Tag: digital security

Indosat dan Mastercard Resmikan Pusat Keunggulan Keamanan Siber di Indonesia

Indosat Ooredoo Hutchison (IOH) dan Mastercard telah menandatangani Nota Kesepahaman (MoU) untuk meluncurkan Pusat Keunggulan Keamanan Siber (Cybersecurity Center of Excellence) di Indonesia. Acara pengumuman ini dihadiri oleh Menteri Komunikasi dan Informatika Budi Arie Setiadi dan CEO Mastercard Michael Miebach.

Pusat keunggulan ini bertujuan melindungi dan memperkuat ekonomi digital Indonesia. Fokus utama meliputi peningkatan pendidikan keamanan siber, penelitian inovatif di bidang keamanan digital, dan kolaborasi industri untuk mendeteksi serta mengurangi penipuan.

Presiden Direktur dan CEO Indosat Ooredoo Hutchison Vikram Sinha menyatakan keyakinannya bahwa inisiatif ini akan mendorong bakat siber Indonesia ke depan. Sementara itu, Presiden Divisi Asia Tenggara Mastercard Safdar Khan, menekankan pentingnya membangun kepercayaan dalam ekonomi digital melalui kolaborasi dan inovasi.

Kemitraan ini juga sejalan dengan visi “Indonesia Emas 2045” yang bertujuan menjadikan Indonesia sebagai ekonomi terbesar keempat di dunia. Dengan memanfaatkan keahlian global dan lokal, Pusat Keunggulan Keamanan Siber Indosat-Mastercard diharapkan dapat memperkuat ekosistem keamanan siber Indonesia dan menjadikannya pemimpin digital global.

Disclosure: Artikel ini diproduksi dengan teknologi AI dan supervisi penulis konten

Startup Regtech Tookitaki Masuk ke Indonesia, Hadirkan Solusi Anti Pencucian Uang untuk Fintech

Startup regtech asal Singapura “Tookitaki” mengumumkan kehadirannya di Indonesia untuk membantu lembaga keuangan mengatasi risiko pencucian uang. Di kawasan ASEAN, diklaim beberapa bank dan perusahaan fintech mengandalkan solusinya dalam menerapkan platform anti pencucian uang (anti-money laundering – AML).

Dalam keterangan resmi yang disampaikan hari ini (20/9), Founder & CEO Tookitaki Abhishek Chatterjee mengatakan, Indonesia merupakan pasar dengan potensi besar dan paling berpengaruh di Asia Tenggara. Ia berharap, kehadirannya di Indonesia tidak hanya sekadar memerangi masalah pencucian uang saja, tapi dapat berkontribusi lebih dalam membangun ekosistem finansial yang aman dalam berbagai sektor.

“[..] Kami senang dapat menjadi bagian dalam ekosistem keuangan di Indonesia, sekaligus membantu usaha percepatan sebagai anggota FATF,” kata Chatterjee.

Momentum masuknya Tookitaki bertepatan dengan upaya pemerintah Indonesia menjadi anggota penuh Financial Action Task Force (FATF) atau Satuan Tugas Aksi Keuangan. Hal tersebut dalam rangka memerangi Tindak Pidana Pencucian Uang (TPPU) dan Tindak Pidana Pendanaan Terorisme (TPPT). Indonesia merupakan satu-satunya negara G20 yang belum tergabung menjadi anggota penuh FATF.

Menjadi anggota FATF dinilai dapat menjadikan Indonesia lebih mudah diterima dalam perdagangan internasional, serta mendapatkan bantuan dalam memerangi pencucian uang dan pencegahan pendanaan terorisme. Indonesia juga akan mendapatkan kesempatan dalam menentukan standar global dalam konteksnya sebagai negara berkembang dan mendapatkan kepercayaan dari investor asing.

Berdasarkan data PPATK (Pusat Pelaporan dan Analisis Transaksi Keuangan), terdapat 73 ribu transaksi mencurigakan di Indonesia sepanjang tahun lalu. Angka tersebut meningkat dari tahun sebelumnya sebesar 68.057 transaksi.

