Buka konten ini
Kaprodi Magister Teknologi Informasi, Institut Sains dan Teknologi Terpadu Surabaya
DI Indonesia, berita tentang kebocoran data, tampaknya, telah bergeser dari sebuah kejutan luar biasa menjadi rutinitas yang menjemukan. Publik perlahan namun pasti memasuki fase breach fatigue –kelelahan mental kolektif akibat terlalu sering mendengar data Pusat Data Nasional (PDN), data kependudukan, hingga data pelanggan operator seluler diperjualbelikan. Akibatnya, reaksi masyarakat kian tumpul, seolah pasrah bahwa data mereka sudah menjadi ’’milik publik’’.
Namun, sikap apatis itu menyimpan bahaya yang mengerikan. Kita sering menganggap kebocoran data hanya berujung pada gangguan ’’receh’’ seperti SMS penipuan atau teror pinjaman online. Padahal, tanpa disadari, kita sedang berdiri di tepi jurang krisis keamanan siber baru yang jauh lebih fundamental.
Masalah utamanya bukan lagi sekadar pada data teks (seperti NIK atau alamat rumah) yang bocor, melainkan konvergensi antara data biometrik yang telanjur tersebar dengan ledakan kemampuan artificial intelligence (AI), khususnya teknologi deepfake. Ini bukan lagi soal pencurian data. Ini adalah soal pencurian realitas dan identitas yang tidak bisa diubah layaknya kata sandi.
Kematian Verifikasi
Selama satu dekade terakhir, ekosistem ekonomi digital kita dibangun di atas asumsi know your customer (KYC) yang sederhana, yakni verifikasi wajah. Bank digital, dompet elektronik (e-wallet), hingga layanan administrasi pemerintahan mengandalkan swafoto (selfie) dengan memegang KTP sebagai benteng terakhir otentikasi.
Dulu, metode itu cukup aman. Namun, analisis keamanan siber hari ini menunjukkan bahwa benteng tersebut kini hanyalah pagar kertas. Dengan miliaran data foto wajah dan KTP penduduk Indonesia yang diduga telah bocor di dark web, bahan baku untuk kejahatan siber tersedia melimpah. Ketika bahan baku tersebut diolah dengan menggunakan generative AI, penjahat siber tidak perlu lagi meretas sistem bank yang canggih. Mereka hanya perlu ’’menjadi’’ Anda.
Teknologi deepfake kini mampu menganimasikan foto statis dari KTP yang bocor menjadi video wajah yang bergerak, berkedip, bahkan berbicara secara real-time. Dalam dunia keamanan siber, ini dikenal sebagai presentation attacks atau serangan injeksi kamera virtual. Sistem verifikasi biometrik yang tidak mutakhir akan melihat wajah hasil AI tersebut sebagai manusia asli.
Implikasinya sangat mengerikan. Seorang penjahat siber di belahan dunia lain bisa mengajukan pinjaman miliaran rupiah, membuka rekening bank untuk pencucian uang, atau bahkan meretas akses korporasi hanya dengan bermodal foto profil media sosial atau data KTP yang bocor tahun lalu. Ini adalah kiamat bagi metode verifikasi ’’selfie dengan KTP’’.
Identitas Sintetis
Ancaman tersebut melahirkan fenomena yang disebut ’’identitas sintetis’’. Penjahat tidak selalu mencuri identitas satu orang secara utuh. Mereka menggunakan AI untuk menjahit potongan-potongan data: NIK milik si A, foto wajah hasil morphing (penggabungan) si B, dan rekam jejak digital si C, untuk menciptakan warga negara fiktif yang terlihat nyata secara digital.
Identitas sintetis tersebut bisa hidup dalam sistem perbankan selama berbulan-bulan, membangun skor kredit yang baik, sebelum akhirnya melakukan bust-out fraud (menguras limit kredit dan menghilang). Bagi Indonesia yang sedang gencar mendorong inklusi keuangan digital, ini adalah racun yang bisa meruntuhkan kepercayaan institusi keuangan terhadap nasabahnya.
Di sinilah letak kedaruratan yang sesungguhnya. Narasi ’’darurat keamanan siber’’ yang sering didengungkan pengamat biasanya berfokus pada penguatan firewall atau penambahan anggaran infrastruktur server. Padahal, musuh sudah bermutasi.
Undang-Undang Perlindungan Data Pribadi (UU PDP) yang kita miliki, meski merupakan langkah maju, masih sangat berfokus pada aspek administratif dan sanksi pasca kejadian. Regulasi kita belum secara agresif mengatur standar liveness detection (pendeteksi kehidupan) bagi penyelenggara sistem elektronik.
Banyak aplikasi layanan publik dan swasta di Indonesia yang masih menggunakan teknologi pengenalan wajah generasi lama yang mudah dikelabui oleh topeng silikon atau video deepfake sederhana. Kita seolah sedang bersiap menghadapi perang nuklir (serangan AI) dengan hanya bermodal bambu runcing (sistem keamanan konvensional).
Solusi
Menghadapi ancaman hibrida antara kebocoran data dan AI tersebut, solusinya tidak bisa tunggal. Pemerintah dan sektor swasta harus segera meninggalkan paradigma keamanan berbasis pengetahuan (knowledge-based) seperti password, dan bahkan mulai skeptis terhadap keamanan berbasis fisik (biometric-based) seperti wajah, jika berdiri sendiri.
Pertama, standardisasi liveness detection. Otoritas Jasa Keuangan (OJK) dan Badan Siber dan Sandi Negara (BSSN) perlu menetapkan standar ketat bahwa setiap proses e-KYC wajib memiliki kemampuan mendeteksi deepfake. Teknologi itu harus mampu membedakan kulit manusia asli dengan piksel layar, mendeteksi aliran darah mikro pada wajah (melalui perubahan warna yang tak kasatmata), serta merespons tantangan acak secara real-time.
Kedua, adopsi behavioral biometrics (biometrik perilaku). AI mungkin bisa meniru wajah dan suara kita. Namun, AI sangat sulit meniru cara kita memegang ponsel, ritme ketikan jari kita di layar, atau pola navigasi mouse kita. Keamanan masa depan bukan lagi bertanya ’’Siapa Anda?’’ (karena identitas bisa dipalsukan), tetapi memantau ’’bagaimana Anda berperilaku?’’.
Terakhir, bagi masyarakat, era oversharing harus diakhiri. Mengunggah foto beresolusi tinggi yang menampakkan detail wajah dan iris mata secara jelas di media sosial adalah tindakan menyetorkan password biologis kita ke ranah publik secara sukarela. (*)