Operator Telekomunikasi Diimbau Jaga Data Pelanggan
Operator diminta lebih hati-hati menjaga dan melindungi data pengguna layanan seluler. Pemerintah memasukkan sanksi pidana dan administratif dalam Rancangan Undang-undang Perlindungan Data Pribadi.
Oleh
MEDIANA
·6 menit baca
JAKARTA, KOMPAS — Pemerintah akan memanggil semua operator telekomunikasi seluler pada 28 Januari untuk mengevaluasi parameter serta implementasi standar operasional prosedur verifikasi pelanggan ketika registrasi nomor layanan seluler. Evaluasi ini bertujuan mengetahui sejauh mana upaya perlindungan data pribadi bagi pengguna layanan seluler oleh pelaku industri.
”Kami selalu mengimbau agar operator telekomunikasi seluler selalu menjunjung tinggi kehati-hatian. Selain cek identitas, verifikasi keabsahan pelanggan bisa dilakukan dengan banyak cara, seperti menanyakan tagihan terakhir, nomor yang sering ditelepon, dan kebiasaan pembayaran,” ujar Semuel Abrijani Pangerapan, Wakil Ketua Badan Regulasi Telekomunikasi Indonesia (BRTI) yang juga menjabat Direktur Jenderal Aplikasi dan Informatika Kemkominfo dalam jumpa pers di Jakarta, Rabu (22/1/2020).
Sebelumnya, wartawan senior Ilham Bintang melaporkan pembobolan rekeningnya melalui metode SIM Swap Fraud kepada Polda Metro Jaya pada 17 Januari 2020. Nilai kerugian yang ia derita diperkirakan ratusan juta rupiah.
SIM swap fraud merupakan tindakan menduplikasi nomor layanan seluler seseorang dengan nomor baru untuk memperoleh data penting korban, terutama data perbankan.
Semuel mengakui, kasus SIM swap fraud sudah banyak dibicarakan masyarakat. Akan tetapi, kasus yang mencuat ke media massa dan dilaporkan ke polisi tidak banyak. Dia menegaskan, Kementerian Komunikasi dan Informatika (Kemkominfo) dan BRTI telah mengirim surat edaran kepada seluruh operator untuk mengingatkan operator agar selalu menjunjung tinggi verifikasi dan validasi pelanggan ketika registrasi nomor layanan seluler.
Penyalahgunaan
Komisioner BRTI, I Ketut Prihadi, menyatakan, di luar kasus SIM card swap fraud, berdasarkan temuan BRTI di lapangan, ada penyalahgunaan dalam praktik kewajiban registrasi nomor layanan seluler dengan verifikasi dan validasi data tunggal kependudukan dengan mengirim pesan pendek 444. Ia mencontohkan, pelaku memakai data nomor kartu tanda penduduk (KTP) dan kartu keluarga (KK) dari orang lain.
”Pemerintah tidak mengatur hubungan hukum antara operator den mitra pemilik gerai ritel. Akan tetapi, urusan keamanan registrasi nomor layanan seluler tetap tanggung jawab operator karena mereka mendapat izin penyelenggara dari pemerintah,” ujarnya.
SIM swap fraud merupakan tindakan menduplikasi nomor layanan seluler seseorang dengan nomor baru untuk memperoleh data penting korban, terutama data perbankan.
Dia mengakui, hingga kini masih ada operator telekomunikasi yang gencar menjual kartu perdana nomor layanan seluler disertai promosi. Praktik ini dianggap mendorong tingkat beli-pakai-buang (churn rate). BRTI sudah berkali-kali mengimbau operator agar mengedepankan isi ulang pasca-penerapan wajib registrasi dengan verifikasi dan validasi data kependudukan.
”Keamanan dan kenyamanan selalu bertolak belakang. Kalau pengguna mau aman, pengguna harus mengikuti banyak parameter verifikasi dan validasi. Itu pun harus dipatuhi oleh petugas layanan. Kami rasa setiap operator punya standar operasional prosedur yang ketat,” ujar Prihadi.
Berangkat dari dua bentuk kasus itu, Prihadi menegaskan, pihaknya berencana agar verifikasi dan validasi pengguna nomor layanan seluler, baik saat registrasi maupun penggantian nomor, memakai biometrik. Misalnya, retina dan sidik jari. BRTI telah bertemu dengan operator untuk membahas rencana ini.
BRTI juga segera menemui Direktorat Jenderal Kependudukan dan Pencatatan Sipil Kementerian Dalam Negeri guna membahas rencana itu. Tantangannya adalah kesiapan sistem. Targetnya, verifikasi dan validasi saat registrasi nomor layanan seluler menggunakan biometrik dimulai tahun ini.
Semuel menambahkan, menurut rencana, dalam draf Rancangan Undang-Undang Perlindungan Data Pribadi, pemerintah akan memasukkan substansi sanksi pidana dan administratif kepada pelaku industri yang menyalahgunakan data pribadi. Nomor layanan seluler meliputi data pribadi. Bentuk sanksi pidana yang diusulkan adalah penjara maksimal enam tahun, sedangkan denda administratif bisa mencapai miliaran rupiah.