Solusi Tookitaki

Visi Tookitaki adalah memberantas kejahatan keuangan dengan mengedepankan pendekatan kolektif yang terbuka daripada tertutup. Hal ini didukung oleh AML Ecosystem atau dinamakan The Hub dan Anti Money Laundering Suite (AMLS) atau disebut “The Spoke”.

The Hub adalah layanan intelijen yang mempelajari pola pencucian uang. Sementara The Spoke adalah pengaturan simulasi yang memungkinkan perusahaan lokal untuk mengunduh dan menguji pola yang relevan dari The Hub, mendeteksi jejak uang ilegal dan tetap terlindungi. The Spoke dipasang di lingkungan lembaga keuangan tanpa membiarkan data uji keluar dari jaringan, sehingga memberikan keamanan maksimal.

AMLS memiliki empat modul utama: Transaction Monitoring, Smart Screening, Customer Risk Scoring, dan Case Manager. AMLS juga dapat digunakan dalam berbagai platform, meliputi Public Cloud, Private Cloud, dan pusat penyimpanan data.

Ekspansi Tookitaki ke dua negara dalam tahun ini didukung oleh investor baru yang masuk, yakni Thunes, perusahaan pembayaran global berbasis di Singapura, pada April 2022. Investasi yang diterima Tookitaki dalam kesepakatan tersebut sebesar $20 juta (lebih dari 299 miliar Rupiah).

Menurut perkiraan Kantor PBB untuk Narkoba dan Kejahatan (UNODC), antara 2%-5% dari PDB global, atau $800 miliar hingga $2 triliun, terjadi pencucian uang setiap tahun. Kegiatan kriminal ini mengancam berfungsinya dan integritas pasar perbankan dan jasa keuangan. Dengan meningkatnya pembayaran lintas batas, risiko pencucian uang meningkat secara signifikan, demikian juga biaya kepatuhan.

Selain itu, laporan terbaru oleh J.P. Morgan menunjukkan total biaya transaksi tahunan untuk pembayaran lintas batas global telah naik menjadi $120 miliar. Kepatuhan terhadap peraturan membentuk persentase yang signifikan dari jumlah ini, dan pengurangan apa pun akan memberikan penghematan penting bagi pelanggan Thunes.

Tookitaki yang berbasis di Singapura didirikan pada November 2014, dan mempekerjakan lebih dari 100 orang di seluruh Asia, Eropa, dan AS. Ini memberikan solusi AML dan kepatuhan ke beberapa bank dan lembaga keuangan terkemuka dunia, menggunakan teknologi Big Data dan Machine Learning.

“Pendekatan kami terhadap pemantauan AML sangat mudah beradaptasi dengan perubahan kebutuhan pasar dan perilaku pelanggan dan secara mendasar mengubah cara pembelajaran mesin diterapkan untuk mendeteksi kejahatan keuangan,” tambah Abhishek.

Meninjau Penggunaan 2FA Sebagai Ikhtiar Pengamanan Akun

Jika diminta menyebutkan salah satu hal penting yang harus diperhatikan dalam perkembangan teknologi sekarang ini, keamanan harus menjadi yang pertama. Keamanan ini tak hanya tentang bagaimana mengelola layanan dan data pribadi pengguna, tetapi juga pengguna itu sendiri dalam mengamankan dirinya. Ada banyak teknologi dan pendekatan yang sudah dilakukan. Yang sedang marak di Indonesia adalah implementasi 2FA (2-factor authentication) atau dua langkah pengamanan.

Pendekatan ini biasanya menggabungkan penggunaan password dan faktor pengamanan tambahan, misalnya kode OTP (One Time Password), biometrik (scan sidik jari, wajah/muka, atau bahkan retina), atau aplikasi authenticator. 2FA dianggap lebih aman karena meminimalisir risiko kehilangan akses akun karena password tertebak.

Nyatanya di Indonesia masih ada kasus yang berhasil “menembus” keamanan 2FA menggunakan teknik yang lebih sederhana, termasuk social engineering.

