Layanan Keuangan Makin Inklusif, Ini yang Perlu Diperhatikan Perbankan Digital dan Platform E-Wallet

Otoritas Jasa Keuangan atau OJK rutin menggelar Bulan Inklusi Keuangan (BIK) setiap Oktober. Tujuan Bulan Inklusi Keuangan adalah untuk meningkatkan kesadaran masyarakat tentang pentingnya inklusi keuangan dan memperluas akses layanan keuangan.   Inklusi keuangan sendiri berarti kondisi di mana seluruh lapisan masyarakat, termasuk yang berada di golongan bawah, memiliki akses yang sama terhadap layanan keuangan. Layanan keuangan tersebut meliputi perbankan, asuransi, dan investasi.    Sasaran dari bulan inklusi keuangan ini adalah untuk memberikan pemahaman yang lebih baik kepada masyarakat mengenai manfaat inklusi keuangan serta memberikan akses yang lebih luas terhadap layanan keuangan yang sesuai dengan kebutuhan mereka.   Termasuk yang juga saat ini banyak digaungkan sebagai layanan keuangan inklusif adalah menggunakan aplikasi keuangan baru baik itu oleh perbankan atau penyedia platform dompet digital atau E-Wallet.   Pada periode BIK Oktober 2024 sendiri tercatat telah diselenggarakan 6.137 kegiatan atau meningkat sebanyak 3.286 kegiatan dibanding BIK 2023 dengan total peserta 6.478.027 atau meningkat 4.636.670 peserta dibanding BIK 2023.   Selama sebulan penuh, berbagai program yang dilaksanakan OJK bekerja sama dengan industri keuangan berhasil menambah jumlah rekening, seperti perbankan mencakup pembukaan 3,5 juta lebih dalam waktu sebulan, lebih dari 150 ribu pembukaan rekening efek di sejumlah sekuritas dan masih banyak lainnya.    Penambahan rekening di industri keuangan mencerminkan berjalan suksesnya BIK yang digelar, namun itu belum menjawab sejumlah pertanyaan yang hingga kini masih dipertanyakan masyarakat, baik yang telah tersentuh sistem keuangan modern atau yang konvensional, yakni bagaimana industri keuangan bisa menjamin uang masyarakat.  

  Terkhusus pada aplikasi mobile banking dan E-Wallet.    Bagaimana industri keuangan menjamin keamanan data dan uang nasabah? Pakar Keamanan Siber Vaksincom, Alfons Tanujaya menjelaskan, masih banyak yang perlu dibenahi dalam hal aplikasi perbankan dan E-Wallet yang ada saat ini.    Terlebih, sekarang hampir semua bank memiliki aplikasi mobile banking. BCA punya BCA Mobile, Mandiri punya Livin, BRI punya BRIMo, BNI punya Wondr, OCBC punya Nyala dan banyak lagi.   Belum lagi aplikasi E-Wallet non perbankan. Seabreg, seperti Ovo, LinkAja, GoPay, Dana dan sebagainya. Dan rasanya, hampir setiap smartphone masyarakat saat ini pasti memiliki layanan-layanan keuangan digital tadi walaupun minimal hanya untuk membayar ongkos ojek online.   Menurut Alfons, hal yang masih paling jadi kelemahan penyedia layanan keuangan digital saat ini adalah memastikan tidak adanya peretasan yang menimpa nasabah. Hal tersebut bermula dari bagaimana perbankan atau provider platform keuangan digital menerapkan sistem perlindungan mereka seperti OTP (One Time Password) dan proses verifikasi ketat lainnya.   "Kalau kita bicara layanan keuangan digital, yang paling penting jelas OTP, dan hal tersebut rasanya masih menjadi PR bagi penyedia layanan keuangan digital," kaya Alfons dihubungi JawaPos.com.   Ketua Komtap Cyber Security Awareness Asosiasi Pengusaha TIK Nasional (APTIKNAS) itu menambahkan, transaksi keuangan digital yang hanya mengandalkan username dan password saja sangat tidak aman dan sebaiknya ditinggalkan.    Cari yang keamanannya lebih baik dan lengkap. Sebab transaksi keuangan yang menggunakan OTP saja tidak cukup, apalagi hanya mengandalkan username dan password.   

