Layanan Keuangan Makin Inklusif, Perbankan Digital dan Platform E-Wallet Perlu Hati-hati Soal Ini

JawaPos.com - Masyarakat terus didorong untuk memanfaatkan layanan lembaga keuangan dalam bertransaksi. Otoritas Jasa Keuangan (OJK)N pun rutin menggelar Bulan Inklusi Keuangan (BIK) setiap Oktober untuk meningkatkan kesadaran masyarakat memperluas akses layanan keuangan.

Bagaimana industri keuangan menjamin keamanan data dan uang nasabah? Pakar Keamanan Siber Vaksincom, Alfons Tanujaya menjelaskan, masih banyak yang perlu dibenahi dalam hal aplikasi perbankan dan E-Wallet yang ada saat ini.

Menurut Alfons, hal yang masih paling jadi kelemahan penyedia layanan keuangan digital saat ini adalah memastikan tidak adanya peretasan yang menimpa nasabah. Hal tersebut bermula dari bagaimana perbankan atau provider platform keuangan digital menerapkan sistem perlindungan mereka seperti OTP (One Time Password) dan proses verifikasi ketat lainnya.

"Kalau kita bicara layanan keuangan digital, yang paling penting jelas OTP, dan hal tersebut rasanya masih menjadi PR bagi penyedia layanan keuangan digital," kaya Alfons dihubungi JawaPos.com.

Ketua Komtap Cyber Security Awareness Asosiasi Pengusaha TIK Nasional (APTIKNAS) itu menambahkan, transaksi keuangan digital yang hanya mengandalkan username dan password saja sangat tidak aman dan sebaiknya ditinggalkan.

Cari yang keamanannya lebih baik dan lengkap. Sebab transaksi keuangan yang menggunakan OTP saja tidak cukup, apalagi hanya mengandalkan username dan password.

OTP dikatakan mudah dicuri dengan berbagai cara, Alfons menyebut, misalnya saja yang paling mudah dengan menggunakan metode phishing yang belakangan banyak merebak di kalangan pengguna Android.

Caranya adalah penjahat siber mengincar korban dengan metode APK palsu. Menyamar jadi hal tertentu yang mengincar kelemahan pengguna, ternyata APK tersebut memuat aplikasi berbahaya yang bisa berjalan di latar belakang untuk membaca seluruh smartphone, mengintip SMS masuk yang berisi kode OTP bahkan mengambil alih kendali smartphone.

"Mobile banking itu harus menyadari kelemahan ini dan melakukan proteksi yang lebih ketat lagi. Bagaimana caranya dia tahu kalau hanya pakai OTP SMS, maka setiap kali terjadi perpindahan ponsel yang mengakses rekening, seharusnya ada verifikasi tambahan," tegas Alfons.

Menurut pemantauannya, saat ini layanan keuangan digital kebanyakan tidak melakukan verifikasi ketat yang bertujuan melindungi nasabah itu. Misalnya perbankan, yang selama ini baru diketahui paling ketat dan paling concern terhadap perlindungan nasabah menurut Alfons baru bank BCA.

Sementara untuk E-Wallet juga hampir sama. Alfons menilai, dengan jumlah uang yang cenderung tidak lebih besar dari uang di akun bank, masyarakat pengguna layanan E-Wallet juga cenderung abai terhadap keamana dan keselamatan mereka di layanan keuangan yang digadang lebih inklusif itu.

Menurut Alfons, aplikasi perbankan baik itu yang terafiliasi dengan bank atau memang hanya aplikasi E-Wallet, yang menerapkan sistem verifikasi yang paling repot justru yang paling aman. Jika mudah, mudah pindah handphone, mudah ganti nomor dan sebagainya, justru sistem perlindungan tersebut lemah.

Dari sisi sebagai PSE atau Penyelenggara Sistem Elektronik dan keamanan siber, Pratama Persada selaku Chairman Lembaga Riset Keamanan Siber CISSReC menuturkan, baik perbankan maupun fintech seperti aplikasi E-Wallet merupakan PSE yang terdaftar di Komdigi, sehingga jika ada kegagalan pengamanan sistem yang berakibat pada hilangnya dana nasabah atau bocornya data pribadi nasabah yang disebabkan oleh kesalahan dari pihak perbankan atau fintech maka tentu saja mereka bisa dipidanakan.

Sebagai informasi, untuk menjamin keamanan data serta dana nasabahnya, OJK menerbitkan POJK no 11/POJK.03/2022 tentang kewajiban bank dalam hal Penyelenggaraan Teknologi Informasi oleh Bank Umum serta Surat Edaran OJK no 29/SEOJK.03/2022 tentang Ketahanan dan Keamanan Siber bagi Bank Umum.

"Perbankan juga harus melakukan pembentukan unit atau fungsi khusus yang bertugas menangani ketahanan dan keamanan siber Bank, pelaporan notifikasi awal dan laporan insiden TI berupa insiden siber," tegas Pratama.