Banjir transaksi digital: Antara kebocoran dan perlindungan data pribadi

Konsumen digital di Indonesia terus mengalami peningkatan setiap tahunnya. Berdasarkan laporan kolaborasi yang dibuat oleh lembaga konsultan global Bain & Company bersama dengan Facebook bertajuk Digital Consumers of Tomorrow, Here Today (2020), konsumen digital Indonesia meningkat sebanyak 15% di 2020, lebih tinggi dari rata-rata peningkatan konsumen digital di negara kawasan yang hanya 5%-9%.

Total konsumen digital di Indonesia pada 2020, menurut laporan itu, mencapai 137 juta dan mewakili 68% dari total konsumen dengan rentang usia 15 tahun ke atas.

Di lain sisi, gelombang pandemi Covid-19 telah mempercepat proses transformasi digital di kawasan Asia Tenggara. Sebelumnya pada 2019, lembaga yang sama memperkirakan bahwa 310 juta konsumen digital baru akan tercapai dalam waktu lima tahun.

Namun, perkiraan tersebut datang lebih awal, hanya dalam setahun, diprediksi 310 juta pelanggan digital di ASEAN akan aktif bertransaksi di 2020. Diproyeksikan, pertumbuhan konsumen digital di Asia Tenggara akan terus meningkat hingga mencapai 340 juta konsumen di 2024.

Pandemi Covid-19 yang merebak akhir tahun lalu di China, dan masuk ke Indonesia pada Maret 2020 telah membuat pergerakan orang dan barang menjadi terhambat. Berbagai sektor ekonomi dipaksa malih rupa ke digital dan berhasil mendorong transaksi elektronik meningkat.

Hal tersebut dapat dilihat dari data transaksi uang elektronik yang dicatat oleh Bank Indonesia (BI). Sepanjang 2020, atau dari Januari hingga Agustus, total transaksi uang elektronik di dalam negeri mencapai Rp126,8 triliun atau sebesar 85% dari total transaksi sepanjang 2019 yang mencapai Rp145,16 triliun.

Peningkatan transaksi terbesar terjadi di April 2020 dengan nilai transaksi mencapai Rp17,55 triliun. Transaksi ini terjadi saat pembatasan sosial berskala besar (PSBB) pertama diberlakukan, yang bermuara pada masifnya belanja masyarakat melalui platform digital.

BI mengklaim, meningkatnya transaksi nontunai menunjukkan gejala perbaikan ekonomi dari dampak pandemi Covid-19, dan memberi gambaran meningkatnya penggunaan platform digital akibat dari percepatan digitalisasi ekonomi dan sistem keuangan di Indonesia.

"Transaksi ekonomi dan keuangan digital meningkat pesat sejalan dengan penggunaan platform dan instrumen digital di masa pandemi, serta semakin kuatnya preferensi dan akseptasi masyarakat akan transaksi digital," kata Gubernur BI, Perry Warjiyo, dalam video conference Rapat Dewan Gubernur BI, Selasa (13/10).

Sementara itu, lembaga survei asal Jerman, Statista, memperkirakan nilai transaksi elektronik di Indonesia akan mencapai US$35,718 juta di 2020 atau setara dengan Rp524,7 triliun, dengan kurs Rp14.690 per dolar AS. Serta, diproyeksikan meningkat rata-rata 15,7% setiap tahun hingga 2024.

Lebih jauh, peningkatan transaksi elektronik di dalam negeri dapat dilihat dari pertumbuhan transaksi di sejumlah e-commerce atau platform digital lainnya di Indonesia. Ketua Umum Asosiasi E-Commerce Indonesia Bima Laga mengungkapkan, secara umum sejak pandemi Covid-19 merebak, terjadi peningkatan transaksi elektronik di e-commerce hingga tiga digit dibandingkan waktu normal.

Namun demikian, peningkatan transaksi hingga tiga digit tersebut tidak dijelaskan secara rinci dan hanya berlaku untuk produk tertentu saja. "Jika kita bicara keseluruhan tren, maka rata-rata kenaikan ini tembus tiga digit dari masa sebelum pandemi. Namun harus digarisbawahi kenaikan ini terjadi pada kategori produk tertentu," katanya kepada Alinea.id, Kamis (15/10).

Dia menjelaskan, setiap e-commerce platform mengalami pertumbuhan lebih tinggi di masa pandemi untuk beberapa kategori. Secara umum, kategori kebutuhan barang harian mengalami pertumbuhan yang lebih tinggi, diikuti barang hobi, seperti alat olahraga dan berkebun, serta produk makanan dalam kemasan.

