Kasus: serangan siber

Bisnis.com, JAKARTA – Pernahkah Anda mendapatkan pesan WhatsApp, SMS atau email yang berisi tautan mencurigakan? Seringkali pesan ini dibungkus dengan kalimat dan isi yang menarik perhatian supaya kita mengkliknya, seperti undangan pernikahan, transfer bank, hadiah, kiriman paket, atau lowongan pekerjaan.

Hati-hati dengan tautan seperti itu karena bisa jadi merupakan salah satu modus kejahatan untuk menguras rekening Anda. Seperti yang dialami oleh Silvia Yap (52), warga asal Malang Jawa Timur, yang kehilangan uang senilai Rp1,4 miliar dari rekeningnya usai mengklik tautan undangan pernikahan berisi file APK yang dikirim melalui WhatsApp.

Kepolisian RI mencatat ada sebanyak 18 kasus penipuan dengan modus link APK selama 2023 dengan total kerugian mencapai Rp4,7 miliar. Berbagai kasus ini menjadi pelajaran berharga bagi masyarakat untuk selalu berhati-hati dengan modus kejahatan yang menargetkan data pribadi kita. Data pribadi, khususnya yang bersifat data keuangan seperti username, password, PIN, dan kode OTP (one-time password) merupakan harta tak kasat mata yang bisa menentukan hidup kita.

Microsoft Digital Defense Report 2024 yang diluncurkan pada Oktober lalu menggambarkan bahwa tantangan dan ancaman dunia siber yang makin berbahaya dan kompleks. Setiap hari ada sedikitnya 600 juta serangan siber yang mengincar individu, perusahaan, dan pemerintah, mulai dari ransomware, phishing, hingga serangan identitas. Bahkan, perusahaan sekelas Microsoft pun menjadi korban dari serangan siber.

Mayoritas serangan ini berupa serangan kata sandi atau password, yang meningkat lebih dari 10 kali lipat, dari sekitar 3 miliar per bulan pada 2022 menjadi lebih dari 30 miliar pada 2023. Serangan ini mendominasi karena rendahnya keamanan menjaga kata sandi dari pengguna maupun perusahaan, termasuk belum mengaktifkan autentikasi multifaktor (MFA).

Penipuan secara digital (tech scam) juga melonjak 400% sejak 2022. Microsoft menyebut bahwa penipu sering memanfaatkan ketidaktahuan pengguna melalui panggilan palsu, email penipuan, dan situs berbahaya.Mengapa kebocoran data ini bisa terjadi?

PENYEBAB KEBOCORAN

Secara umum, ada empat penyebab kebocoran data pribadi. Pertama, pencurian atau hilangnya perangkat yang digunakan untuk menyimpan data, seperti laptop, handphone, hardisk, dan sebagainya.

Kedua, adanya akses ilegal melalui peretasan, virus, atau worms. Dengan cara ini, pelaku dapat memasuki sistem, mencuri data, mengubah atau menghapus data, atau merusak sistem sehingga data tidak bisa diakses. Akses ilegal juga bisa berasal dari penyalahgunaan data dari pihak ketiga.

Laporan IBM Cost of a Data Breach Report 2024 mencatat bahwa 40% kebocoran data melibatkan data yang disimpan di berbagai tempat, termasuk cloud publik, cloud pribadi, dan on-premises.

Ketiga, kebocoran disebabkan oleh pegawai atau mantan pegawai, baik yang dilakukan dengan sengaja (fraud) atau tidak sengaja karena dikelabui melalui social engineering.

Terakhir, karena kelalaian. Kelalaian dapat berasal dari tidak memadainya sistem keamanan yang dimiliki perusahaan untuk mencegah kebocoran data, atau kelalaian nasabah dalam menjaga data pribadi seperti password, PIN, dan kode OTP sehingga dimanfaatkan oknum tidak bertanggung jawab.

UPAYA MELINDUNGI

Melindungi data pribadi harus melibatkan banyak pihak. Mulai dari pemerintah, regulator, industri jasa keuangan, hingga masyarakat. Pemerintah telah memberikan perhatian serius pada perlindungan data pribadi. Salah satunya, dengan menerbitkan UU No. 27/2022 tentang Pelindungan Data Pribadi (UU PDP).

UU PDP mengatur berbagai hal mengenai persetujuan yang harus diberikan konsumen sebagai subjek data pribadi kepada pihak pengendali sebagai pihak yang akan memanfaatkan data tersebut. Terdapat sanksi tegas dan akibat hukum bagi yang melanggar.

Yang menarik, jauh sebelum diundangkannya UU PDP, Otoritas Jasa Keuangan (OJK) telah menerbitkan Peraturan OJK Nomor 1/POJK.07/2013 tentang Perlindungan Konsumen Sektor Jasa Keuangan.

POJK ini mengatur kewajiban Pelaku Usaha Jasa Keuangan (PUJK) memperoleh persetujuan konsumen untuk memperoleh dan menggunakan data pribadi konsumen, termasuk larangan memberikan data atau informasi pribadi mengenai konsumen kepada pihak ketiga tanpa persetujuan tertulis konsumen.

Berlakunya UU No. 4/2023 tentang Pengembangan dan Penguatan Sektor Keuangan juga memperkuat kewenangan OJK dalam melakukan pengaturan dan pengawasan perlindungan konsumen dan masyarakat di sektor jasa keuangan. Hal ini direspons OJK dengan menerbitkan Peraturan OJK Nomor 22 Tahun 2023 tentang Perlindungan Konsumen dan Masyarakat di Sektor Jasa Keuangan.

OJK mewajibkan setiap PUJK memastikan keamanan sistem informasi dan ketahanan siber, dengan melakukan proses paling sedikit, identifikasi aset, ancaman, dan kerentanan; perlindungan aset; deteksi insiden siber; dan penanggulangan dan pemulihan insiden siber.

OJK memberikan sanksi yang tegas bagi PUJK yang melanggar, mulai dari sanksi peringatan, pembatasan produk, pencabutan izin usaha hingga denda mencapai Rp15 miliar. Namun, OJK dan PUJK perlu senantiasa update dengan perkembangan teknologi, termasuk celah-celah dan modus kejahatan baru, seperti memanfaatkan Artificial Intelligence. Berbagai modus ini juga harus diinformasikan ke masyarakat agar selalu berhati-hati dan tidak mudah teperdaya.

Kolaborasi dengan pemerintah untuk mengkampanyekan edukasi menjaga data pribadi juga perlu dilakukan secara nasional, dan memasukkannya dalam materi pendidikan sekolah mengingat generasi muda semakin lekat dengan transaksi digital. Kesadaran untuk tidak sembarang mengklik tautan, tidak sembarang mengunduh file, tidak memberikan username, PIN, password dan kode OTP kepada siapapun, dan rutin mengecek histori rekening merupakan budaya yang harus dibangun dan dibiasakan sejak dini. Tentu kita tidak ingin tabungan hasil jerih payah bertahun-tahun hilang begitu saja karena satu klik jemari kita.