Urgen! Keamanan transaksi digital di tengah rendahnya literasi

Upaya platform keuangan digital dan institusi keuangan 

Seperti yang dijelaskan oleh June Lee, institusi keuangan seperti bank, lembaga keuangan non-bank, maupun perusahaan teknologi finansial di Indonesia terlihat jor-joran dalam melakukan investasi pencegahan fraud.

"Gojek Shield sendiri dijalankan dan dikelola oleh tim yang sangat kompeten. Selain itu, kita manfaatkan teknologi terkini untuk menerapkan security control dan standar yang sangat tinggi.,” terangnya dalam webinar yang diadakan oleh Aliansi Jurnalis Indonesia, Rabu (30/9).

Fitur-fitur Gojek Shield tersebut terdiri dari penyamaran nomor telepon pengguna (konsumen, pengemudi, dan merchant), pencegahan pembajakan melalui proses end-to-end encryption, verifikasi wajah, dan sidik jari untuk menjamin keamanan dalam bertransaksi. Belum lagi autentikasi berlapis menggunakan pin dan OTP (One Time Password).

“Kita juga memberi fitur bagi mitra-mitra merchant agar bisa mengelola akun mereka secara penuh dan registrasi mandiri. Data-data tersebut bisa dikirim memakai aplikasi Gobiz ke server kita yang sangat aman,” terangnya.  

Dari segi edukasi, pihaknya bekerja sama dengan berbagai pemangku kepentingan untuk meningkatkan literasi keamanan transaksi digital. Upaya edukasi difokuskan melalui media sosial, aplikasi, maupun surat elektronik.

“Kita ada satu satu threat intelligence yang kita memonitor dari internet, komunitas, atau medsos. Bahkan kita mengambil informasi dari komunitas hacker underground atau dark web untuk mengetahui info tren serangan ini seperti apa. Hasil laporan kita dapat gunakan untuk mengembangkan fitur-fitur baru dalam Gojek Shield,” tuturnya.

Di sektor perbankan, VP Information Security Bank Rakyat Indonesia Muharto menganggap ancaman siber akan terus menghantui sektor perbankan. Menurutnya, tren perbankan yang semakin terkoneksi dengan API (Application Programming Interface) tidak hanya membuka kemudahan bertransaksi, namun juga membuka peluang meningkatnya ancaman siber.

“Ada interkoneksi digital antara bank dengan fintech dan lain-lain membuka pintu risiko. Ancaman malware semakin lama semakin meningkat tajam, terutama randomware. Komunikasi kami ke pihak-pihak lainnya juga membuka pintu resiko. Terakhir, API yang akan menjadi standar kita bisa komunikasi dengan industri perbankan maupun industri lainnya juga membuka pinta bahwa API bisa disalahgunakan,” katanya melalui telekonferensi, Rabu (7/10).

Muharto menjelaskan pihaknya melakukan berbagai cara untuk menangkal kejahatan siber seperti pemasangan alat end-to-end point protection untuk mencegah serangan malware, pemasangan anti deep skimming untuk mencegah pencurian data kartu di ATM, serta bekerja sama dengan operator telekomunikasi untuk memblokir nomor ponsel nasabah bila terdapat aktivitas penggantian kartu SIM yang mencurigakan.

“Apa yang harus dilakukan untuk melakukan fraud minimizing system. Ada governance, organisasi, ada standar framework (kerangka kerja), dan teknologi. Terus ada fraud command system (pusat komando penipuan). Tanpa perlu menyebar kemana-mana langsung kita blokir atau tutup,” tuturnya. 

Selain itu, pihaknya juga meningkatkan pengamanan di balik layar melalui pengamanan berlapis-lapis, sehingga tidak harus selalu mengubah protokol keamanan yang dihadapi oleh nasabah.

Rekayasa sosial dan konsumen

Peneliti Tamu Center for Digital Society Universitas Gadjah Mada (UGM) Tony Seno Hartono berpendapat peretasan sistem keamanan jaringan akan semakin sulit dilakukan seiring dengan kemajuan infrastruktur teknologi informasi yang diikuti dengan penguatan sistem keamanannya.