Salah satu toko digital, Shopee, misalnya, mengalami peningkatan pertumbuhan transaksi pada kuartal II-2020 hingga mencapai 260 juta transaksi, dan jika dirata-rata dalam sehari marketplace tersebut berhasil mencatatkan jumlah transaksi sebanyak 2,8 juta transaksi.

"Jika dibandingkan dari tahun lalu kami mencatat peningkatan lebih dari 130%," kata Direktur Shopee Indonesia Handhika Jahja," saat dihubungi Alinea.id, Kamis (15/10).

Demikian juga dengan Tokopedia yang mencatat kenaikan penjualan selama kuartal-III 2020. Bila dirinci, kategori makanan dan minuman meningkat hampir 3 kali lipat. Kategori rumah tangga pun meningkat lebih dari 2 kali lipat, sementara produk kesehatan hampir 2,5 kali lipat, dan kategori perawatan tubuh lebih dari 2 kali lipat.

“Kategori makanan dan minuman, kesehatan, rumah tangga, elektronik, serta handphone dan tablet menjadi lima kategori paling populer selama kuartal III-2020,” kata Vice President of Corporate Communications Tokopedia Nuraini Razak, Selasa (13/10).

Sementara data Gojek Indonesia menunjukkan, transfer uang elektronik antar GoPay pada Maret-Mei 2020 mengalami peningkatan hingga empat kali lipat dibandingkan periode Januari-Februari 2020.

Selanjutnya, secara berurutan transaksi menggunakan GoPay untuk investasi reksa dana naik dua kali lipat, transaksi konsultasi kesehatan di Halodoc naik dua kali lipat, transaksi untuk membeli voucher game naik tiga kali lipat, serta transaksi donasi dengan GoPay naik dua kali lipat hingga mencapai Rp45 miliar di periode Maret-Mei 2020.

Berkaca dari kebocoran Tokopedia dan pentingnya UU PDP

Tingginya jumlah transaksi digital tersebut menjadi perhatian khusus berbagai kalangan. Peningkatan transaksi elektronik menunjukkan jalannya roda perekonomian di satu sisi, namun memunculkan kekhawatiran di sisi lainnya. Utamanya terkait dengan keamanan transaksi dan perlindungan data konsumen.

Kekhawatiran tersebut mengencang setelah salah satu marketplace terbesar di Indonesia, yaitu Tokopedia dikabarkan telah mengalami kebocoran data penggunanya pada Mei lalu. Kabar ini terkuak setelah salah satu akun memperjualbelikan 91 juta data pengguna Tokopedia di forum internet; Raidsforum.

Data yang berisikan nama, jenis kelamin, alamat, nomor KTP dan KK, tempat tanggal lahir, usia, status lajang atau menikah itu dapat diunduh oleh member forum dengan menukarkan 8 kredit yang didapat setelah mendaftar dengan menggunakan PayPal untuk setiap 30 kredit yang dibeli seharga €8 atau setara Rp138.600.

Kasus serupa juga diduga terjadi di platform lain. Kebocoran tersebut, menurut Pakar Keamanan Siber, Pratama Pershada, menunjukkan lemahnya sistem perlindungan data pribadi di Indonesia, dan gagapnya penyedia platform digital dalam memberikan perlindungan khusus terhadap data pribadi penggunanya.

Belum adanya regulasi yang jelas mengatur pengenaan masalah perlindungan data pribadi tersebut, dinilai sebagai penyebab. Penyedia platform kesulitan mencari pegangan dalam menentukan data apa saja yang perlu dilindungi. Di sisi lain, pengguna sepenuhnya menggantungkan nasib informasi personalnya pada penyedia platform.

Hubungan berbasis kepercayaan ini pada praktiknya kerap disalahgunakan, yang menurut Pratama harus diatur dengan adanya regulasi yang jelas dan ketat.

"Tanpa ada regulasi yang ketat, para penyelenggara sistem transaksi elektronik (PSTE) di sektor pembayaran nontunai ini seperti tidak ada arahan khusus, apalagi soal keamanan," katanya kepada Alinea.id, Kamis (15/10).

Chairman Communication & Information System Security Research Center (CISSReC) ini mengungkapkan, sebagian besar data masyarakat yang dikelola oleh penyedia transaksi elektronik saat ini tidak dienkripsi, atau terlindungi dengan baik.

"Sebagian besar data masyarakat kita yang dikelola PSTE tidak dienkripsi. Pada kasus bocornya data Tokopedia hanya password yang dienkripsi," ujarnya.

