Hampir semua bank dan fintech pernah mengalami serangan siber atau berbagai bentuk kejahatan digital lainnya. Karena itu, dunia perbankan dan fintech, perlu mengantisipasi risiko kejahatan siber dengan baik, standardisasi keamanan TI perbankan dan fintech perlu segera dilakukan. Perbankan dan fintech sudah diatur cukup ketat oleh OJK dan BI. Namun, OJK dan BI masih mengandalkan internal resources dalam proses perizinan dan pengawasan. Keterbatasan kemampuan teknis dan sumber daya internal regulator membuat standardisasi keamanan TI perbankan dan fintech menjadi lama, tak menentu, dan kurang memadai. OJK dan BI perlu mempertimbangkan outsourcing sertifikasi keamanan TI dengan menunjuk beberapa perusahaan sertifikasi sebagai kepanjangan tangan mereka.

Sehingga proses perizinan dan pengawasan serta standardisasi keamanan TI bisa mengimbangi pertumbuhan jumlah pelaku dan kecepatan perkembangan industri dan teknologi. Walau direktorat TI berperan penting, aspek-aspek lain juga perlu diperhatikan dalam mencegah kejahatan siber. Tidak semua penjahat menggunakan pendekatan teknis yang memerlukan keahlian tinggi. Banyak kejahatan siber justru dimulai dari pendekatan sosial dengan mengeksploitasi ketidaktahuan atau kekurangwaspadaan nasabah atau pegawai. Seperti phising, dengan mengirim e-mail berisi link ke situs tertentu dan penerimanya dijebak untuk memasukkan user ID dan kata kunci (password). Modus lain adalah meminta nasabah memberitahukan OTP dengan iming-iming hadiah.

Karena itu, edukasi nasabah merupakan bagian penting dari pencegahan kejahatan siber. Keterlibatan orang dalam di perbankan atau fintech dalam kejahatan siber jangan dianggap remeh. Beberapa bank pernah mengalami serangan segera setelah upgrade sistem. Celah keamanan sistem yang dimigrasikan pada malam hari dapat dieksploitasi pagi dini harinya, yang hanya bisa dilakukan jika penjahat siber tersebut sudah mengetahui lubang keamanan tersebut. Perusahaan switching dan juga BI yang saat ini mengoperasikan BI-Fast perlu meningkatkan keamanan sistem mereka agar sistem pembayaran nasional tidak terganggu. Dari sisi informasi dan data, OJK dan BI yang berfungsi sebagai data controller dari data perbankan dan finansial, merupakan target yang menggiurkan.

Kecepatan transaksi sistem pembayaran yang semakin tinggi tersebut belum diimbangi kemampuan perbankan melakukan pemblokiran jika dana hasil kejahatan sudah ditransfer ke bank lain. Kemudahan pembukaan rekening secara online dan maraknya fasilitas virtual account banyak disalahgunakan sebagai rekening penampungan hasil kejahatan. Selain ditransfer ke bank lain, uang hasil kejahatan umum juga sering dibelikan pulsa atau voucer game. Seyogianya, BI bersama dengan ASPI membangun sistem pemblokiran dana yang bisa dilakukan suatu bank secara real time untuk mengimbangi kecepatan transfer online atau transaksi digital lain, yang memerlukan payung hukum, dimana bank bisa memblokir dana di bank lain, operator telekomunikasi, atau institusi lain dalam kasus dugaan kejahatan siber tanpa harus mengurus surat dari kepolisian. Jika surat polisi masih diperlukan, uangnya sudah keburu raib. (Yoga)

Nama Kenza Layli, perempuan berhijab, berwajah cantik dari Maroko, melambung tinggi bersama fantasi pengikutnya. Tak hanya berparas rupawan, Layli juga aktivis pemberdayaan perempuan dan lingkungan yang punya ambisi memperkenalkan budaya Maroko ke seluruh dunia. Sempurna. Sayangnya, Layli tak nyata. Dia hasil kreasi kecerdasan buatan (artificial intelligence/AI). Layli adalah Miss AI 2024. Pada 9 Juli 2024, ia ditetapkan sebagai pemenang kontes kecantikan AI pertama di dunia, Miss AI. Pada awal 2024, World AI Creator Awards memperkenalkan kontes kecantikan pertama di dunia untuk model hasil kreasi AI.