Sekretaris Jenderal Asosiasi Penyelenggara Telekomunikasi Seluruh Indonesia (ATSI) Marwan O Baasir menyatakan, ATSI meyakini setiap operator telekomunikasi seluler memiliki standar operasional prosedur layanan ke pelanggan. Untuk keamanan siber, semua operator telah bersertifikat ISO 27001 sejak 2017 guna mendukung implementasi wajib registrasi nomor seluler dengan validasi data tunggal kependudukan.
”Kami siap mendukung pemerintah untuk meningkatkan upaya verifikasi pengguna ketika mau melakukan penggantian nomor layanan, misalnya konsumen harus datang langsung,” ujarnya.
ATSI siap bekerja sama dengan Kemkominfo dan BRTI untuk melakukan evaluasi standar operasional prosedur registrasi dan penggantian nomor layanan seluler. Untuk kasus yang dialami oleh Ilham Bintang, ATSI menyerahkan kepada penegak hukum.
Anjuran pencegahan
Pakar digital forensik, Ruby Alamsyah, menyebutkan tiga tahapan kejahatan SIM Swap Fraud. Pertama, pelaku mengirim penipuan dengan cara mengelabui target dengan maksud mencuri akun (phising) ke random target. Praktik ini ditambahi ancaman nonteknis. Pada tahap ini, tujuan pelaku adalah mendapatkan respons dari korban sehingga mereka mau memberikan data pribadinya.
Kedua, pelaku mendatangi operator telekomunikasi untuk mengganti kartu perdana nomor layanan seluler dengan membawa data pribadi korban. Pelaku sudah yakin akan ditanya prosedural data pribadi. Tujuan tahap ini adalah menonaktifkan nomor lama korban.
Ketiga, pelaku menggunakan nomor baru atas nama korban di ponsel pintarnya, lalu instal aplikasi perbankan dilanjutkkan log in, dan mereset kode sandi milik korban. Pelaku akhirnya memindahkan dana korban dengan cara transfer rekening yang konfirmasi setiap transaksinya menggunakan one time password (OTP) yang dikirim melalui pesan pendek ke nomor layanan seluler korban.
Berangkat dari kasus SIM Swap Fraud, Ruby mengatakan, warga disarankan jangan sembarangan mengklik konten yang dikirim orang tidak dikenal melalui surat elektronik, pesan percakapan, dan aplikasi lainnya. Kedua, warga diharapkan tidak memberikan atau mengisi informasi terkait data pribadi, seperti perbankan, ke siapa pun, melalui media apa pun. Ketiga, warga harus menyiapkan catatan nomor kontak layanan konsumen operator telekomunikasi, baik nomor yang bisa dihubungi via ponsel maupun dengan cara umum.
Terakhir, konsumen perlu menggunakan aplikasi perbankan dengan keamanan siber yang optimal, akun nama dan kode sandi yang kuat, serta fitur two factor authentication yang paling aman, seperti token.
”Poinnya adalah kalau memahami modus SIM Swap Fraud, ketiga pelaku kepentingan yang terlibat dalam kasus, yakni korban, operator telekomunikasi, dan perbankan, sama-sama memiliki kelemahan. Kadar kelemahan bisa diukur dengan cara ilmiah dan hukum,” ujarnya.
Lebih jauh, Ruby menyatakan, tahap pertama akan gagal jika korban tidak terjebak mengikuti permintaan pelaku. Tahap kedua akan gagal bila fase pertama tidak berhasil dan operator jauh lebih ketat menerapkan verifikasi pengenalan pelanggan (know your customer/KYC).
”Modus tahap ketiga membutuhkan keberhasilan tahap pertama dan kedua berhasil. Jika produk layanan perbankan berbasis internet atau aplikasi yang sudah menggunakan teknik keamanan berlapis, pelaku tidak bisa membobol meski pelaku berhasil di tahap satu dan dua,” tutur Ruby.
Direktur Vaksincom Alfons Tanujaya berpendapat, pencegahan SIM card swap fraud sepenuhnya ada di tangan operator telekomunikasi seluler. Konsumen secara tidak langsung tidak bisa melakukan apa pun.
Hal yang tidak langsung bisa dilakukan konsumen adalah jangan sering-sering berganti nomor layanan seluler, khususnya yang digunakan untuk OTP. Jika terpaksa mengganti nomor layanan seluler, konsumen harus memastikan semua OTP yang terkait nomor itu sudah dinonaktifkan dengan menghubungi satu persatu penyedia layanan.
”Apabila mendadak nomor layanan seluler tidak dapat sinyal atau SOS, padahal nomor rekan yang memakai nomor dari operator yang sama memperoleh sinyal, konsumen harap segera paranoid. Konsumen disarankan segera menghubungi layanan konsumen operator agar tidak menjadi korban SIM card swap fraud,” tutur Alfons. (MED)