulu ekstensinya apa. File dengan ekstensi APK adalah aplikasi yang berjalan untuk OS Android,” sebut akun tersebut.

Dia menambahkan jika korban terlanjur mengunduh file, tanpa disadari saldo mobile banking dalam HP korban bisa ludes. Hal ini terjadi karena file yang dikirimkan pelaku dan kemudian diunduh korban adalah exploit yang berjalan di latar belakang untuk mengambil data korban. 

“Seperti aplikasi perbankan yang dibuka oleh korban lalu mengintip user ID dan password atau istilah dalam dunia hacking disebut SNIFFING, waspada ya teman-teman,” ingatnya.

Postingan ini pun dibanjiri komentar hingga 20.953. Banyak diantaranya adalah para korban yang mengisahkan modus ini mampu menguras isi rekening bank. Usut punya usut, sangat besar kemungkinan modus ini menggunakan malware RAT yang jika ter-download melalui pesan akan otomatis terinstal dan bahkan mengontrol HP dari jarak jauh.

“Termasuk menjalankan semua aplikasi yang terinstal di HP tersebut tanpa diketahui oleh pemilik HP,” tutupnya.

Direktur Jenderal Aplikasi Informatika, Kementerian Komunikasi dan Informatika (Kemenkominfo) Semuel Abrijani Pangerapan mengatakan modus operandi di ruang digital terus berganti, yang terbaru adalah dengan pesan ‘nyasar’ dari kurir ini.

“Mereka tahu soal minta OTP (one-time password) bisa berhasil dan kemudian kita kampanye OTP jangan pernah diberikan ke orang, eh dia pakai modus ini karena tahu orang marak belanja online,” sebutnya saat peluncuran ‘Diseminasi Modul Literasi Digital Perlindungan Data Pribadi di Marketplace’ oleh Tokopedia berkolaborasi dengan Center for Digital Society (CfDS) Fakultas Ilmu Sosial dan Ilmu Politik Universitas Gadjah Mada, di Tokopedia Tower, Jakarta, Kamis (15/12).

Modus ini disebut social engineering atau rekayasa sosial yang memanfaatkan kelemahan-kelemahan manusia. Misalnya perilaku refleks saat mendapat pesan sehingga kurang menalar saat ia menjadi target penipuan. Karena itu, Semuel mengingatkan perlunya masyarakat kritis terhadap pesan apapun yang masuk ke ponsel mereka.

“Paling enggak berhenti sejenak untuk berpikir, apa sih ini? You need 10 second, apa ini, kamu siapa, kenapa. Pertanyaan ini yang perlu dilakukan. Tapi kalau sudah yang refleks bahaya,” ungkapnya.

Kemenkominfo sendiri, lanjutnya, sudah menerima ratusan ribu laporan penipuan. Pihaknya juga sudah meminta ratusan ribu akun bank yang dilaporkan milik penipu untuk diblokir. Namun, tetap saja modus-modus operandi ini tidak bisa dicegah karena terus bermunculan dengan berganti-ganti.

“Yang bisa dilakukan dengan menceritakan pengalaman-pengalaman ini supaya lebih waspada,” ungkapnya.

Kemenkominfo juga terus bekerjasama dengan lembaga lain misalnya Otoritas Jasa Keuangan (OJK) untuk mempersulit ruang gerak para penjahat siber. Selain itu sosialisasi dan edukasi juga gencar dilakukan agar masyarakat lebih waspada memperlakukan data pribadi mereka di ruang digital.

Modus operandi rekayasa sosial seperti kasus ‘kurir’ di atas, menurut Executive Secretary of Partnership and Research CfDS Anisa Pratita Kirana Mantovani, paling banyak terjadi. 

“Belum ada kajian khusus kebocoran data dari marketplace. Tapi temuan-temuan yang kami dapat, modus social engineering atau rekayasa sosial itu yang banyak terjadi,” katanya saat berbincang dengan Alinea.id, Kamis (15/12).

Selain rekayasa sosial, ada pula beberapa modus operandi pencurian data di marketplace yaitu hacking berupa merekam aktivitas digital dan gawai melalui software yang ditanam atau wi-fi publik. Kemudian, phising atau meminta langsung kepada pemilik data baik secara sadar maupun tidak sadar. 

Lalu, carding berupa pencurian nomor kartu kredit, kemudian digunakan pelaku untuk bertransaksi, dan terakhir skimming yang berarti pencurian data kartu debit atau kartu kredit untuk menarik dana di rekening korban.

Selain itu, Anisa menambahkan kasus penipuan dengan modus menggunakan data pribadi dan informasi sensitif lainnya seperti OTP dan PIN juga cukup banyak terjadi di Indonesia. Mulai dari yang termudah adalah mengirim Short Message Service/SMS. 

