Monday, January 27, 2020

Registrasi Kartu SIM Tak Bertaring Hadapi Kasus SIM Swap

Jakarta, CNN Indonesia -- Kasus pembobolan rekening wartawan senior, Ilham Bintang yang viral menjadi penanda bahwa banyak kasus serupa yang didasari dengan pencurian kartu SIM. Modus pencurian ini salah satunya dengan cara penukaran kartu atau SIM Swap.

SIM Swap sesungguhnya adalah layanan yang diberikan oleh operator bagi pengguna untuk mengganti kartu SIM yang telah rusak. Proses penukaran kartu SIM membutuhkan beberapa kredensial seperti KTP yang terdaftar di kartu SIM saat registrasi, hingga Kartu Keluarga.

Beberapa operator bahkan ada yang sampai menanyakan nama ibu kandung, hingga tiga nomor yang paling sering dihubungi.

Dalam kasus Ilham Bintang, pelaku mengaku dirinya adalah Ilham Bintang dan meminta penggantian kartu. Singkat cerita, pegawai di gerai Indosat kemudian mengabulkan permintaan tersebut.


Nahasnya, nomor telepon memang digunakan untuk melakukan log-in mobile banking. Selain itu, kode sandi yang dikirim berupa one time password (OTP) juga disampaikan ke pengguna lewat SMS. Padahal kode ini digunakan untuk otorisasi transaksi hingga permintaan penggantian kata sandi.

Oleh karena itu, Ilham mengaku setelah kejadian penukaran kartu SIM tersebut, saldo rekeningnya terkuras, bahkan kartu kreditnya melakukan transaksi yang ia lakukan.

Kejadian ini tentu tidak sejalan dengan aturan registrasi kartu SIM yang membutuhkan  Nomor Induk Kependudukan (NIK) dan Nomor Kartu Keluarga (KK) yang tertuang dalam Peraturan Menteri Kominfo Nomor 12 Tahun 2016.

Pasalnya, penyedia jaringan telekomunikasi masih bisa menerima permintaan pelaku meskipun pasti ada data yang tidak sesuai dengan data asli miliki Ilham.

[Gambas:Video CNN]

Akan tetapi, patut diduga bahwa pelaku sebelumnya telah memiliki data-data kredensial milik Ilham sehingga operator juga tertipu oleh pelaku.

Pengamat keamanan siber dari CISSRec Pratama Persadha mengatakan registrasi nomor seluler dengan NIK dan KK harus diikuti dengan tingkat keamanan yang ketat. Operator telekomunikasi harus bekerja sama dengan Direktorat Jenderal Kependudukan dan Pencatatan Sipil (Dukcapil)

"Bila perlindungan dan pengamanan standar semacam ini tidak ada, maka sebenarnya hampir tidak ada gunanya registrasi data nomor seluler," ujar Pratama kepada CNNIndonesia.com, Kamis (23/1)

Keamanan yang dimaksud oleh Pratama adalah verifikasi data yang tersambung ke server milik Dukcapil. Tak hanya NIK atau KK, tapi juga ke data biometrik seperti sidik jari. Tak hanya itu, Pratama mengharapkan operator juga diizinkan untuk mengecek tanda tangan dari NIK dan KK.

Saat ini operator hanya bisa memverifikasi data NIK dan KK pengguna berdasarkan data dari server Dukcapil. Badan Regulasi Telekomunikasi Indonesia (BRTI) menjelaskan ketika operator memasukkan data NIK dan KK, Dukcapil  hanya memberi validasi terkait kecocokan NIK dan KK.


Tanpa keamanan yang ketat, Pratama khawatir pelaku bisa mengambil alih kartu SIM ketika pelaku sudah memiliki data-data milik pengguna. Data-data tersebut digunakan untuk meloloskan proses pengubahan kartu SIM.

"Artinya siapa pun yang memegang data kita akan bisa melakukan tindakan serupa, membuat kartu SIM baru yang nomornya milik orang lain," ujar Pratama.

