OJK Rilis Aturan Baru, Bank Wajib Uji Keamanan Siber Minimal Sekali Setahun

Otoritas Jasa Keuangan (OJK) telah merilis aturan baru untuk mendukung ketahanan dan keamanan siber perbankan umum di Tanah Air. Pasalnya, risiko yang ditimbulkan oleh ancaman siber dan insiden siber dinilai berpotensi meningkat seiring dengan pemanfaatan teknologi informasi (TI) dalam skala yang lebih besar. 

Aturan baru itu tertuang dalam Surat Edaran OJK (SEOJK) Nomor 29/SEOJK.03/2022 yang diterbitkan pada 27 Desember 2022.

 
Ketua Dewan Komisioner OJK Mahendra Siregar mengatakan, aturan dibuat dalam rangka mendukung percepatan transformasi digital perbankan di Indonesia.

"Bank diminta untuk dapat menjaga keamanan sistem elektronik yang dimiliki dari serangan siber, namun juga perlu memiliki kemampuan mendeteksi dan memulihkan keaadaan pasca terjadinya insiden siber," katanya dalam keterangan resminya dikutip Kamis (5/1).

Sebelumnya, OJK telah menerbitkan Peraturan OJK No.11/POJK.03/2022 mengenai penyelenggaraan teknologi informasi oleh bank umum atau PTIB. Saat ini, PTIB baru mencakup aspek data, teknologi, manajemen risiko, kolaborasi dan tatanan institusi bank umum dalam rangka meningkatkan ketahanan dan kematangan operasional bagi bank umum.

 
Oleh karena itu, secara lebih detail pelaksanaan ketahanan dan keamanan siber bagi bank umum dimuat dalam SE baru tersebut.

 
Ada delapan poin yang diatur dalam SE ketahanan dan keamanan siber tersebut. 

• Pertama, penilaian risiko inheren terkait keamanan siber. 
• Kedua, penerapan managemen risiko terkait keamanan siber. 
• Ketiga, penerapan proses ketahanan siber.
• keempat, penilaian tingkat maturitas keamanan siber. 
• Kelima, tingkat risiko keamanan siber. 
• Keenam, pengujian keamanan siber. 
• ketujuh, unit dan fungsi yang menangani ketahanan dan keamanan siber. 
• Kedelapan, laporan insiden siber. 

Terkait pengujian keamanan siber, bank umum diwajibkan melakukan pengujian secara berkala atas keamanan jaringan, sistem, dan data. Pengujian dilakukan berdasarkan analisis kerentanan dan berdasarkan skenario.

Tujuan pengujian berdasarkan analisis kerentanan adalah untuk melihat titik lemah sistem bank. Ini dilakukan berkala berdasarkan evaluasi internal bank yang diawali dengan pelaksanaan identifikasi kerentanan yang kemudian dilanjutkan dengan penetration test. Lalu hasilnya disampaikan kepada OJK.

Sedangkan pengujian berdasarkan skenario bertujuan memvalidasi proses penanggulangan dan pemulihan insiden siber pada bank. Ini dilakukan secara berkala, paling sedikit sekali dalam setahun.
Hal yang perlu diperhatikan dalam pengujian berdasarkan skenario, seperti pengujian dalam bentuk simulasi serangan harus dilakukan secara terkendali di bawah pengawasan ketat. 

Hasilnya harus dilaporkan ke OJK paling lama 10 hari kerja setelah pengujian keamanan siber selesai dilaksanakan.

"Pengujian keamanan siber bisa dilakukan secara mandiri atau menggunakan pihak ketiga dengan tetap memperhatikan hal-hal tertentu." tulis OJK dalam SEOJK tersebut

Sumber : https://keuangan.kontan.co.id/news/ojk-rilis-aturan-baru-bank-wajib-uji-keamanan-siber-minimal-sekali-setahun