Seringkali, sambungnya, pengamanan one time password (OTP) maupun verifikasi dua langkah masih sering berhasil ditembus peretas dengan berbagai model cara, salah satunya adalah dengan rekayasa sosial atau social engineering.

Rekayasa sosial dengan memanfaatkan data pengguna dan menyiasati celah dalam sistem informasi setiap platform, peretas dapat membobol rekening bank atau uang elektronik, bahkan mengambil alih aplikasi atau software yang digunakan oleh pengguna di perangkat digitalnya.

Selain itu, pengamanan infrastruktur milik platform digital juga masih dipertanyakan. Lokasi penyimpanan data, bagaimana data tersebut disimpan, sistem sekuritisasi, dan siapa saja yang bebas mengakses server penyimpanan data tersebut, menjadi hal penting yang harus diatur lebih jauh.

Belum lagi, lanjut Pratama, terkait dengan kualitas sumber daya manusia (SDM) yang dimiliki oleh penyedia layanan tersebut.

"Paling sering adalah soal SDM, apakah sudah sesuai standar kemampuannya. Seharusnya nanti diatur terutama soal standar teknologi serta keamanan yang digunakan," ucapnya.

Oleh karena itu, dia mendorong agar pemerintah segera mengesahkan Undang-Undang Perlindungan Data Pribadi (UU PDP) yang telah dibahas sejak tahun 2012 di DPR. Dengan adanya UU PDP, menurutnya tak hanya memberikan perlindungan kepada masyarakat Indonesia sebagai pengguna, tapi juga memberikan kepastian hukum.

"Kami lihat puluhan juta data masyarakat bocor, namun PSTE terkait tidak bisa dihukum atas kelalaiannya. Ini berbeda bila aturan main sudah jelas di UU PDP. Nantinya ada list apa saja yang harus dilakukan dan diterapkan oleh PSTE," tuturnya.

Pratama menambahkan, apabila ada kebocoran data, maka platform digital tersebut harus diaudit dan bila ditemukan ada list yang tidak dilakukan, maka masyarakat bisa menuntut sejumlah ganti rugi.

"Selama belum ada aturan dan pasal yang jelas dalam UU PDP, tidak ada aturan yang mengikat PSTE ini. Jadi yang ada sekarang adalah sejauh mana niat baik PSTE ini dalam melindungi data masyarakat," tukasnya.

Hal senada juga disampaikan oleh Ketua Program Studi Magister Teknik Elektro ITB Ian Yosef M. Edward. Menurutnya, belum adanya UU PDP di Indonesia menyulitkan masyarakat untuk membuat delik aduan perbuatan melawan hukum terhadap platform digital jika terjadi penyalahgunaan data pengguna.

Yosef mengatakan, saat ini adalah saat yang tepat bagi pemerintah dan DPR untuk mengesahkan UU PDP tersebut, mengingat tingginya lonjakan transaksi elektronik di dalam negeri yang dipicu oleh pandemi Covid-19.

Dia mengatakan, transaksi elektronik seharusnya menyediakan keamanan dan kenyamanan lebih bagi pengguna dan penyedia platform. Pasalnya, setiap transaksi telah diawasi oleh Otoritas Jasa Keuangan (OJK) dan Bank Indonesia (BI), sehingga tidak mungkin adanya transaksi menggunakan uang palsu.

"Seharusnya transaksi digital lebih aman dibandingkan manual, karena transaksinya diawasi atau telah melalui asesmen oleh OJK ataupun BI, dan tidak ada uang palsu," ucapnya kepada Alinea.id, Kamis (15/10).

Namun dia mengatakan, untuk mewujudkan aturan yang baik dalam UU PDP tersebut butuh melibatkan peran masyarakat, pemerintah, lembaga pengawas terkait, dan juga penyedia platform digital untuk menemukan formula yang tepat dalam memberikan perlindungan kepada masyarakat.

Di sisi lain, platform digital juga harus menerapkan standar operasional (SOP) yang tunduk pada standar keamanan informasi internasional ISO 27000 dan seri lainnya, untuk memberikan jaminan keamanan data pengguna di setiap platformnya.

"Banyak SOP yg harus diperbaiki, penyedia platform harus benar-benar comply dengan ISO 27000 series dari semua lini," ujarnya.

Yosef menyarankan agar platform digital tak hanya menggunakan OTP dalam validasi data pengguna, namun juga melakukan sinkronisasi dengan sistem keamanan lainnya seperti penggunaan sidik jari, deteksi wajah, dan penggunaan sistem token bank.