  OTP dikatakan mudah dicuri dengan berbagai cara, Alfons menyebut, misalnya saja yang paling mudah dengan menggunakan metode phishing yang belakangan banyak merebak di kalangan pengguna Android.   Caranya adalah penjahat siber mengincar korban dengan metode APK palsu. Menyamar jadi hal tertentu yang mengincar kelemahan pengguna, ternyata APK tersebut memuat aplikasi berbahaya yang bisa berjalan di latar belakang untuk membaca seluruh smartphone, mengintip SMS masuk yang berisi kode OTP bahkan mengambil alih kendali smartphone.   "Mobile banking itu harus menyadari kelemahan ini dan melakukan proteksi yang lebih ketat lagi. Bagaimana caranya dia tahu kalau hanya pakai OTP SMS, maka setiap kali terjadi perpindahan ponsel yang mengakses rekening, seharusnya ada verifikasi tambahan," tegas Alfons.   Menurut pemantauannya, saat ini layanan keuangan digital kebanyakan tidak melakukan verifikasi ketat yang bertujuan melindungi nasabah itu. Misalnya perbankan, yang selama ini baru diketahui paling ketat dan paling concern terhadap perlindungan nasabah menurut Alfons baru bank BCA.   Sementara untuk E-Wallet juga hampir sama. Alfons menilai, dengan jumlah uang yang cenderung tidak lebih besar dari uang di akun bank, masyarakat pengguna layanan E-Wallet juga cenderung abai terhadap keamana dan keselamatan mereka di layanan keuangan yang digadang lebih inklusif itu.   Menurut Alfons, aplikasi perbankan baik itu yang terafiliasi dengan bank atau memang hanya aplikasi E-Wallet, yang menerapkan sistem verifikasi yang paling repot lah justru yang paling aman. Jika mudah, mudah pindah handphone, mudah ganti nomor dan sebagainya, justru sistem perlindungan tersebut lemah.  

  *Untuk masyarakat juga harus aware. Misalnya bikin password yang tidak mudah ditebak. Menggunakan verifikasi dua langkah dan setiap berganti nomor harus melapor kepada costumer service masing-masing penyedia layanan," tegas Alfons.   Jika dirasa mudah lupa dengan banyaknya akun layanan keuangan, Alfons menyarankan masyarakat untuk menggunakan aplikasi password manager yang kredibel untuk menyimpan password.    Dari sisi sebagai PSE atau Penyelenggara Sistem Elektronik dan keamanan siber, Pratama Persada selaku Chairman Lembaga Riset Keamanan Siber CISSReC menuturkan, baik perbankan maupun fintech seperti aplikasi E-Wallet merupakan PSE yang terdaftar di Komdigi, sehingga jika ada kegagalan pengamanan sistem yang berakibat pada hilangnya dana nasabah atau bocornya data pribadi nasabah yang disebabkan oleh kesalahan dari pihak perbankan atau fintech maka tentu saja mereka bisa dipidanakan.    Pratama memaparkan, hukum memberikan perlindungan terhadap dana nasabah yang hilang pada bank digital dengan diundangkannya Peraturan Otoritas Jasa Keuangan (POJK) No. 13/03/2021 tentang Penyelenggaraan Produk Bank Umum.    "Nasabah dapat mengajukan pertanyaan dan pengaduan kehilangan dana dan bank digital diberikan tenggang waktu 40 hari dalam menyelesaiakannya dengan mencari terlebih dahulu penyebab kehilangan dana yang disimpan, apabila hilangnya dana nasabah berasal dari kelalaian pihak bank digital, bank digital diwajibkan mengganti kerugian yang dialami nasabah sesuai pasal 29 POJK No. 1/7/2013," kata Pratama.   Namun, menurut Pratama, yang sangat disayangkan adalah sanksi terkait kebocoran data nasabah belum dapat dijatuhkan kepada pihak perbankan maupun fintech karena meskipun kita sudah memiliki UU PDP namun karena belum adanya Lembaga Pengawas Pelindungan Data Pribadi maka sanksi terhadap pelanggaran data pribadi masih belum dapat dijatuhkan.  