Penerapan SOP (standard operational procedure) juga patut dipertanyakan. Seluruh operator telah mengantungi sertifikasi ISO 27001 yang menandakan  ketatnya keamanan informasi. Berbasis sertifikasi tersebut, BRTI sesungguhnya telah yakin bahwa operator telah memiliki SOP yang mumpuni.

Hanya saja, BRTI menyangsikan implementasi SOP tersebut di lapangan. Misalnya dari 10 SOP yang ada, hanya 8 SOP yang dilakukan. Selain itu berdasarkan penelusuran yang dilakukan CNNIndonesia.com, operator memiliki cara berbeda untuk melakukan validasi saat proses penukaran kartu SIM.

Kami pun menghubungi salah satu petugas layanan pelanggan operator tersebut. Menurut petugas, pertukaran SIM bisa dilakukan pengguna dengan membawa KTP untuk memenuhi proses verifikasi  di gerai Indosat.


Di sisi lain, proses pertukaran kartu SIM di gerai Telkomsel selain membutuhkan KTP, juga membutuhkan beberapa data kredensial. Data-data tersebut seperti tiga nomor yang paling sering dihubungi dan nama ibu kandung.

Pengamat TIK dari ICT Institute, Heru Sutadi menyarankan agar BRTI dan Kementerian Komunikasi dan Informatika (Kemenkominfo) melakukan rapat dengan seluruh operator untuk mencari solusi dan perlindungan yang memadai terhadap data pengguna.

"Dipanggil semua operator tanya SOP (standar prosedur operasional) masing masing dalam pergantian kartu SIM bagaimana. Jika masih lemah perlu dibenahi," ujar Heru.

Menanggapi Heru, BRTI telah memanggil keenam operator yang beroperasi di Indonesia untuk mengevaluasi SOP dan penerapan SOP di lapangan. Badan negara itu juga sudah meminta operator untuk meningkatkan keamanan prosedur pergantian kartu, salah satunya dengan memindai data biometrik pengguna, seperti sidik jari, pemindai wajah, atau iris mata.

Data Biometrik Harus Dijaga Ketat

Verifikasi atau validasi data-data pengguna layanan (konsumen), sehingga antara data yang diterima penyedia layanan, seragam dengan data kependudukan. Dalam industri, proses ini disebut sebagai proses Electronic Know Your Customer (e-KYC), yang dilakukan secara digital.

Direktur Riset  Lembaga Studi dan Advokasi Masyarakat (ELSAM), Wahyudi Djafar mengatakan proses e-KYC biometrik harus dilakukan secara ketat apabila Kemenkominfo memutuskan menggunakan data biometrik untuk registrasi nomor seluler.


Untuk mengamankan data biometrik secara hukum, Wahyudi mengingatkan kembali agar pemerintah dan DPR mempercepat  pembahasan dan pengesahan RUU Perlindungan Data Pribadi. Dengan adanya aturan ini, ia berharap  praktik-praktik eksploitasi data pribadi secara semena-mena tidak lagi terjadi.

"Ketika diadopsi dan dimanfaatkan dengan tidak adanya kerangka hukum yang kuat dan pengamanan yang ketat, teknologi biometrik akan menimbulkan ancaman besar terhadap privasi dan keamanan pribadi," kata Wahyudi.

Komisioner BRTI, I Ketut Prihadi Kresna Mukti mengatakan operator akan bertanggung jawab penuh terhadap validitas data pelanggannya. Ketut mengatakan operator tak akan lagi bisa berkilah kalau ada kejadian yang melibatkan data pribadi pelanggan.

Sebab, Ketut mengatakan saat ini proses pendaftaran NIK dan KK dalam registrasi kartu SIM masih melalui SMS. Sehingga operator tidak mengetahui apakah nomor tersebut didaftarkan dengan menggunakan NIK dan KK orang lain atau bukan.

"Intinya, dengan biometrik operator bertanggung jawab terhadap validitas data pelanggannya, mereka tidak akan bisa ngeles lagi. Karena memang registrasi melalui SMS kan tidak diketahui siapa dia sebenarnya, apakah dia benar dia," ujar Ketut.

(jnp/DAL)

Let's block ads! (Why?)

No comments:

Post a Comment