Keamanan Biometrik Harus Dikelola Secara Aktif | Melampaui Verifikasi Keaslian Statis

Ancaman terhadap verifikasi identitas jarak jauh telah berubah secara mendasar. Apa yang dulunya merupakan tantangan dalam mendeteksi foto cetak yang ditunjukkan ke kamera kini telah berkembang menjadi serangan berskala industri yang didukung oleh kecerdasan buatan generatif, jaringan Crime-as-a-Service, dan alat injeksi digital yang canggih.

Metode otentikasi tradisional – seperti kode sandi sekali pakai – mulai tidak efektif. Verifikasi biometrik wajah kini muncul sebagai salah satu metode paling aman bagi organisasi untuk memverifikasi identitas pengguna secara daring. Namun, tidak semua sistem biometrik mampu menghadapi ancaman yang dihadapi organisasi saat ini.

Menerapkan verifikasi biometrik tanpa memahami bagaimana ancaman berkembang sama saja dengan membangun pertahanan tanpa memahami apa yang sedang Anda lindungi. Agar efektif, solusi harus tangguh menghadapi lanskap ancaman yang terus berkembang dandikelola secara aktif – bukan sekadar tahan terhadap upaya penipuan yang sudah diketahui dan mapan.

Skala Ancaman: Apa yang Terungkap dari Intelijen Ancaman Terbaru

Laporan Intelijen Ancaman iProov 2025, yang disusun berdasarkan pemantauan langsung terhadap aktivitas kriminal di seluruh dunia oleh Pusat Operasi Keamanan (iSOC) iProov, mencatat peningkatan yang belum pernah terjadi sebelumnya dalam hal tingkat kerumitan dan skala serangan.

Lonjakan tajam dalam penggunaan fitur pertukaran wajah, kamera virtual bawaan, dan serangan injeksi digital

• Serangan yang memanfaatkan kamera virtual bawaan meningkat sebesar 2.665%pada tahun 2024, sehingga menjadi vektor ancaman utama seiring dengan masuknya alat-alat tersebut ke toko aplikasi utama.
• Serangan pertukaran wajah melonjak 300%dibandingkan tahun 2023, dengan pelaku ancaman secara khusus menargetkan sistem yang menggunakan protokol deteksi keaslian.
• Lebih dari 115.000 kemungkinan kombinasi serangan dapat dilakukan hanya dengan tiga alat serangan umum, yang menegaskan mengapa pengujian pada titik waktu tertentu tidak lagi memadai.
• Hanya 0,1% peserta dalam studi iProov yang berhasil mengidentifikasi semua konten deepfake dan konten asli dengan benar, yang menunjukkan bahwa penilaian manusia saja tidak cukup untuk melindungi diri dari ancaman-ancaman ini.

Angka-angka ini mencerminkan perubahan mendasar. Serangan sederhana yang dilakukan oleh pelaku tunggal kini telah berkembang menjadi pasar yang kompleks dan melibatkan banyak pihak, di mana alat-alat canggih dibeli, dijual, dan digunakan oleh pelaku dengan keterampilan rendah dalam skala industri. Anda dapat membaca lebih lanjut tentang cara kerja ekosistem kriminal ini dalam analisis kami mengenai jaringan Attack-as-a-Service.

Penerapan Static Liveness Saja Tidak Lagi Cukup

Deteksi keaslian — yaitu memastikan bahwa ada orang sungguhan yang hadir pada saat pengambilan gambar — tetap menjadi hal yang sangat penting. Namun, hal ini kini telah menjadi standar dasar, bukan lagi faktor pembeda. Ancaman yang dihadapi organisasi saat ini melampaui apa yang dapat ditangani hanya dengan deteksi keaslian saja.