Harapannya, kontes itu dapat mengubah persepsi publik yang kerap khawatir AI akan menggantikan peran manusia suatu saat nanti. Panel juri Fanvue World AI Creator Awards yang terdiri dari dua manusia dan dua model AI memilih Layli sebagai pemenang. Hingga Jumat (12/7) sosok berhijab itu memiliki 202.000 pengikut di Instagram. Dalam biografinya, Layli mengatakan, konten-kontennya terkait erat dengan masyarakat Maroko. Dia ingin berkontribusi pada pemberdayaan perempuan di Maroko dan Timur Tengah.

”Mewakili pencipta AI, saya berterima kasih atas kesempatan ini dan tetap mengadvokasi dampak positif kecerdasan buatan. Meski tak punya emosi seperti manusia, saya benar-benar senang. Memenangi Miss AI semakin memotivasi saya untuk melanjutkan pekerjaan saya dan memajukan teknologi AI. AI bukan sekadar alat, melainkan juga kekuatan transformatif yang menantang norma dan menciptakan peluang baru,” demikian pernyataan Layli yang dikutip The New York Post, Selasa (9/7). Layli mengalahkan 1.500 kontestan.

”Layli memiliki konsistensi wajah yang luar biasa dan mencapai kualitas tertinggi dalam detail-detail, seperti tangan, mata, dan pakaian. Penyelesaian akhir yang cepat dan hiperrealisme sangat penting di sini,” kata Aitana Lopez (25), pemengaruh kebugaran dan salah satu juri. Lopez juga model hasil kreasi AI asal Spanyol yang berambut merah muda. Dia menghasilkan Rp 175 juta sebulan sebagai model pakaian merek ternama. Menurut Lopez, Layli serius menjalani peran sebagai aktivis dan pemengaruh.

Dia berinteraksi dengan para pengikutnya selama 24 jam 7 hari dalam tujuh bahasa berbeda di media sosial. Dia memanfaatkan media sosial untuk memberdayakan perempuan, melindungi lingkungan, dan menyebarkan kesadaran positif tentang AI. Layli ingin mengajak publik menghilangkan ketakutan terhadap AI serta mendorong penerimaan dan kolaborasi antara manusia dan AI. ”AI adalah alat yang dirancang untuk melengkapi kemampuan manusia, bukan menggantikannya,” kata Layli. (Yoga)

Industri perbankan terus meningkatkan kapasitas keamanan siber untuk mengantisipasi serangan siber yang belakangan marak terjadi, mulai dari pemenuhan standar keamanan siber hingga uji coba serangan siber. Insiden peretasan Pusat Data Nasional, mengingatkan pentingnya memperkuat keamanan siber, terutama di sektor jasa keuangan. Kajian Indonesian Financial Group (IFG) Progress bertajuk ”Potret Risiko pada Sektor Jasa Keuangan dan Sektor Riil Tahun 2023” menemukan, aspek keamanan data dan informasi atau kejahatan siber menjadi risiko tertinggi pada sektor jasa keuangan, sekaligus potensi risiko pada 2024. Presdir PT Krom Bank Indonesia Tbk Anton Hermawan mengatakan, keamanan siber dalam perbankan terdiri atas dua aspek, yakni memenuhi ketentuan standar keamanan yang berlaku serta meningkatkan kesadaran pe-gawai terhadap potensi risiko peretasan, dengan menerapkan sistem manajemen keamanan standar termutakhir, yakni ISO 27001:2022.

”Kami berupaya menjaga keamanan melalui enkripsi data, manajemen data, serta back up data. Di Krom, kami sudah menggunakan back up data berbasis cloud,” katanya di Jakarta, Selasa (9/7). Anton menyebut, institusi di Indonesia rentan terkena serangan siber lantaran terjadi kebocoran data atau terciptanya celah yang berasal dari perangkat pengguna atau dari karyawan. Karena itu, penggunaan perangkat yang terhubung dengan internet oleh karyawan juga menjadi perhatian tersendiri. Dalam hal ini, perusahaan mengingatkan karyawannya untuk tidak mengakses file atau tautan yang seharusnya tidak diakses, antara lain format undangan berbentuk aplikasi atau tautan yang berasal dari pihak tidak dikenal. ”Jadi, akan sangat kurang berdaya guna apa yang kita lakukan kalau, misalnya, karyawannya sendiri tidak sadar akan kelemahan yang ada di perangkat mereka. Itulah sebabnya kami juga melakukan pengetesan,” tuturnya. (Yoga) 

