Celah Keamanan yang Rentan
Chairman lembaga riset keamanan siber Communication and Information System Security Research Center (CISSReC) Dr. Pratama Persadha mengungkapkan kartu debit GPN merupakan kebijakan terobosan yang bagus, namun masih ada catatan terkait sistem keamanan yang diterapkan.
Pasalnya, kondisi umum kecurangan keuangan (fraud) secara global masih sangat tinggi. Tercatat di Amerika Serikat (AS) saja lebih dari 15 juta orang mengalami fraud selama 2016. Padahal menurut data Association of Certified Fraud Examiner (ACFE), praktik fraud sudah melanda 114 negara di seluruh dunia. Termasuk tindakan fraud adalah pencurian data nasabah lewat kartu debit maupun kartu kredit dengan beberapa modus.
Kemudian, 5.925 web e-commerce di seluruh dunia mengalami serangan malware selama 2016. Data ini harus benar-benar diperhatikan, sebab ke depan GPN juga akan merambah pada produk kartu kredit dan e-commerce. Lalu, praktik skimming di Indonesia masih sangat besar, karena penggunaan kartu debit magnetik dan ATM sebagian besar masih berbasis Operasi Sistem Windows XP.
Meski BI menyatakan kartu GPN dibuat menggunakan chip, bukan berarti lepas dari ancaman keamanan. Pada kartu model chip dikenal metode pembobolan data dengan nama shimming. Ringkasnya shimming adalah sebuah metode menggandakan data dan identitas pada chip yang tertanam dalam kartu debit atau kredit. Hasil penggandaan data tidak dapat dipindahkan ke chip lainnya, melainkan dipindahkan ke kartu magnetik kosong.
Alat shimmer dipasang di ujung mesin yang digunakan untuk membaca dan menyalin data pada chip. Ciri-cirinya, apabila pengguna memasukkan kartu ke mesin ATM atau EDC dan terasa sangat sempit dan keras, ada kemungkinan terdapat alat shimmer di dalamnya. Kondisi-kondisi umum tersebut membuat GPN tak lepas dari kerawanan tindakan fraud bahkan hacking lewat beberapa metode.
GPN diproyeksikan akan melibatkan jumlah transaksi uang dari masyarakat dalam jumlah besar. BI harus bisa meyakinkan para pengguna jika sistem pengamanan GPN sangat aman, tidak mudah ditembus oleh hacker dan tidak akan terjadi fraud.
“BI harus berani mengecek dengan teliti apakah empat lembaga switching lokal yang didapuk BI sudah benar-benar memiliki kapasitas, terutama dari segi teknologi keamanannya. Sehingga tidak terbuka celah terjadinya disrupsi terhadap GPN,” jelasnya.
Seharusnya saat ini perusahaan switching tidak hanya dibatasi 4, tapi boleh lebih. Walaupun ke depannya jauh lebih bagus bila Indonesia hanya punya satu sistem super switching yang bisa jadi konsorsium antara beberapa perusahaan switching. Bisa menambah kemanan dan realibilitas karena tidak memerlukan interoperability antar perusahaan switching yg memiliki infrastruktur teknologi dan level keamanan yg berbeda-beda.
Ditambah lagi BI tidak menggandeng lembaga negara yang baru saja dibentuk untuk keamanan siber nasional, Badan Siber dan Sandi Negara (BSSN). Sesuai Peraturan Presiden No 53 Tahun 2017, BSSN memiliki tugas dan fungsi untuk melaksanakan keamanan siber secara efektif dan efisien dengan memanfaatkan, mengembangkan, dan mengonsolidasikan semua unsur yang terkait dengan keamanan siber.
Sehingga sebenarnya GPN sebagai produk strategis negara masuk dalam koordinasi pengamanan siber oleh BSSN. Bahkan dalam fungsinya secara khusus disebutkan jika BSSN bisa melakukan identifikasi, deteksi, proteksi, penanggulangan, pemulihan, pemantauan, evaluasi, pengendalian proteksi e-commerce, persandian, penapisan, diplomasi siber, pusat manajemen krisis siber, pusat kontak siber, sentra informasi, dukungan mitigasi, pemulihan penanggulangan kerentanan, insiden dan atau serangan siber.
Lewat BSSN, lembaga switching justru bisa melakukan adaptasi teknologi dan regulasi secara cepat untuk mengamankan data. BI sebaiknya tak perlu ragu menggandeng BSSN untuk memperkuat pengamanan data dari GPN. Kedaulatan informasi juga akan tetap terjaga jika BI berkenan melibatkan BSSN untuk pengamanan GPN. Kesuksesan pelaksanaan GPN memang tidak hanya tergantung pada lembaga switching, namun seluruh aktor di dalamnya.
Antisipasi dini keamanan data pada GPN perlu segera dilakukan. Sebab menurut kajian Lembaga Penyelidikan Ekonomi dan Masyarakat Fakultas Ekonomi dan Bisnis Universitas Indonesia (LPEM FEB UI) akan ada 100 juta kartu berlogo GPN yang beredar di masyarakat. Data tersebut menunjukkan bahwa beredarnya kartu debit berlogo GPN akan sangat masif di masyarakat. Belum lagi jika GPN benar-benar merambah kartu kredit dan transaksi e-commerce.
“Semakin banyaknya penggunaan GPN oleh masyarakat berarti makin besar pula risiko terjadinya kejahatan siber yang menyasar pengguna. Selain masif melakukan sosialisasi GPN, pemerintah juga harus masif melakukan peningkatan literasi digital. Agar setiap sosialisasi tentang GPN dan transaksi keuangan lain, selalu diiiringi dengan agenda tentang literasi digital sehingga secara langsung mengurangi risiko terjadinya fraud,” tegasnya.
Page 5: Siapa Rugi, Siapa Untung?
Artikel ini ditulis oleh:
Eka