Digital Banking dalam Bayang-bayang Kejahatan Siber

Perkembangan teknologi yang kian hari semakin canggih telah mengubah wajah dunia. Kehadirannya memudahkan beragam urusan, termasuk dalam transaksi perbankan. Di sisi lain, kecanggihan teknologi bukan tanpa celah. Pasalnya, para penjahat siber justru makin menjadi-jadi. Modusnya pun terus berkembang.

Belakangan banyak oknum berpura-pura sebagai perwakilan dari pihak bank atau institusi yang meminta data pribadi nasabah, berupa one time password (OTP), password, PIN, bahkan data-data kartu milik nasabah. Akibatnya, dana yang tak sedikit bisa langsung lenyap digondol si pelaku.

Baca Juga: Kejahatan Siber Makin Menjadi-jadi, Bagaimana Cara Bank DBS Proteksi Nasabah?

Kejahatan semacam ini tergolong dalam rekayasa sosial (social engineering), yakni proses manipulasi psikologis seseorang untuk mendapatkan informasi tertentu atau melakukan hal tertentu dengan cara menipu secara halus, baik sadar maupun tidak sadar, melalui telepon atau berbicara langsung.

Dijelaskan oleh Center for Digital Society (CfDS) UGM, penipuan dengan teknik rekayasa sosial bukanlah sebuah peretasan sistem. Penyebabnya ialah tingkat literasi digital masyarakat yang masih tergolong rendah, utamanya mengenai keamanan dalam penggunaan teknologi.

"Penipuan dengan teknik rekayasa sosial bisa terjadi karena penipu memanfaatkan ketidaktahuan dan kelemahan pengguna platform akibat minimnya kompetisi keamanan digital pengguan platform," tulis CfDS dalam kajian bertajuk Peningkatan Kompetensi Keamanan Digital di Indonesia: Analisis Fenomena Penipuan dengan Teknik Rekayasa Sosial.

Mengamini hasil kajian CfDS, Chairman Communication & Information System Security Research Center (CISSRec) Pratama Persadha menyebut kesadaran terkait keamanan siber di Tanah Air memang masih rendah. Sehingga, banyak serangan siber dengan social engineering berhasil menjadikan masyarakat sebagai korban.

"Kesadaran yang rendah ini penyebabnya berbagai macam. Misalnya, belum ada edukasi siber sejak dini. Baik usia muda dan tua, masuk ke dunia siber secara otodidak, tidak pernah mengenyam pendidikan dan kurikulum khusus terkait dunia siber. Padahal ini penting, minimal masyarakat tahu apa yang boleh dan tidak boleh dilakukan di wilayah siber," ujarnya.

Terutama masyarakat lanjut usia, lanjut Pratama, bisa dengan mudah terjebak oleh penipuan dan hoaks berbagai modus. Bagi usia lanjut, apa pun yang muncul di WA, email, dan medsos mereka, bisa saja dianggap sebagai sebuah hal yang benar serta nyata-nyata ada.

"Hal ini yang membuat masyarakat di Indonesia bisa menjadi sasaran empuk praktik social engineering," tegasnya saat dihubungi redaksi Warta Ekonomi di Jakarta, Sabtu (24/12/2020).

Menurutnya, untuk mengurangi angka korban di Tanah Air, jelas edukasi keamanan siber harus dilakukan sedari dini, misalnya masuk ke kurikulum pendidikan. Phising saat ini juga semakin canggih dan mirip dengan lembaga aslinya.

"Tanpa edukasi dini, ini akan menjadikan Indonesia sasaran empuk kejahatan phising dan mengurangi kepercayaan investor karena situasi keamanan siber yang buruk menambah risiko kerugian secara finansial," beber Pratama.

Masih dari laporan yang sama, disebutkan bahwa literasi keamaan digital bagi para pengguna platform, dalam hal ini nasabah digital banking, menjadi kunci utama dalam menangkal kejahatan dengan teknik rekayasa sosial tersebut.

"Penipuan dengan teknik rekayasa sosial dapat dicegah dengan, salah satunya, mengedukasi pengguna dan calon pengguna teknologi guna meningkatkan literasi digital," tegasnya.

Literasi Nasabah: Upaya Preventif

Peningkatan literasi digital khususnya ihwal keamanan data pribadi menjadi tanggung jawab semua pihak, termasuk perbankan selaku penyelenggara teknologi. Kewajiban ini diatur dalam berbagai peraturan, di antaranya PP 71/2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik pasal 28, juga POJK Nomor 1/POJK.07/2013 tentang Perlindungan Konsumen Sektor Jasa Keuangan pasal 14.

