JAKARTA, SUMUTPOS.CO – Rentetan kasus skimming ATM dan Kartu kredit yang terjadi belakangan menandakan bahwa bank-bank di indonesia masih abai terhadap sistem keamanan. Auditor Informasi dan Teknologi dari Badan Pengkajian dan Penerapan Teknologi (BPPT) Yanto Sugiharto menyebut, diantara bank-bank yang ada di Indonesia, Bank BCA masih merupakan yang terbaik dalam hal keamanan sistem. Diikuti bank-bank BUMN, Mandiri, BNI, setelah itu BRI.
Saat ini, kata Yanto Bank BUMN rata-rata masih berada pada tingkat keamanan level 5. ”Meningkatkan level keamanan itu tidak sulit, asalkan Bank nya mau,” katanya pada Jawa Pos kemarin (18/3).
Dari pengalamannya melakukan berbagai audit sistem di di berbagai Bank, ada beberapa kelemahan dalam sistem pengamanan data di bank. Yang pertama adalah bank-bank di Indonesia sangat tergantung dengan pihak ketiga sebagai penyedia jasa pengamanan data.
Banyak peran seperti penyediaan alat, sampai mempekerjakan staf IT, diserahkan ke vendor. “Nah, kalo pengamanan saja diberikan ke pihak ketiga, tentu lebih beresiko,” katanya.
Saat terjadi kasus kebocoran data. Untuk mengungkapnya, kata Yanto, perlu seperangkat alat yang tidak murah. Bank juga kadang enggan menyediakan alat ini. “Maka dari itu, biasanya pengungkapan diserahkan pada Bareskrim,” katanya.
Selanjutnya adalah urusan protokol keamanan sendiri. Menurut Yanto, ada beberapa bank yang membiarkan begitu saja orang keluar masuk pusat data mereka dengan leluasa. Padahal, seharusnya yang boleh masuk ke ruang data centre hanya mereka yang punya akses dan kemampuan khusus yang tersertifikasi.
Di Indonesia saat ini, belum ada sertifikasi ahli keamanan data dan informasi “Kawan-kawan kami biasanya ambil sertifikat di Singapura,” kata anggota Asosiasi Auditor Tekonologi Informasi ini.
Selain itu, Yanto menyebut, Bank juga belum mau atau enggan untuk investasi Sumber Daya Manusia (SDM) dalam pengamanan sistem data dan informasinya. Beberapa hanyalah karyawan biasa dengan gaji tidak besar. Dengan kerja yang tidak terbatas waktu. “Sehingga banyak SDM nya yang pindah-pindah,” katanya.
Anggota Ombudsman RI, Ahmad Rifelson Saragih mengatakan, harus segera diterbitkan regulasi fundamental untuk menjamin keamanan IT dan perlindungan data pribadi. Lembaga pengawas juga harus diperkuat. Masing-masing lembaga pemerintah yang berkaitan dengan publik juga mesti diwajibkan untuk membuat sistem peringatan dini yang terus update.
“Pemerintah harus segera membangun sistem penanganan aduan yang mudah, cepat dan efektif. Kesadaran masyrakat juga harus dibangkitkan dengan edukasi publik,” katanya.
Selama ini, kata Rifelson, tak ada unit kerja di pemerintah yang bertanggung jawab untuk mengawasi dan memaksa lembaga publik dan korporasi untuk secara berkala meningkatkan keamanan teknologi informasi yg mereka gunakan.
Sementara itu, Direktur Digital Banking dan Teknologi PT Bank Rakyat Indonesia Tbk Indra Utoyo mengatakan, pengungkapan sindikat pelaku skimming oleh Polda Metro Jaya membuka kesadaran perbankan agar lebih peka terhadap berbagai kemungkinan modus kejahatan yang baru dan lebih canggih. Jika BRI dinilai lebih jarang melapor kepada polisi mengenai gejala fraud dibanding bank-bank lainnya, maka BRI berniat lebih meningkatkan tindakan preventif. “Ini introspeksi juga dari kami supaya lebih proaktif melapor soal cyber crime dan lebih cepat menangani tanpa harus menunggu ada pelaporan (dari nasabah, Red),” ujarnya.