Tony memandang penipuan melalui rekayasa (sosial engineering) akan semakin marak di tengah rendahnya tingkat pemahaman dan kesadaran masyarakat mengenai keamanan digital. Menurut laporan ISACA State of Cybersecurity tahun 2020, rekayasa menduduki peringkat teratas ancaman digital di dunia dengan kontribusi sebesar 15% dari total serangan siber.

“Social engineering ini adalah suatu seni atau ilmu memanipulasi orang, sehingga setelah dimanipulasi, orang tersebut mau memberi informasi rahasia yang ingin didapatkan. Informasinya macam-macam misalnya password, informasi bank, nama ibu kandung, dan sebagainya,” terangnya.

Berdasarkan kajian Center for Digital Society UGM, terdapat 5 jenis rekayasa sosial yaitu phising, phone scams, SMSshing, pretexting, dan impersonation. Phising memanfaatkan surat elektronik, media sosial, maupun halaman web untuk mengelabui korbannya. Phone scams merupakan penipuan melalui telepon untuk meminta data pribadi korban. SMSShing adalah phising yang memanfaatkan SMS. Sementara itu, pretexting dan impersonation berupa modus pelaku yang mengatasnamakan seseorang.

“Kasus ini tidak memandang pendidikan seseorang. Makanya tidak usah heran orang berpendidikan tinggi bisa ketipu karena mungkin dia baru pakai internet ketika dewasa. Berdasarkan pengamatan anak-anak generasi digital lebih imun daripada orang tua yang setelah dewasa baru mengakses internet,” tuturnya.

Menurutnya, edukasi dan regulasi perilindungan data pribadi menjadi kunci agar masyarakat terhindar dari praktik rekayasa sosial sekaligus sadar betapa pentingnya aspek keamanan transaksi digital.

“RUU Perlindungan Data Pribadi mohon cepat diselesaikan, sehingga tahun ini bisa keluar karena peraturan itu memastikan bahwa setiap pemangku kepentingan digital sadar terhadap perlindungan data pribadi,” ungkapnya.

Sementara itu, Kepala Grup Perlindungan Konsumen Bank Indonesia Elsya MS Chani menilai maraknya penipuan digital disebabkan oleh rendahnya literasi mengenai hak dan kewajiban konsumen serta minimnya kewaspadaan dalam bertransaksi secara digital.

Berdasarkan hasil survei Bank Indonesia pada 2018, tingkat literasi konsumen terhadap hak dan kewajiban dalam penggunaan alat pembayaran menggunakan kartu (APMK) dan uang elektronik masing-masing mencapai 41,6% dan 55,5%. Sementara itu, tingkat kewaspadaan terhadap pengguanaan APMK dan uang elektronik baru mencapai 36,32%.

“Itu tentu cukup berbahaya di ranah digital sekarang. Resikonya apa? Ada resiko malicious softaware, phishing, dan orang memancing konsumen dimana dia mengirimkan email atau link tertentu, menelepon kita minta data OTP, terus kategori skimming yaitu dimana data kita diambil melalui pita magnetik, dan sim card swap,” jelasnya melalui telekonferensi, Kamis (24/9).

Elsya mengatakan pihaknya melakukan upaya perlindungan konsumen melalui perizinan dan pengawasan terkait aktivitas penyelenggara sistem pembayaran, termasuk uang elektronik. Ia menegaskan para penyelenggara harus memenuhi syarat dan ketentuan yang ditetapkan oleh Bank Indonesia.

“Kita wajibkan semua penyelenggara layani pengaduan dan harus menangani dalam service level tertentu. Boleh ke Bank Indonesia setelah dari level penyelelenggara. Kalau tidak selesai di level penyelenggara, konsumen bisa mengadu ke Bank Indonesia. Untuk itu di Bank Indonesia bisa dilakukan tiga hal yaitu edukasi, fasilitasi, dan konsultasi,” jelasnya.

Kolaborasi antar pemangku kepentingan jadi kunci

Sementara itu, Executive Vice President Center of Digital BCA Wani Sabu mengklaim keberhasilan pihaknya dalam mengungkapkan kasus penipuan perbankan sebesar 90% lantaran pusat manajemen fraud yang tergabung dengan pusat layanan konsumen. Selain itu, pihaknya senantiasa melakukan manajemen risiko bila ada kejadian skimming kartu, peretasan, rekayasa sosial, phishing, dan kejahatan siber lainnya.