Pembicaraan di industri ini telah berubah. Pertanyaannya bukan lagi “apakah Anda memiliki fitur deteksi keaslian?” melainkan“apakah Anda dapat membuktikan bahwa orang tersebut benar-benar hadir pada saat pengambilan gambar DAN mampu menangkis serangan canggih yang sama sekali mengabaikan kamera — serta apakah Anda dapat terus melakukannya seiring munculnya metode serangan baru?”

Perubahan ini kini telah dituangkan dalam dua standar penting:

NIST SP 800-63-4: Standar Federal AS yang Baru

Institut Standar dan Teknologi Nasional AS (NIST) telah menerbitkanNIST SP 800-63-4— pembaruan pertama terhadap Pedoman Identitas Digitalnya sejak tahun 2017. Standar baru ini memperkenalkan langkah-langkah pengendalian khusus untuk serangan injeksi dan media palsu, serta mewajibkan sistem biometrik pada Tingkat Jaminan Identitas 2 (IAL2) ke atas untuk menerapkan deteksi serangan presentasi DAN menganalisis media guna mendeteksi tanda-tanda konten yang dihasilkan oleh kecerdasan buatan (AI) dan deepfake.

iProov adalahpenyedia layanan biometrik pertama dan satu-satunya yang telah mendapatkan sertifikasi independen atas kepatuhannya terhadap persyaratan tersebut.

CEN/TS 18099: Standar Deteksi Serangan Injeksi

CEN/TS 18099adalah standar pengujian pertama yang dirancang khusus untuk mengevaluasi kemampuan sistem biometrik dalam mendeteksi dan menangkal ancaman berbasis injeksi. iProov Dynamic Liveness adalah solusi pertama dan satu-satunya yang berhasil meraih sertifikasi CEN/TS 18099 Level Tinggi (Ingenium Level 4) — tingkatan tertinggi dalam pengujian independen — setelah melalui evaluasi oleh Ingenium Biometric Laboratories yang terakreditasi ISO/IEC 17025.

Selama lebih dari 40 hari pengujian, tidak ditemukan metode serangan injeksi yang berhasil terhadap sistem iProov.

Sertifikasi-sertifikasi ini penting karena mengalihkan fokus pembicaraan dari klaim pemasaran ke bukti yang telah diverifikasi secara independen dan diuji di laboratorium.Pelajari lebih lanjut tentang rangkaian sertifikasi lengkap iProov di sini.

Bagaimana Manajemen Ancaman Aktif Melindungi dari Ancaman yang Terus Berkembang dan Belum Diketahui

Arsitektur pertahanan iProov dibangun di atas tiga pilar yang saling terkait. Masing-masing pilar saling memperkuat satu sama lain, dan bersama-sama mereka membentuk model keamanan yang tidak dapat ditandingi oleh satu kemampuan pun secara terpisah.

Pilar 1: iSOC — Sistem Intelijen Ancaman Biometrik Pertama di Industri

iProov Security Operations Center (iSOC)adalah sistem intelijen ancaman biometrik dan manajemen ancaman aktif global pertama di industri ini.

Melalui iSOC, iProov memantau lalu lintas secara real-time untuk mendeteksi pola serangan di seluruh pelanggan, wilayah geografis, perangkat, dan platform. Hal ini memungkinkan pemantauan berkelanjutan serta pembelajaran dari sumber, pola, dan metode serangan — sehingga sistem pertahanan selalu selangkah lebih maju dari ancaman yang terus berkembang.

Mengapa hal ini penting?

Begitu alat atau metode serangan berhasil menembus suatu sistem, informasi tersebut segera disebarkan — biasanya di dark web atau dalamjaringan Crime-as-a-Service— dan dapat menyebar dengan sangat cepat. Tanpa pemahaman yang jelas tentang bagaimana serangan terus berkembang, akan sangat sulit untuk memprioritaskan langkah-langkah pertahanan atau memahami bagaimana perilaku penyerang berubah.

Mengapa vendor lain tidak bisa meniru iSOC?