Kasus yang marak dijumpai adalah memanfaatkan ketidaktahuan masyarakat tentang OTP atau token. Modus paling banyak adalah dengan berpura-pura sebagai pihak penyedia layanan kemudian meminta pengguna mengirimkan OTP atau token, kemudian mengambil alih akun. Itu mengapa di setiap OTP atau token yang terkirim lazimnya selalu ada peringatan untuk menyimpan sendiri kode tersebut.

Lebih canggih, ada juga modus yang menggunakan metode penggandaan kartu SIM atau nomor ponsel. Kasus ini pernah mencuat saat salah seorang tersangka menggandakan nomor ponsel yang kemudian digunakan untuk mengakses salah satu rekening korban melalui SMS banking.

Seiring dengan berjalannya waktu, OTP atau token digantikan dengan pengamanan biometrik. Jika ditengok dari perkembangan yang ada di Indonesia, makin banyak aplikasi finansial yang menyematkan mode keamanan biometrik untuk akses aplikasinya.

Tren penggunaan pengamanan 2FA

Hasil survei Mercator Advisory Group menyebutkan, metode biometrik untuk autentikasi lebih disukai pengguna di Amerika Serikat. Penggunaannya terus naik dari 2016 sampai dengan 2019, terutama untuk penggunaan facial recognition dan voice recognition.

Mercator Advisory Group-Biometric Authentication Standardization and Adoption-EXHIBITS-April2020

Laporan lain yang diterbitkan Duo Labs (bagian dari Cisco) juga menyoroti meningkatnya pengetahuan responden (masyarakat Inggris Raya dan Amerika Serikat) tentang 2FA dan pengalaman penggunaannya.

Di tahun 2019 ada 77% yang mendengar atau setidaknya mengetahui tentang teknologi 2FA, namun hanya 53% yang menggunakan. Angka tersebut tumbuh cukup signifikan dibanding tahun 2018 di mana 44% mengetahui sementara hanya 28% yang menggunakannya.

Penggunaan SMS atau email sebagai sarana penerimaan OTP juga cukup tinggi. Masing-masing 72% dan 57%. Keduanya masih dipilih karena banyak yang merasa lebih familiar dan lebh cepat dalam hal penerimaan kode OTP dibandingkan menggunakan aplikasi authenticator, push notification, security key, atau hard token.

Survei Duo Labs

Di Indonesia sendiri beberapa penyedia layanan mulai mengedukasi masyarakat akan pentingnya mengaktifkan fitur 2FA ini. Tak hanya soal risiko kehilangan akun, tetapi juga tentang hal apa saja yang tidak boleh dibagikan secara gampang kepada orang lain.

Bagaimana agar pengguna tetep aman?

Untuk bisa aman dari risiko pembobolan akun, cara pertama dan utama adalah peduli dengan diri sendiri. Aktifkan 2FA untuk semua akses aplikasi atau akun jika ada. Mulai menertibkan password dengan menggantinya secara berkala dengan kombinasi yang sudah ditebak. Pertimbangkan penggunaan aplikasi password manager untuk mengelola banyak akun dan password. Jangan ragu menggunakan fitur pengamanan biometrik jika perangkat atau layanan yang digunakan sudah mendukungnya. Apa pun itu.

Pahami bahwa OTP adalah kunci penting, Sama pentingnya dengan password. Jangan pernah sekalipun memberikannya kepada orang lain, meskipun pihak penyedia layanan. Jangan ragu mengajukan blokir akun melalui jika terjadi akses mencurigakan di aplikasi.  Yang terakhir, jangan gunakan satu nomor atau satu email untuk banyak aplikasi.

Melacak Kebocoran Data Pelanggan di Platform Digital Tanah Air

Beberapa tahun terakhir setidaknya ada satu kejadian peretasan cukup besar yang muncul hampir setiap tahun. Beberapa hari yang lalu ada Tokopedia dan Bhinneka. Tahun lalu ada Bukalapak. Ada juga celah yang ditemukan di Gojek yang mengekspos data para penggunanya beberapa tahun silam.