Di sisi lain, pihaknya mengaku kesulitan bila kasus kejahatan siber yang dialami juga terhubung dengan bank lainnya lantaran terganjal undang-undang kerahasiaan bank. Ada sebagian pihak yang kooperatif, namun ada juga yang tidak.

“Apalagi di masa pandemi kasus penipuan online naik 30%. Penjahat sudah tahu kalau nasabah BCA transfernya dia kasih ke bank lain supaya kita lebih lambat. Kita jadi nyesek kalau kita enggak kompak. Ketika ke sebuah bank dan minta blokir bank minta surat pernyataan dan surat kepolisian juga. Alamak butuh berapa jam, duitnya udah diambil, sehingga dana nasabah sering tidak selamat,” ungkapnya pada Rabu (7/10).

June Lee dari GBG berpendapat pengembangan teknologi tidaklah cukup dalam mencegah praktek penipuan di industri keuangan. Menurutnya, institusi keuangan perlu melakukan pertukaran data dengan institusi keuangan lainnya maupun regulator. Hal ini sudah menjadi praktek yang lazim di beberapa negara dan sudah diatur dalam peraturan perudang-undangan.

“Apa yang bisa dilakukan relgulator di Indonesia? Contohnya memberi kebebasan kepada institusi finansial untuk berbagi informasi satu sama lain, saling berpartisipasi. Jika ada satu yang diserang, maka akan diinfokan ke pelaku industri finansial lainnya. Dengan adanya pembagian informasi ini, diahrapkan bisa mengurangi dampak dari penipuan,” katanya.

Sebenarnya BSSN telah membangun sistem deteksi dini ancaman siber yang bernama Honeynet Project sejak 2018. Proyek ini sifatnya sukarela karena dasarnya hanya Peraturan Presiden. BSSN telah bekerjasama dengan berbagai mitra yang terdiri dari pemerintah daerah, perguruan tinggi, lembaga negara, lembaga perbankan, dan lainnya. 

Sulistyo dari BSSN berharap semakin banyak institusi keuangan yang bergabung untuk mencegah. Pasalnya, Honeynet memungkinkan para mitra didalamnya untuk saling menukarkan data dalam rangka pengamanan siber. Namun, perbedaan standar mengenai data yang dapat dibagikan pun menjadi kendala. 

“Ini salah satu yang menjadi kesulitan diantara komunitas yang tergabung untuk membagi informasi. Mungkin termasuk extend of information kali. Bertukar informasi gitu, lu kasih apa, gue kasih itu. Yang benar sharing tanpa dimintapun seharusnya dikasih,” keluhnya.

Komisaris Besar Polisi Suyudi Ario Seto menghimbau kepada para korban agar melaporkan kejahatan siber yang dialaminya kepada pihak kepolisian. Kemudian, pihaknya mendorong pihak perbankan maupun lembaga keuangan lainnya untuk berani memerangi kejahatan siber. 

Suyudi mengatakan harus ada keterbukaan antara pemangku kepentingan sektor perbankan dengan pihak kepolisian demi mengungkap kasus penipuan daring. Menurutnya, keamanan transaksi keuangan dengan sendirinya akan mendorong kenyamanan dan kepercayaan konsumen di sektor keuangan.

“Dalam kesempatan yang baik ini saya berpesan ke seluruh stakeholder perbankan untuk kita sama-sama merapatkan barisan, bersikap terbuka, memberi kontribusi laporan, dan berbagi informasi untuk memerangai kejahatan ini. Kita Polri ada di garda terdepan memerangi ini,” tegasnya.

Sementara Tony Seno Hartono yang juga menjadi konsultan lepas di bidang komputasi awan, transformasi digital, dan keamanan siber menilai basis data yang terpecah-pecah menyulitkan upaya pengawasan dan penindakan kasus kejahatan siber. Oleh karena itu, ia berharap pemerintah membuat regulasi yang menyatukan basis data pemerintah maupun swasta serta identitas digital bagi para pengguna internet di Indonesia.

“Kalau sekarang saya punya email bisa banyak, jadi untuk melacaknya susah. Jadi kita punya satu identitas digital untuk melakukan kegiatan digital dan ada peraturan orang hanya butuh satu identitas untuk media sosial , jadi kalau ada penipuan kita mudah lacak,” katanya.