Tidak ada penyedia layanan biometrik lain yang mengoperasikan sistem serupa. Alasannya terletak pada arsitekturnya: untuk menjalankan operasi intelijen ancaman global terkait serangan biometrik, Anda memerlukan tiga hal secara bersamaan:

1. Verifikasi berbasis cloud— untuk memantau seluruh lalu lintas dari semua pelanggan secara real time.
2. Basis pelanggan yang cukup besar di berbagai sektor yang sangat mengutamakan keamanan— pemerintah, bank, lembaga perbatasan — sehingga memungkinkan untuk mengamati pola serangan yang beragam dan canggih.
3. Sebuah tim ilmuwan yang berdedikasi— terdiri dari ahli ilmu komputer, peretas etis, dan pakar intelijen ancaman yang mengubah data intelijen mentah menjadi pembaruan sistem pertahanan.

Tanpa ketiga hal tersebut, penyedia layanan bisa jadi tidak memiliki visibilitas yang memadai (pada model on-premise), tidak memiliki keragaman serangan (basis pelanggan yang kecil atau hanya berasal dari satu sektor), atau tidak memiliki keahlian untuk menindaklanjuti temuan yang mereka peroleh.

iSOC memberikannya:

• Deteksi secara real-time:Serangan terdeteksi dan diselidiki saat terjadi.
• Pembagian informasi:Setiap pelanggan mendapatkan manfaat dari deteksi serangan yang terjadi pada pelanggan mana pun, di seluruh wilayah dan sektor.
• Adaptasi berkelanjutan:Pembaruan keamanan diterapkan secara global tanpa mengganggu operasional organisasi maupun pengguna akhir.

94% organisasi sepakat bahwa mitra keamanan biometrik harus menyediakan layanan yang terus berkembang, bukan sekadar produk perangkat lunak. iSOC adalah cara iProov mewujudkan hal tersebut.Pelajari lebih lanjut mengapa pertahanan yang terus berkembang sangat penting di era kecerdasan buatan.

Pilar 2: Verifikasi Berbasis Awan sebagai Arsitektur Keamanan

Verifikasi berbasis cloud bukan sekadar pilihan implementasi. Ini adalah keputusan arsitektur keamanan yang memungkinkan fitur-fitur yang tidak mungkin diwujudkan dalam model berbasis perangkat atau di lokasi.

Proses verifikasi dilakukan di cloud, bukan di perangkat.Jika seorang penyerang berhasilmeretas perangkatsecara fisik atau digital — misalnya dengan ransomware — proses verifikasi tetap tidak terpengaruh karena terpisah dari potensi kerentanan pada perangkat tersebut.

Awan menjadi pendorong utama iSOC.iProov memantau dan menganalisis serangan secara real-timekarenaproses verifikasi dilakukan di awan. Hal ini memberikan visibilitas penuh atas lingkungan eksekusi — sesuatu yang tidak dapat dicapai oleh solusi berbasis perangkat.

Pembaruan diterapkan secara instan.Penerapan SDK berbasis cloud memungkinkan pembaruan keamanan diterapkan di sisi server, tanpa perlu memperbarui perangkat secara manual. Sistem pertahanan dan algoritme terus berkembang, sehingga semakin mempersulit upaya para penyerang.

Keamanan sistem biometrik yang dipasang di lokasi tetap sama sejak pertama kali dipasang. Namun, ancaman yang ada terus berubah.Pelajari lebih lanjut tentang perbandingan keamanan biometrik berbasis cloud dan berbasis perangkat.

Pilar 3: Flashmark — Data Biometrik Unik Per Sesi

TeknologiFlashmarkyang dipatenkan oleh iProov mengirimkan urutan warna yang unik dan tidak dapat diprediksi ke layar perangkat pengguna selama setiap sesi verifikasi. Pantulan urutan cahaya ini dari wajah pengguna dianalisis untuk memastikan bahwa orang tersebut benar-benar hadir — seorang manusia tiga dimensi yang nyata, yang sedang melakukan verifikasi saat ini.