Kejadian-kejadian tersebut tentu membuat banyak orang bertanya ada apa dengan keamanan perusahaan internet di Indonesia. Rentetan insiden ini pun menjadi sebuah momen yang tepat bagi para platform digital di Tanah Air untuk melihat kembali apa yang sudah mereka lakukan dalam mengamankan data penggunanya.

Insiden Tokopedia

Sebuah email dari Tokopedia atas nama Founder & CEO William Tanuwijaya mendarat di kotek surel pengguna Tokopedia pada 12 Mei 2020 atau sekitar 10 hari ketika pembobolan data di Tokopedia terkuak ke publik. Surat itu kurang lebih berisi ucapan William untuk meyakinkan para pengguna bahwa mereka sudah mengambil langkah-langkah yang diperlukan untuk mengatasi kasus pencurian data itu.

Surat dari William tersebut tak mengherankan karena tingkat kegawatan yang terjadi memang sebesar itu. Data dari sekitar 91 juta pengguna dijual secara ilegal oleh peretas yang mencurinya. Data itu terdiri nama lengkap, alamat email, nomor telepon, tanggal lahir, hingga kata sandi yang beruntung masih terlindungi (hashed).

“Kami memahami bahwa kejadian ini telah menimbulkan ketidaknyamanan pada seluruh pengguna. Maka dari itu, kami ingin mengucapkan terima kasih yang sebesar-besarnya kepada seluruh pengguna Tokopedia atas dukungan Anda yang tiada henti kepada kami di tengah tantangan kali ini,” pungkas William dalam surat itu.

Rentang waktu dari terkuaknya pencurian data sampai surat William memakan waktu 10 hari. Mereka mengerahkan tim internal dan eksternal serta menggandeng Badan Siber dan Sandi Negara (BSSN) untuk menginvestigasi kasus ini. Namun hingga sekarang belum terdengar ada kabar lanjutan tentang investigasi tersebut ke telinga pengguna.

Melacak Sebab

Sebuah kemungkinan penyebab dari kasus Tokopedia muncul ke permukaan dari mulut Teguh Aprianto, pendiri dan ketua umum Ethical Hacker Indonesia. Dalam wawancaranya dengan Nathaniel Rayestu di Asumsi Bersuara beberapa hari lalu, Teguh menyebut program bug bounty yang tidak dilakukan secara sungguh-sungguh oleh Tokopedia sebagai penyebab pembobolan data di sana.

Program bug bounty adalah semacam sayembara yang mengundang para peneliti keamanan berlomba-lomba mencari dan menemukan bug di situs web, software, atau aplikasi. Sebagian besar perusahaan internet besar di Indonesia punya program ini.

Hanya saja dalam kasus Tokopedia, Teguh mengatakan perusahaan e-commerce itu tak setia dengan program bug bounty yang mereka buat. Hal itu terjadi karena ketika ada laporan penemuan bug yang dikirim, pihak Tokopedia menyebut tim internal mereka sudah menemukannya lebih dulu.

“Misal hari ini gue lapor ke Tokopedia, nanti beberapa hari kemudian ada balasan dari Tokopedia isinya ‘kami sudah menemukan dari internal kita’. Kalau sudah ditemukan oleh internal, masa sudah berbulan-bulan enggak diatasi. Dan ini berulang kali kejadian. Mekanisme yang mereka lakukan ini tidak jelas, tidak ada tranparansinya,” ucap Teguh.

Teguh menyebut kasus pencurian data di Tokopedia sudah terjadi sekali sebelumnya. Sejak kejadian pertama itu, ia dan komunitas bug hunter sudah memperkirakan ada bom waktu yang berpotensi berdampak serupa. Penyebab di kasus Tokopedia itu disebut tak berbeda dengan kasus Bukalapak yang mencuat tahun lalu.

“Tokopedia dan Bukalapak itu dua company yang menjalankan program bug bounty. Tapi problemnya company ini sudah di-blacklist oleh peneliti atau bug hunter karena laporan yang masuk enggak ditangani secara profesional,” imbuhnya.