Dari sisi pencegahan, digital banking menyiapkan beragam jurus untuk mengedukasi nasabahnya ihwal keamanan data pribadi. Misalnya saja edukasi yang dilakukan Jenius BTPN, antara lain

1. Mengaktifkan pengaturan notifikasi melalui aplikasi dalam bentuk push notifications atau e-mail ke alamat e-mail yang terdaftar;

2. Menggunakan e-mail dan password terpisah untuk kebutuhan perbankan dengan kebutuhan lainnya seperti personal, pekerjaan, atau e-commerce;

3. Mengganti PIN dan password secara berkala. Apabila memiliki lebih dari satu kartu debit, buat PIN yang berbeda untuk masing-masing kartu debit tersebut sebagai lapisan keamanan tambahan;

4. Tidak memberikan informasi yang bersifat rahasia seperti PIN, password, OTP, dan data di aplikasi serta Kartu Debit (nomor kartu, tanggal kadaluwarsa, dan kode CVV) kepada orang lain;

5. Membatasi penggunaan Wi-Fi publik untuk melakukan aktivitas yang sifatnya pribadi, seperti mengakses rekening perbankan;

6. Tidak memberitahukan data-data pribadi seperti kode OTP, PIN, password, data-data pada kartu debit kepada siapa pun, termasuk keluarga, kerabat dekat, bahkan petugas bank ataupun pihak manapun yang mengaku sebagai karyawan atau wakil dari perusahaan yang mengirimkan kode OTP tersebut.

"Jenius rutin melakukan edukasi mengenai keamanan data dan bertransaksi secara offline dan online kepada pengguna melalui berbagai medium seperti e-mail, artikel online, media sosial, push notification, hingga beragam kegiatan bersama komunitas," beber Irwan S Tisnabudi, Digital Banking Head BTPN.

Sementara Digibank by DBS mengedukasi para nasabahnya melalui aplikasi maupun berbagai media di luar aplikasi. Di dalam aplikasi, bank memberikan kondisi bahwa password yang digunakan harus memenuhi syarat tertentu agar tidak mudah ditebak oleh orang lain.

"Sedangkan, di luar aplikasi, edukasi dilakukan melalui event-event virtual maupun melalui media sosial, serta distribusi SMS dan email secara berkala," ujar Managing Director, Head of Digital Banking, PT Bank DBS Indonesia, Leonardo Koesmanto kepada redaksi Warta Ekonomi belum lama ini.

Baca Juga: Pembobolan Dana Makin Marak, Apa Jurus Bank Commonwealth?

Hal yang sama juga dilakukan Bank Commonwealth. Rian E Kaslan, Head of Digital Strategy & Delivery, berkata, "kami mengedukasi nasabah tentang perlindungan kerahasiaan data melalui SMS, email, atau relationship manager, dan juga melalui akun media sosial resmi Commbank (FB & Instagram)."

Meski begitu, edukasi yang dijalankan perbankan tergolong masih minim. Selain menyediakan fitur edukatif di dalam platform, CfDS menyarankan edukasi juga dilakukan lewat kampanye anti-penipuan rekasaya sosial dan forum diskusi lintas industri.

Inovasi Digital Banking Tangkal Kejahatan Siber

Kejahatan siber, termasuk dengan teknik rekayasa sosial, merupakan risiko yang harus dihadapi sektor perbankan di tengah perkembangan teknologi saat ini. Meskipun begitu, risiko ini bukan berarti tak bisa dicegah dengan kecanggihan teknologi itu pula.

Pratama Persadha menilai bahwa faktor keamanan siber harus menjadi prioritas utama bagi digital banking lantaran hal ini menyangkut sejumlah uang nasabah.

"Bila terjadi peretasan dan fraud, dikhawatirkan bisa menimbulkan rush pada bank, dan bila viral bisa menjadi faktor penyebab rush money secara nasional. Tentu ini sangat berbahaya," ungkapnya.

Sambungnya, faktor keamanan siber harus diutamakan sejak melakukan proses perencanaan dan desain. Mulai dari SDM hingga teknologi yang digunakan, harus menyertakan faktor keamanan siber.

"Dari sisi SDM, harus disiapkan SDM organik yang mengerti proses dari sistem digital banking tersebut. Artinya, juga mengerti bagaimana melakukan maintenance maupun langkah mitigasi saat terjadi serangan dan kegiatan yang anomali pada sistem mereka," jelasnya.