Bagaimana cara kerjanya?Urutan warna yang dipantulkan oleh wajah harus sesuai dengan urutan yang diperintahkan untuk ditampilkan oleh perangkat. Jika gambarnya terlihat realistis tetapi urutan warnanya salah, sistem akan mendeteksi adanya pemalsuan. Karena setiap urutan bersifat unik dan kedaluwarsa segera setelah digunakan, urutan tersebut tidak dapat diputar ulang, disadap, atau direkam sebelumnya.

Mekanisme ini sepenuhnya pasif — tidak diperlukan gerakan memutar kepala, mengangguk, mengedipkan mata, atau memberikan instruksi lisan. Pengguna cukup menatap kamera, dan prosesnya selesai dalam hitungan detik.

Hal ini penting karena dua alasan:

1. Keamanan:Setiap sesi menghasilkan data biometrik unik yang tidak akan berguna jika dicuri, karena data tersebut tidak dapat digunakan kembali.
2. Inklusivitas:Verifikasi pasif menghindari hambatan aksesibilitas yang ditimbulkan oleh tantangan aktif. iProovsesuai dengan standar WCAG 2.2 AA dan Section 508, dengan algoritme yang dilatih menggunakan kumpulan data yang seimbang dan telah diuji dalam lingkungan produksi untuk memastikan kinerjanya di berbagai kelompok usia, jenis kelamin, dan warna kulit.

Tiga Pilar yang Bekerja Sama

Ketiga komponen ini membentuk satu arsitektur terintegrasi. Flashmark menghasilkan data unik untuk setiap sesi. Sistem verifikasi berbasis cloud memproses data tersebut dalam lingkungan yang aman dari manipulasi dan memberikan visibilitas real-time kepada iSOC. iSOC mendeteksi pola-pola baru yang muncul dan mengirimkan pembaruan pertahanan kepada semua pelanggan secara bersamaan. Siklus umpan balik ini – mendeteksi, menganalisis, menyesuaikan, dan menerapkan – lah yang membuat sistem keamanan iProov terus berkembang, bukan sekadar statis.

Hal ini pada akhirnya membantu melindungi pengguna dan organisasi Anda dari ancaman di masa depan maupun ancaman yang belum diketahui. Dan yang terbaik dari semuanya, semua itu ditangani untuk Anda sebagai layanan berkelanjutan.

Akibat dari Kesalahan Ini

Satu panggilan video deepfake sajatelah merugikan Arup sebesar $25 jutaakibat transfer dana palsu. Para pelaku dari negara-negara yang dikenai sanksi OFAC telah menyusup ke lebih dari 300 perusahaan dengan menggunakan filter deepfake untuk lolos dalam wawancara video jarak jauh.Sebanyak 62% organisasi mengalami serangan deepfakedalam setahun terakhir.

Pertanyaan bagi setiap organisasi yang menggunakan verifikasi biometrik bukanlah “apakah kita mampu membiayai sistem pertahanan yang paling tangguh?”, melainkan “apakah kita mampu menanggung risiko kesalahan?”

Solusi biometrik iProov dipercaya oleh berbagai organisasi yang mempertaruhkan banyak hal dalam menjawab pertanyaan tersebut:Departemen Keamanan Dalam Negeri AS,Kementerian Dalam Negeri Inggris,GovTech Singapura,Kantor Pajak Australia,ING,UBS, danID.me.

---

Laporan Intelijen Ancaman iProov 2025 menyajikan wawasan eksklusif mengenai metode serangan, alat, dan pelaku ancaman yang teramati oleh iSOC.Unduh laporan lengkapnya di sini.

Untuk mengetahui bagaimana iProov dapat melindungi organisasi Anda dari ancaman yang terus berkembang, silakanjadwalkan demo.