BRI yang mengaku telah mengetahui keberadaan sindikat pencuri data kartu nasabah juga terus berkoordinasi dengan pihak kepolisian. Sebelumnya, BRI mengungkapkan telah menemukan lokasi sindikat tersebut yakni di daerah Talang Selatan Kabupaten Ogan Komering Ilir, Sumatera Selatan. Lokasi tersebut menjadi sarang pelaku kejahatan perbankan. Salah satunya mengatasnamakan BRI dengan modus pengiriman one time password (OTP) untuk transaksi di e-commerce.
“Ada BTS-nya (base transceiver station) di sana. Teridentifikasinya sudah beberapa waktu yang lalu, sama kita di Himbara (Himounan Bank-Bank Milik Negara) juga sudah pada tahu,” ujar Indra. Untuk memasuki kampung itu, susah sekali karena para penduduk di sana sudah saling bekerja sama menjadi koplotan penjahat. Dia menambahkan polisi sedang berupaya menemukan cara agar bisa menangkap komplotan itu.
Indra juga menegaskan tidak akan melaporkan nasabahnya yang bernama Andi Maulana. Sebelumnya, beredar pesan whatsapp mengenai rencana BRI melaporkan Andi Maulana atas dugaan pencemaran nama baik. Andi diketahui memberikan pernyataan bahwa uangnya di rekening ludes dan hanya tersisa Rp57 ribu.
Dia juga mengaku menerima telepon dari yang mengetahui datanya di BRI dan menanyakan apakah data-data tersebut benar. Data-data itu seperti nama lengkap, alamat dan lain-lain. Lantas, ia menerima SMS verifikasi one time password (OTP) dari BRI untuk bertransaksi di e-commerce mataharimall.com.
Indra mengatakan, Andi Maulana yang merupakan pegawai Bawaslu DKI Jakarta itu telah terbukti memberikan 3 digit angka di belakang kartu atau card verification code (CVV) dan OTP-nya kepada orang lain yang mengaku dari BRI. Semestinya, hal itu tidak boleh dilakukan dan nasabah harus waspada. “Kami empati juga kepada beliau karena beliau juga kehilangan uangnya. Tidak ada rencana melaporkan beliau,” tuturnya.
Untuk meningkatkan keamanan, BRI sedang mengkaji kemungkinan penerapan teknologi biometric untuk verifikasi dan otentikasi nasabah dalam bertransaksi non tunai. Metodenya menggunakan sidik jari atau retina mata nasabah sehingga sulit dipalsukan. Untuk itu, BRI akan berkoordinasi dengan regulator untuk pengkajian penggunaan teknologi ini. Sebelumnya, pada 2015 lalu teknologi biometric sudah pernah diujicobakan secara terbatas oleh BNI dan perusahaan kartu kredit asal Jepang JCB. Saat itu JCB mengenalkan otentikasi menggunakan pembuluh darah di telapak tangan nasabah.
Kepala Departemen Kebijakan Sistem Pembayaran Bank Indonesia (BI) Onny Widjanarko menambahkan, penggunaan biometric untuk otentikasi memang lebih mudah. Namun biayanya mahal. BI juga tengah mengkaji keamanan biometric tersebut. “Yang dikaji datanya ada di mana, dikelola siapa, menjaga privacy dan security-nya seperti apa. Investasinya di back end pasti mahal,” katanya. Meski begitu dia menyambut baik jika ada perbankan yang serius menerapkan teknologi tersebut.