Dalam beberapa aplikasi digital banking milik perbankan besar Tanah Air diketahui transaksi hanya memerlukan password saja, tanpa otentikasi tambahan semisal SMS atau sidik jari.

"Ini menjadi kelemahan. Artinya, bila ada orang lain tahu password digital banking kita, orang ini bisa melakukan transaksi digital banking kita di gawai mereka. Jelas, ini sangat berbahaya," beber Pratama.

Mengetahui kejahatan siber makin berkembang, Digibank by DBS menjaga keamanan digitalnya mulai dari awal seseorang menjadi nasabah. Dalam proses know your customer (KYC), verifikasi menggunakan e-KTP dan berbasis biometrik dengan sidik jari.

Bahkan, saat ini, kata Leonardo, "Bank DBS tengah mengembangkan teknologi face recognition sebagai metode verifikasi nasabah yang lebih mudah dan lebih aman. Sistem ini akan diimplementasikan usai mendapat restu dari regulator."

Sementara dalam transaksi perbankan, DBS menerapkan verifikasi dua langkah atau two factor authentication (2FA). Bank menanamkan teknologi soft-token di dalam aplikasi Digibank by DBS yang memungkinkan transaction authentication dapat dilakukan tanpa tambahan OTP ataupun hard token lagi. Bisa dipastikan transaksi dilakukan di perangkat yang benar dan tidak diretas dari perangkat lain.

Teknologi 2FA juga digunakan Bank Commonwealth dalam proses standar verifikasi nasabahnya sebagai upaya meningkatkan keamanan digital banking-nya.

Berbeda dari kedua digital banking di atas, Jenius BTPN lebih menekankan pada upaya edukasi, mengajak nasabah mengikuti anjuran pengamanan akun agar tetap terlindungi. Caranya dengan tidak membagikan informasi yang bersifat rahasia, seperti PIN, password, OTP, juga data di aplikasi serta kartu Jenius kepada pihak lain.

Siapa yang Harus Bertanggung Jawab atas Kejahatan Siber?

Rancangan Undang-undang Pelindungan Data Pribadi (RUU PDP) yang belum kunjung disahkan DPR merupakan titik kunci dalam masalah kejahatan siber ini. Pasalnya, menurut Pratama, para penyelenggara sistem transaksi elektronik (PSTE) terbilang santai dan kendor dalam mengamankan data pribadi penggunanya.

"Bila kebocoran data ini berulang terjadi maka masyarakat akan sulit untuk percaya dan ujungnya platform digital banking yang dibuat akan ditinggalkan oleh nasabah," kata Pratama mewanti-wanti.

Baca Juga: Tantangan Perlindungan Data dan Keamanan Teknologi dalam Industri Pembayaran Digital

Ketidakadaan UU PDP saat ini membikin pihak bank sebagai PSTE relatif sulit untuk dimintai tanggung jawab. Yang maksimal mereka lakukan umumnya adalah mengganti dana nasabah.

Dia menegaskan bahwa, "untuk urusan dana, seharusnya perbankan menggantinya. Bila tidak, rush money bisa terjadi."

Soal pertanggungjawaban akibat bocornya data yang saat ini terjadi, menurutnya, memang sangat sulit. Jika RUU PDP disahkan, ia berharap ada pasal yang memberikan peluang masyarakat untuk menuntut PSTE atas kebocoran data.

Sebagai perbandingan, Eropa punya UU PDP yang disebut General Data Protection Regulation (GDPR). Setiap kebocoran data yang terbukti ada kelalaian, pihak pengelola data bisa dikenai tuntutan maksimal 20 juta euro atau setara Rp347,65 miliar (kurs Rp17.382).

"Ini memaksa PSTE di Eropa untuk memperkuat sistem mereka sesuai dengan standar yang ditentukan dalam aturan turunan GDPR," bebernya.

Namun, dilihat di 2020 ini, pandemi memaksa perbankan untuk mengembangkan semaksimal mungkin potensi penggunaan platform digital banking untuk nasabahnya. Aplikasi digital banking dibuat sedemikian banyak fitur yang memudahkan untuk bertransaksi. Bahkan karena pandemi, perbankan banyak membikin terobosan pembuatan buku tabungan lewat aplikasi.

"Tentu ini patut diapresiasi, namun tetap harus diingat mudah dan nyamannya penggunaan aplikasi akan percuma bila faktor keamanan diabaikan," kata Pratama mengingatkan lagi.