"SOP validasi data pengguna jangan hanya menggunakan OTP, tetapi juga sinkronisasi dengan password yang lain misalkan sidik jari ataupun token bank," tambahnya.

Adapun, Executive Director Indonesia ICT Institute, Heru Sutadi mengatakan, penyedia platform digital juga harus menggunakan firewall dan anti-malware, serta melakukan uji keamanan sistem oleh hacker atau ahli keamanan siber di setiap aplikasinya.

Selain itu, menurutnya, masyarakat juga harus diedukasi agar tak mudah memberikan data pribadinya kepada siapapun dan lebih awas saat melakukan konfirmasi data di setiap aplikasi yang digunakannya.

"Masyarakat harus diedukasi dan memahami tanggung jawab menjaga datanya agar tidak sembarangan men-share data. Lalu memperkuat password dan tidak membagi OTP ke siapapun," katanya saat dihubungi Alinea.id, Jumat (16/10).

Belajar dari UU PDP Eropa

Jika dibandingkan dengan negara maju seperti Eropa, Indonesia jauh tertinggal dalam menerapkan aturan perlindungan data pribadi masyarakat. Pratama memaparkan, Eropa telah lebih dulu mengesahkan semacam UU PDP, yaitu General Data Protection Regulation (GDPR) pada 2016 silam.

"Dengan adanya GDPR, platform digital di sana sangat berhati-hati menjalankan semua aturan yang diwajibkan oleh GDPR. Bila misalnya terjadi kebocoran data dan dicek ada kesalahan dalam salah satu list yang wajib dilakukan, maka mereka terancam tuntutan maksimal €20 juta," ucapnya.

Selain itu, perbedaan spesifik lainnya adalah Uni Eropa telah menerapkan standar teknologi dan SDM untuk pengelolaan dan perlindungan data pribadi masyarakatnya. Tak hanya itu, Uni Eropa juga telah mengetatkan akses masyarakat untuk mendapatkan kartu perdana prabayar, tak seperti di Indonesia.

"Sehingga keamanan dari sisi akun palsu lebih terjaga. Berbeda dengan di Indonesia yang memang menjadi lokasi favorit para penjahat siber. Alasan utamanya karena bebas mendapatkan kartu seluler perdana prabayar. Nomor ini seringkali digunakan untuk tindak kejahatan siber," katanya.

Langkah maju keamanan siber platform digital

Meski demikian, pascakebocoran data di sejumlah platform digital tersebut mencuat ke publik, sejumlah langkah perbaikan telah diambil sejumlah pihak. Kepala Departemen Penelitian dan Pengaturan Perbankan OJK, Anung Herlianto mengatakan, dalam pengembangan transformasi digital terdapat dua isu utama yang perlu mendapat perhatian semua pihak yaitu aspek cyber security dan aspek data privacy and protection.

Menurutnya, OJK telah berperan dalam mendukung digitalisasi melalui empat strategi utama, yaitu akselerasi digitalisasi perbankan, penguatan infrastruktur akselerasi digitalisasi, penguatan manajemen risiko terkait risiko siber, dan edukasi keamanan teknologi Informasi, baik kepada pelaku sektor jasa keuangan maupun nasabah.

“Digitalisasi pada sektor keuangan khususnya perbankan bukan lagi menjadi sebuah pilihan, namun telah menjadi keniscayaan yang dalam jangka panjang diharapkan dapat mendorong akselerasi inklusi keuangan,” katanya dalam keterangan resmi, Kamis (8/10).

Di samping itu, OJK juga telah mengeluarkan Peraturan Otoritas Jasa Keuangan (POJK) No.1/POJK.07/201 tentang Perlindungan Konsumen Sektor Jasa Keuangan untuk memberi perlindungan bagi pengguna jasa sektor keuangan.

"Di sana ada tata cara melakukan pelaporan dan pengaduan ke OJK yang nanti akan bisa kami tindak lanjuti untuk membantu penyelesaian jika terjadi stuck dengan lembaga jasa keuangannya," ujarnya.

Tak hanya dari sisi pemerintah, sejumlah platform digital juga telah meningkatkan keamanan sibernya. Ketua Umum IdEA Bima Laga mengatakan, keamanan di dunia siber merupakan tanggung jawab semua pihak.

"Pada sisi perusahaan, semua perusahaan e-commerce selalu memastikan sistem pertahanan siber sebaik mungkin untuk melindungi sistem perusahaan dari upaya peretasan maupun potensi-potensi kejahatan siber lainnya, seperti penipuan," ujarnya.