Terpisah, peneliti keamanan siber dari CISSREC Ibnu Dwi Cahyo menuturkan, dunia perbankan di Indonesia memang cukup rawan menjadi sasaran aksi skimming (pencurian data). Apalagi, dari data yang diperoleh dari kepolisian Uni Eropa, Indonesia menjadi peringkat ketujuh lokasi favorit para pelaku skimming. Dalam laporan terebut dibedakan antara Indonesia dan Bali. ”Bali menurut Europol (Kepolisian Uni Eropa) menjadi lokasi ketiga tervaforit para pelaku tindak skimming ATM,” ujar dia kepada Jawa Pos, kemarin.
Dia mengungkapkan pada 2015 ada 5.500 kasus skimming ATM di dunia. Sebanyak 1.549 kasus di antaranya terjadi di Indonesia, artinya lebih dari sepertiga kejahatan skimming ada di Indonesia. Salah satu contohnya, pada 2017 dua warga Bulgaria ditangkap di Bali karena melakukan aksi skimming. ”Fakta ini seharusnya mendorong perbankan di tanah air untuk meningkatkan standar keamanan ATM, baik dari operating system, hardware sampai pada pengamanan fisik,” ujar dia.
Soal pengamanan fisik seperti mesin ATM, dia menilai aksi kejahatan tersebut lebih banyak dilakukan di daerah. Lantaran pengawasan yang lebih longgar. Selain itu, masyarakat di daerah juga belum terlalu mengerti tentang skimming dan peralatan yang dipakai. ”Kalo pencuri sudah ngincer ATM di pinggiran yang sepi memang relatif susah dikontrol,” kata Ibnu.
Meskipun di ATM tersebut terpasang oleh kamera pengawas dan secara berkala dicek oleh petugas. Misalnya pada saat pengisian ulang uang di ATM. Penggunaan kamera di ATM tersebut tentu efektif. ”Tapi pelaku skimming lebih pinter. Karena mereka pasang dan lepas alat skimmer pada hari yang sama,” tambah dia.
Terkait dengan sistem, Ibnu menuturkan bila penyerangan operating system itu bisa sangat berbahaya. Dia mencontohkan kasus yang terjadi di bank sentral Bangladesh pada 2016. Gara-gara aksi peretasan diduga uang senilai USD 81 miliar dipindahkan ke rekening lain oleh peretas. Mengaca pada kasus tersebut, dia berharap bank sentral dan bank pelat merah bisa lebih waspada. ”Mandiri dan BRI bank terbesar tanah air. Resikonya jauh lebih besar jaringannya sampai daerah. Apalagi BRI ATM sangat banyak dan sampai ke pelosok,” ungkap dia.
Selain itu, potensi raibnya dana nasabah bisa jadi karena penjualan data nasabah. Dia menyebutkan hal itu mungkin saja terjadi lagi lantaran sebelumnya pernah ada penjualan data 2 juta nasabah pada Agustus 2017. Ibnu menuturkan data nasabah itu bisa bocor dari berbagai saluran. Bukan hanya bank saja. ”Yang kemarin bocor dari data leasing kemungkinan besar,” imbuh dia.
Sebagai langkah antisipasi, konsumen pun harus lebih cerdas dalam melakukan transaksi perbankan. Diantaranya mengenal betul bentuk fisik mesin ATM. Minimal pada mulut kartu dan keyboard pad. ”Karena skimmer (mesin pencurii data) yang ditambahkan pasti akan menambah bentuk mesin ATM sehingga terlihat tidak seperti biasanya,” kata dia.
Selain itu, konsumen juga bisa memilih ATM yang relatif ramai dan dijaga. Misalnya ATM di minimarket atau di bank. Pengecekan secara berkala saldo lewat internet banking juga bisa menjadi solusi. Bila ada kejanggalan langsung diketahui, atau mengaktifkan notifikasi SMS banking saat ada transaksi pengambilan maupun pembelanjaan yang cukup besar. (tau/jun/rin/jpg)