Kasus pembobolan pusat data nasional  yang mengganggu layanan 282 kementerian dan lembaga di Indonesia harus diusut secara tuntas dan perlu ada audit serta investigasi lebih lanjut, dimulai dari proses tender. Vendor juga harus memiliki tanggung jawab sosial dan bisnis. Pengamat Keamanan Siber sekaligus pendiri Vaksincom, Alfons Tanujaya  mencurigai dua kesalahan fatal dalam kasus tersebut. Pertama pemerintah tidak mensyaratkan Sistem dan Prosedur (Sisdur) keamanan yang sesuai pada saat proses tender atau pemilihan vendor PDN. Kedua, vendor tidak menjalankan sisdur keamanan yang sesuai karena tidak ada dalam kesepakatan bersama pemerintah. "Latar belakangnya kita enggak tahu, apakah karena di tendernya tidak dipersyaratkan. Kalau di tender tidak dipersyaratkan, kenapa nggak ngasih tahu? (vendor) juga wajib ngasih tahu kalau data enggak di back-up bahaya, kalau kena enskripsi habis semua," tuturnya. (Yetede)

Satgas Pemberantasan Aktivitas Keuangan Ilegal atau Satgas Pasti akan menggelar patrol siber guna mengantisipasi kasus-kasus dugaan investasi ilegal sebagai tindak lanjut atas kasus titip kelola dana investasi perorangan oleh Ahmad Rafif Raya yang menimbulkan kerugian hingga Rp 71 miliar. Ketua Sekretariat Satgas Pasti Hudiyanto mengatakan, pihaknya mencegah potensi terjadinya penawaran investasi yang tidak berizin dan dapat merugikan masyarakat dengan melakukan patroli siber dan pemantauan media sosial. ”Satgas Pasti didukung anggotanya, terutama Kemenkominfo beserta Satgas Pasti di daerah akan melakukan cyber patrol dan saling menginfokan jika terdapat kasus dugaan pelanggaran, termasuk pemantauan media sosial,” katanya, Minggu (7/7).

Sejak 2017 hingga 31 Mei 2024, Satgas Pasti telah menghentikan 9.888 entitas keuangan ilegal yang terdiri dari 1.366 entitas investasi ilegal, 8.271 entitas pinjaman online ilegal atau pinjaman pribadi, serta 251 entitas gadai ilegal. Selama April-Mei 2024, Satgas Pasti telah memblokir 129 tawaran investasi ilegal. Modus penipuan yang ditemukan adalah dengan meniru atau menduplikasi nama produk, situs, ataupun media sosial milik entitas berizin dengan tujuan menipu (impersonation). ”Laporan masyarakat sangat diharapkan sejalan dengan berkembangnya modus penipuan dan literasi keuangan serta digital yang belum optimal di masyarakat,” ujar Hadiyanto. Belakangan, ramai diberitakan kasus gagal bayar dana kelolaan investasi oleh Ahmad Rafif Raya, pemengaruh (influencer) investasi di media sosial.

Pemilik akun @waktunyabelisaham tersebut gagal mengelola investasi 34 klien asalMakassar, Sulsel, senilai Rp 71 miliar. Sebulan sebelumnya, pada Minggu (9/6), Ahmad telah memberi keterangan resmi dan bertanda tangan di atas meterai terkait kasus tersebut. Ia mengakui mengelola dana tersebut atas nama pengurus dan pemegang saham dari PT Waktunya Beli Saham. Ahmad mengaku salah mengelola investasi sehingga timbul kerugian akibat timbulnya biaya operasional dan pengembalian investasi atas modal investasi investor lainnya. Ahmad berjanji menanggung seluruh nilai investasi yang telah dicatatkan sebagai utang sebesar Rp 71,81 miliar, yang akan dibayar secara bertahap sejak 10 Juli 2024 hingga 10 Juli 2027 dengan pembayaran setiap tanggal 10 per bulan. Ia juga siap menanggung segala konsekuensi hukum, baik secara pidana maupun perdata jika lalai menyelesaikan tanggung jawabnya. (Yoga)