“Selamat anda menang undian, dan disuruh mengisi link dengan data pribadi dan pada akhirnya diminta serahkan OTP atau kode dan tiba-tiba saldo kita habis dan baru sadar kita jadi korban penipuan,” ungkapnya saat mempresentasikan Modul Literasi Digital: “Kenali Berbagai Cara Melindungi Data Pribadimu di Marketplace” hasil kolaborasi CfDS UGM dengan Tokopedia.

Anisa pun membagikan ciri adanya modus penipuan phising yakni SMS menang undian yang disertai link. Di dalam link, pengguna akan diminta mengisi sejumlah data seperti nomor KTP dan nomor rekening. Kemudian, korban akan mendapatkan notifikasi yang meminta OTP dan PIN pada akun marketplace.

Jika diberikan maka akan ada notifikasi transaksi padahal korban tidak melakukan transaksi. Ketika dikonfirmasi pun transaksi tidak dapat dibatalkan, saldo di akun marketplace pun akhirnya berpindah tangan.

Anisa juga membagikan tips untuk mencegah terkena phising yakni selalu melihat nama marketplace maupun situs tidak terdaftar dan mencurigakan. Apalagi jika ada permintaan untuk memberikan data pribadi, OTP, dan PIN pada otoritas yang tidak resmi.

“Jika ada, disitu kita jadi target pencurian data pribadi atau penipuan. Jangan sebarkan OTP ke orang lain termasuk ke oknum-oknum yang mengaku jadi bagian dari marketplace,” tegas dia.

Lalu apa sajakah data yang termasuk pribadi? Pertama, kata dia, adalah data yang umum seperti nama, tempat tanggal lahir, kewarganegaraan, yang mengarah ke satu individu spesifik. Kedua, tambahnya, ada juga data pribadi yang lebih spesifik dan rentan bocor sehingga membutuhkan perlindungan khusus. Misalnya, data biometrik, data genetika, data anak, data rekam medis, catatan kejahatan, data keuangan, dan lainnya.

Berdasarkan riset yang dilakukan CfDS, bebernya, 2.400 responden yang tersebar di seluruh Indonesia mayoritas (98,9%) mengaku tahu apa itu data pribadi. “Tapi ketika disuruh identifikasi hanya 18,4% yang bisa sebutkan identifikasi data pribadi,” sebutnya. 

Lalu, riset juga mencatat seberapa sering modus operandi kirim SMS chat yang mengarah ke pencurian data pribadi, hasilnya terjadi pada 29,2% responden. Menurutnya, dari 29% atau 1.700 responden, 16,4% jadi korban.

“Berarti lebih dari separuh targeted victim beneran jadi victim, berarti mereka enggak sadar dicuri data pribadinya,” ungkapnya.

Karena itu, tambahnya, konsumen perlu melindungi data pribadi saat bertransaksi di marketplace. “Tidak hanya bijak dalam menentukan penjual mana yang terbaik, penting untuk menjaga data pribadi dan memperhatikan bagaimana marketplace tersebut mengelola privasi kita,” ungkap Anisa. 

Sayangnya, data pribadi juga kerap dibagikan oleh masyarakat tanpa disadari. Hal ini dilakukan dengan memakai fitur-fitur di media sosial yang menyebutkan nama anak, nama sekolah anak, tanggal lahir, dan sebagainya.

Indonesia sendiri sudah mempunyai perangkat regulasi terkait data pribadi yakni UU Nomor 27 tahun 2022 tentang Perlindungan Data Pribadi, UU Informasi dan Transaksi dan Transaksi Elektronik, UU Keterbukaan Informasi Publik, PP No 71 tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik, dan Permenkominfo No 20 tahun 2016 tentang Perlindungan Data Pribadi Dalam Sistem Elektronik.

“Sehingga kita sebagai subjek data memiliki hak untuk mendapatkan kejelasan dan ikut dalam proses pemrosesan data di platform digital,” ungkapnya.

Di marketplace misalnya, ada Kebijakan Privasi yang merupakan komitmen yang dilakukan oleh platform dalam menjaga kerahasian informasi pribadi para penggunanya. Secara umum, kebijakan privasi mengungkapkan beberapa atau semua cara bagaimana platform marketplace mengatur, mengumpulkan, menggunakan, mengungkapkan, dan mengelola informasi pribadi dari pelanggannya.

Anisa bilang setiap pengguna tentu saja dapat mengakses kebijakan privasi yang diterapkan oleh marketplace yang biasanya terdapat di bagian bawah halaman utama di aplikasi maupun website. Namun, yang juga penting adalah tanggung jawab setiap individu menjaga data pribadinya di marketplace.

Kolaborasi untuk literasi digital

Sebagai salah satu upaya menjaga ruang digital bersama, marketplace Tokopedia  menggandeng Center for Digital Society (CfDS) Fakultas Ilmu Sosial dan Ilmu Politik Universitas Gadjah Mada dengan meluncurkan ‘Diseminasi Modul Literasi Digital Perlindungan Data Pribadi di Marketplace’. 