Kami menghubungi Tokopedia dan Bukalapak untuk menggali lebih jauh soal penyebab kebocoran data yang menimpa mereka. Hasilnya, Tokopedia menolak berkomentar. Sementara itu Bukalapak mengaku tak tahu ada pihak yang memasukkan mereka ke daftar hitam untuk urusan bug bounty.

“Kami tidak mengetahui tentang adanya blacklist pada program bug bounty komersial manapun. Kami memiliki program bug bounty dengan tingkat partisipasi luar biasa yang membantu kami meningkatkan keamanan platform,” tulis Head of Corporate Communication Bukalapak Intan Wibisono kepada DailySocial.

Kami berbicara lebih lanjut dengan Girindro Pringgo Digdo, CEO CyberArmyID, sebuah perusahaan keamanan siber yang menghubungkan bug hunter dengan perusahaan atau organisasi yang membutuhkan. Dari pengalamannya, Girindro mengatakan memang ada dilema yang kerap dihadapi oleh bug hunter dalam program bug bounty.

Dilema yang dimaksud Girindro, senada dengan narasi Teguh sebelumnya, hasil kerja bug hunter sudah diklaim ditemukan internal perusahaan lebih dulu. Girindro menegaskan hal itu sudah sering terjadi. Perkara temuannya adalah duplikasi atau tidak, menurut Girindro, hal itu keputusan sang bug hunter.

“Kalau bug hunter tidak puas atas temuan yang disebut duplikat terus, menurut saya lebih baik main di tempat lain saja. Enggak usah ikut di tempat itu lagi,” jelas Girindro.

Kendati demikian Girindro mengakui, berdasarkan pengalamannya, cukup banyak aplikasi milik perusahaan lokal yang punya banyak celah sehingga rentan dieksploitasi. Hal itu, menurut Girindro, cukup menjadi alasan bagi semua entitas di Indonesia mempersiapkan aspek sumber daya manusia, prosedur kebijakan, dan teknologi untuk mengamankan data pengguna mereka.

“Kalau bicara keamanan, apalagi yang asetnya sudah tinggi, keamanan itu harusnya sudah bukan beban, melainkan prioritas bisnis,” ungkapnya.

Sekali lagi, kita butuh UU PDP

Jika ada satu hal yang perlu dilakukan pemerintah dan wakil rakyat di parlemen dalam menyikapi rentetan kasus pembobolan data di perusahaan internet kita adalah mempercepat pengesahan RUU Perlindungan Data Pribadi sebagai undang-undang.

Setiap kali ada kasus pencurian data itu, pengguna yang sudah dirugikan seolah punya kuasa untuk menuntut keamanan data yang mereka amanatkan kepada penyedia layanan digital.

Berdasarkan draf per Desember 2019, RUU PDP memuat 72 pasal dan 15 bab mengatur tentang definisi data pribadi, jenis, hak kepemilikan, pemrosesan, pengecualian, pengendali dan prosesor, pengiriman, lembaga berwenang yang mengatur data pribadi, dan penyelesaian sengketa. Selain itu, mengatur kerja sama internasional hingga sanksi yang dikenakan atas penyalahgunaan data pribadi.

Ketika beleid itu sah menjadi UU, kuasa masyarakat sebagai konsumen dan warga negara atas data mereka akan lebih kuat dari sebelumnya.

“Refleksi atas pelaksanaan hukum digital perlu menjadi pertimbangan dalam menentukan sanksi hukum yang tepat bagi mereka yang melakukan pelanggaran data pribadi,” tukas Direktur Eksekutif SAFEnet Damar Juniarto beberapa waktu lalu.

Sementara itu, Teguh menambahkan memang ada aspek edukasi publik yang harus berjalan beriringan dengan proses legislasi RUU PDP. Namun ia menegaskan dalam situasi saat ini RUU PDP lebih dibutuhkan.

“Kalau dibanding dua-duanya, menurut gue lebih butuh UU PDP karena awareness publik itu butuh waktu lebih lama,” pungkas Teguh.