  Sebagai informasi, untuk menjamin keamanan data serta dana nasabahnya, OJK menerbitkan POJK no 11/POJK.03/2022 tentang kewajiban bank dalam hal Penyelenggaraan Teknologi Informasi oleh Bank Umum serta Surat Edaran OJK no 29/SEOJK.03/2022 tentang Ketahanan dan Keamanan Siber bagi Bank Umum.   Aturan tersebut mengatur berbagai langkah yang perlu diambil oleh pihak bank untuk menerapkan tata kelola serta manajemen resiko yang baik untuk tetap dapat beroperasi dengan memanfaatkan TI sebagaimana mestinya dengan menjaga ketahanan dan keamanan siber.   Beberapa langkah yang harus dilakukan oleh perbankan adalah melakukan penilaian tingkat maturitas keamanan siber secara periodik dan melaporkan kepada OJK, pengujian keamanan siber dengan menggunakan metode analisis kerentanan serta pengujian berbasis skenario secara periodik dan melaporkan hasilnya kepada OJK.   "Perbankan juga harus melakukan pembentukan unit atau fungsi khusus yang bertugas menangani ketahanan dan keamanan siber Bank, pelaporan notifikasi awal dan laporan insiden TI berupa insiden siber," tegas Pratama.   Ruang lingkup pengujian yang dilakukan adalah terkait penilaian resiko inheren terkait keamanan siber dari berbagai sisi seperti teknologi (interkoneksi ke pihak ketiga, penggunaan pihak penyedia jasa TI, penggunaan perangkat yang masuk atau mendekati end of life, pihak ketiga yang memiliki akses terhadap sistem internal Bank, dsb).   Kemudian karakteristik organisasi (turnover SDM terkait TI/ketahanan dan keamanan siber, perubahan di lingkungan TI, dan pengelolaan privilledge access) juga perlu dilakukan, demikian pula dengan produk bank (penggunaan saluran daring untuk layanan bank, mekanisme pengelolaan ATM, jenis produk Bank berbasis TI, Bank sebagai penyedia jasa TI, dsb), serta rekam jejak insiden (persentase insiden siber yang berdampak signifikan dalam 1 tahun terakhir serta cakupan dampak insiden dalam 1 tahun terakhir.  

  Selain melakukan pengujian resiko inheren, pihak Bank juga perlu melakukan pelaksanaan penilaian tingkat maturitas keamanan siber dengan melakukan penilaian terhadap aspek kualitas penerapan manajemen risiko serta penilaian aspek kualitas penerapan proses ketahanan siber.   Sedangkan untuk pengujian keamanan siber, pihak Bank perlu secara berkala berdasarkan evaluasi Bank untuk melakukan pengujian keamanan siber berdasarkan analisis kerentanan yang bertujuan untuk melihat titik lemah dari sistem bank.    Langkah tersebut bisa diawali dengan pelaksanaan indentifikasi kerentanan (vulnerability assesment) kemudian dilanjutkan dengan penetration testing atau pengujian yang menggunakan serangkaian teknik dan metodologi dengan memanfaatkan sumberdaya yang tersedia seperti source code, desain sistem, dan manual sistem, yang bertujuan untuk menerobos sistem pengamanan yang ada namun masih sesuai dengan batasan yang ditentukan.    Selain itu pihak bank juga wajib secara berkala paling sedikit satu kali dalam satu tahun serta melibatkan pihak terkait yang relevan untuk melakukan pengujian keamanan siber berbasis skenario yang bertujuan untuk memvalidasi proses penanggulangan dan pemulihan insiden siber pada bank.   "Termasuk rencana komunikasi bank dalam menghadapi serangan siber, dengan menggunakan berbagai skenario seperti table top exercise, social engineering exercise, cyber range exercise serta adversarial attack simulation exercise secara yerkendali dibawah pengawasan ketat untuk memastikan pengujian tersebut tidak menggangu siatem Bank di lingkungan produksi," pungkas Pratama.   Untuk mencegah supaya tidak menjadi korban penipuan, ada beberapa hal yang dapat dilakukan oleh nasabah diantaranya adalah selalu install aplikasi dari sumber resmi seperti Google Playstore atau IOS AppStore, perbarui sistem operasi, aplikasi, dan perangkat lunak lainnya dengan patch keamanan terbaru.   

  Kemudian pasang dan perbarui perangkat lunak keamanan yang kuat seperti antivirus serta antimalware yang akan mengingatkan kita terhadap aplikasi berbahaya atau link phising, jangan mengklik tautan atau membuka lampiran dari email atau pesan yang mencurigakan dan dari sumber yang tidak dikenal atau berisi permintaan yang tidak biasa, buat salinan data penting anda secara teratur dan simpan salinan tersebut di tempat yang terpisah.    Kita juga perlu untuk meningkatkan kesadaran tentang ancaman dan cara mengidentifikasi serangan siber, hindari mengunjungi situs web yang mencurigakan atau tidak terpercaya terutama yang berisi konten ilegal atau berbahaya, dan gunakan kata sandi yang kuat dan unik untuk akun-akun online Anda serta manfaatkan fitur 2 Factor Authentication dimanapun memungkinkan.    Masyarakat pengguna layanan perbankan digital juga perlu secara berkala melakukan pergantian password dan tidak sembarangan menghubungkan perangkat kita ke akses wifi gratisan serta menggunakan layanan pengisian daya gratis.

Tag:  #layanan #keuangan #makin #inklusif #yang #perlu #diperhatikan #perbankan #digital #platform #wallet