Modul literasi tersebut ditujukan sebagai salah satu dukungan kepada program Gerakan Nasional Literasi Digital, yang dapat diakses oleh masyarakat secara bebas, untuk menciptakan keamanan dan kenyamanan bertransaksi daring. Modul literasi ini merupakan salah satu bentuk implementasi dari MoU antara Tokopedia dan Kementerian Komunikasi dan Informatika RI mengenai Pengembangan Digitalisasi UMKM, Peningkatan Literasi Digital, serta Penyiapan Talenta Digital.

Co-Founder and Vice Chairman Tokopedia Leontinus A. Edison mengatakan, Tokopedia selalu memiliki komitmen digital yang sama dengan menciptakan ekosistem bagi semua orang. “Terutama sejak pandemi kita lihat pertumbuhannya. Di awal 2020 merchant kita 7,7 juta, setelah pandemi merchant kita bertambah jadi 12 juta lebih, dalam 2,5 tahun lebih,” katanya.

Untuk itu, marketplace dalam ekosistem GoTo ini berupaya menggencarkan literasi digital. Salah satunya, melalui kolaborasi dengan berbagai mitra strategis, termasuk Kemenkominfo RI dan CfDS, untuk menciptakan Super Ecosystem di mana semua orang bisa memulai dan menemukan apapun, sekaligus mewujudkan misi besar untuk Indonesia yaitu mencapai pemerataan ekonomi secara digital.
 
“Tokopedia bersama CfDS, pemerintah kita berkomitmen memperkuat dan memperluas pemahaman digitalisasi untuk UKM-UKM merchant kita, kedua masyarakat pada umumnya yang jadi konsumen dan ketiga talenta digitalnya,” ungkapnya.

Lebih lanjut, inisiasi modul literasi digital kerjasama dengan CfDS disusun agar transaksi di marketplace lebih aman dan nyaman. “Ini penting banget supaya UMKM bisa belajar dan masyarakat bisa mengerti,” tambah dia.

Setelah UU PDP terbit

Dirjen Aptika Semuel  Pangerapan pun mengapresiasi upaya Tokopedia bersama CfDS dengan menyusun modul literasi sebagai bentuk kolaborasi dan tanggung jawab bersama dalam melindungi ruang digital. Terlebih, Undang-undang Nomor 27 tahun 2022 tentang Perlindungan Data Pribadi akhirnya disahkan pada 17 Oktober lalu.

“Dari UU ini ada amanah yang harus dilakukan. Stakeholder perlindungan data pribadi, ada subjek data, pengendali data, prosesor data, pengawasnya,” sebutnya.

Namun dalam praktiknya, jika user masih melakukan kecerobohan, komplain akan tetap menyasar ke controller data. Karena itulah, menurut Semuel, modul ini penting sebagai bentuk edukasi kepada masyarakat.

“Karena di UU ini masyarakat sebagai subjek data dikasih hak dan punya kewajiban bagaimana menjaganya. Tokopedia punya SOP bagus, teknologi mutakhir jaga keamanan data tapi penggunanya tidak sama saja yang dikomplain Tokopedia, CS (customer service) bisa pusing,” ungkapnya.

Modul literasi digital ini, kata Semuel, penting untuk mengejawantahkan secara langsung wujud perlindungan data yang bisa dipahami secara komprehensif. Dus, pemahaman perlindungan data pribadi tidak hanya pada marketplace sebagai controller data tapi juga penggunanya dalam hal ini konsumen.

Lebih lanjut, lahirnya UU PDP yang telah lama ditunggu-tunggu juga menjadi harapan baru bagi setiap pelaku di ruang digital. Aturan ini direspon positif bagi marketplace sebagai salah satu pedoman. 

Leontinus menilai banyak hal-hal yang positif dari lahirnya UU PDP. Tokopedia berkomitmen untuk melindungi setiap Data Pribadi Pengguna yang disimpan dalam sistemnya, serta melindungi data tersebut dari akses, penggunaan, modifikasi, pengambilan dan/atau pengungkapan tidak sah. 

Bahkan Tokopedia memiliki divisi tersendiri yang bertugas melakukan pengaturan dan pengawasan akan aktivitas pemrosesan data pribadi (Tokopedia Data Protection and Privacy Office). Tidak hanya itu, Tokopedia sudah mendapatkan sertifikasi ISO 27001, ISO 27701, dan PCI DSS sebagai bagian dari komitmen untuk menjaga data pribadi para konsumen.

Menurutnya, adanya UU PDP akan positif terhadap perkembangan perlindungan data dan Tokopedia dipastikan akan bersama-sama mensukseskan hal ini. “Ini milestone yang penting bukan cuma buat Tokopedia tapi juga buat Indonesia,” tutupnya.