Dia melanjutkan, para perusahaan e-commerce sebagai penyedia perdagangan melalui sistem elektronik wajib untuk memenuhi dan mematuhi standar keamanan industri untuk transaksi dan keamanan data pelanggan.

"Penyedia layanan bisa menggunakan security pihak ketiga agar memperkuat sistem dan patuhi aturan dari pemerintah sehingga keamanan sistem juga dapat lebih terjamin," ucapnya.

Sementara itu, platform transportasi Gojek meluncurkan program #AmanBersamaGojek yang tertuang dalam tiga pilar utama yaitu edukasi, teknologi, dan proteksi untuk memberikan keamanan bagi mitra dan penggunanya.

Head of Corporate Affairs GoPay, Winny Triswandhani menjelaskan, dalam pilar edukasi Gojek berupaya melakukan sosialisasi kepada mitra dan pengguna untuk tidak bertransaksi di luar aplikasi Gojek, mengamankan data pribadi, menggunakan PIN dan biometrik untuk transaksi, dan melaporkan hal mencurigakan.

Sedangkan di pilar teknologi, Gojek mengadopsi kecanggihan buatan dengan program GoShield-nya. Pada pilar ini pengguna dan mitra Gojek dapat memilih proses validasi menggunakan sidik jari atau verifikasi muka sebelum melakukan transaksi.

Fitur verifikasi muka dapat menjamin kesesuaian data dan informasi sehingga melindungi keamanan akun mitra driver dari potensi tindak kejahatan atau penyalahgunaan akun.

Sementara bagi pelanggan, penerapan fitur ini di aplikasi driver memastikan pengalaman yang aman dan nyaman saat menggunakan layanan Gojek.

Adapun, untuk pilar proteksi menghadirkan jaminan asuransi untuk mitra dan pelanggan. Selain itu, setiap kesalahan transaksi yang terjadi di luar kesadaran pengguna juga mendapatkan jaminan pengembalian saldo.

"Kami memiliki fitur teknologi dan inovasi yang sangat canggih yang dapat meningkatkan kenyamanan pengguna. Harapannya jika semakin banyak masyarakat yang merasa aman dan nyaman dalam transaksi, maka inklusi keuangan pun akan makin mudah tercapai," katanya dalam webinar Semangat Bulan Inklusi Keuangan: Aman dan Nyaman Bertransaksi Online, Kamis (8/10).

Sebelumnya, Gojek Shield juga telah meluncurkan berbagai inovasi keamanan di antaranya penyamaran nomor telepon untuk melindungi data pribadi pelanggan dan mitra, intervensi chat yang memberi peringatan kepada pelanggan jika ada aktivitas yang terdeteksi mencurigakan, serta teknologi berbasis kecerdasan buatan yang mampu mengidentifikasi berbagai jenis penggunaan aplikasi secara ilegal, tombol darurat, dan fitur bagikan perjalanan.

Di sisi lain, usai kebocoran data pengguna mencuat Mei lalu, Tokopedia masih menunggu hasil investigasi yang dilakukan oleh Kementerian Komunikasi dan Informatika (Kemenkominfo) serta Badan Siber dan Sandi Negara.

"Mengingat proses investigasi masih berlangsung, tidak banyak yang bisa kami sampaikan. Tokopedia menghormati proses tersebut," kata External Communications Senior Lead Tokopedia, Ekhel Chandra Wijaya kepada Alinea.id, Senin (19/10).

Namun, dia menjelaskan bahwa langkah-langkah antisipasi telah dilakukan pihaknya sejak kebocoran data tersebut merebak. Saat ini pihaknya telah memastikan bahwa kata sandi pengguna telah dienkripsi secara satu arah. Selain itu, pihaknya juga telah berkomunikasi dengan pemerintah, Kemenkominfo, Badan Sandi Negara, dan Badan Siber untuk menginvestigasi dan menjamin perlindungan data pengguna.

Di samping itu, Tokopedia juga senantiasa mengajak para pengguna untuk tidak memberikan kode OTP kepada pihak manapun, mengganti kata sandi akun Tokopedia secara berkala dan memastikan bahwa pengguna tidak menggunakan kata sandi yang sama di berbagai platform digital, serta menerapkan keamanan tambahan multi-factor authentication terhadap perangkat dan akun Tokopedia.

"Hal ini penting untuk dilakukan agar pengguna tidak hanya dapat melindungi akun Tokopedia, tetapi juga melindungi akun mereka di platform digital lainnya," katanya.