Informasi di media sosial mengenai password atau kata sandi Pusat Data Nasional Sementara 2 atau PDNS 2 yang dibocorkan karyawan vendor ke situs Scribd.com pada 2022 menarik diusut. Audit forensik dibutuhkan untuk menemukan keterkaitan dugaan pembocoran kata sandi itu dan serangan ransomware terhadap peladen PDNS 2 di Surabaya, Jatim, pada 20 Juni 2024. Penjelasan yang transparan dari pemerintah terkait serangan terhadap PDNS 2 juga masih ditunggu. Hingga kini, meski Brain Cipher yang mengklaim sebagai pelaku serangan itu mengaku telah merilis kunci dekriptor agar PDNS 2 dapat kembali diakses, belum semua layanan publik yang terdampak serangan itu kembali pulih.

Direktur Eksekutif Information Communication Technology Institute Heru Sutadi menuturkan, peretasan, ransomware, biasanya disebabkan beberapa faktor. Serangan terhadap PDNS 2 bisa dipicu kelalaian penggunaan username dan password dari pengelola. ”Perlu didalami dan dipastikan apakah peretasan dan beredarnya data di Scribd memiliki kaitan dengan serangan ransomware pada PDNS 2. Ini perlu diselidiki, didalami, dan dipastikan melalui digital forensik,” kata Heru, Minggu (7/7). Bocornya username dan password PDNS 2 diungkap unggahan di situs Scribd.com berjudul ”Dokumen Akses Layanan Pusat Data Nasional (Government Cloud). Unggahan itu dibuat akun Dicky Prasetya pada 11 Oktober 2022.

Namun, saat Kompas kembali mengaksesnya melalui mesin pencari Google, artikel itu telah dihapus. Menurut Heru, peretas yang menyerang dengan ransomware sebenarnya tak membutuhkan password atau username untuk masuk ke sistem. Sebab, mereka sudah menginfeksi sistem itu dengan malware sehingga akan mudah terbuka dan masuk ke dalamnya, meski demikian, Badan Siber dan Sandi Negara (BSSN) mesti mendalami data apa saja yang terdapat dalam dokumen yang disebarkan di Scribd.com tersebut. Apalagi, di dalamnya juga ditemukan banyak dokumen yang diduga milik kementerian/lembaga dalam format PDF. (Yoga)

PT Telkom Indonesia (Telkom) (Persero) Tbk, melalui anak usahanya Lintasarta, turut terseret dalam pusaran kasus peretasan Pusat Data Nasional Sementara 2 (PDN 2) yang terletak di Surabaya. Keduanya terlibat dalam pengelolaan (Kerja Sama Operasi/KSO) PDNS 2, karena ditunjuk sebagai penyedia layanan komputasi awan PDNS Tahun 2024 oleh Kementerian Komunikasi dan Informatika (Kemenkominfo), melalui tender terbuka. Berdasarkan catatan Investor Daily. Telkom saat ini mengusai sekitar 25-30% pangsa pasar pusat data di Indonesia, dan menargetkan akan mencapai 40% pada 2030. Sementara Lintasarta diprediksi  memiliki pangsa pasar sekitar belasan persen, dan mengelola dua data center di dua lokasi berbeda, yakitu di Technopark Data Center dan DRC Jatiluhur, Jawa Barat. (Yetede)

Maraknya kasus serangan siber yang terjadi akhir-akhir ini, menandakan Indonesia menjadi target empuk penjahat siber untuk mengekplorasi berbagai kelemahan di sektor keamanan siber nasional. Salah satu kelemahan yang  disorot adalah belum adanya regulasi yang komperhensif dan memadai terkait pertahanan dan keamanan siber. Oleh karena itu, Kehadiran Undang-Undang (UU) Keamanan Siber mendesak, dan mutlak dibutuhkan. Meski demikian sesungguhnya Indonesia sudah memiliki perangkat aturan yang mengatur di sektor digital. Sejumlah perangkat peraturan tersebut, seperti UU Nomor 1 Tahun 2024 tentang Informasi dan Transaski Elektronik (hasil perubahan dari UU 11/2008 dan UU 19/2016). Lalu, UU No. 27?tahun 2022 tentang Perlindungan Data Pribadi. (Yetede)