Tingkatkan Ketahanan dan Keamanan Siber, Ini yang Dilakukan Perbankan Indonesia

Ketahanan dan keamanan siber perbankan sudah semestinya menjadi fokus perhatian pelaku industri dan regulator di era transaksi yang sudah semakin digital saat ini. Berdasarkan data International Monetary Fund (IMF) tahun 2020, total kerugian rata-rata tahunan akibat serangan siber di sektor jasa keuangan secara global mencapai sekitar US$ 100 miliar.

Otoritas Jasa Keuangan (OJK) melihat risiko yang ditimbulkan oleh ancaman siber dan insiden siber berpotensi meningkat seiring dengan pemanfaatan teknologi informasi (TI) dalam skala yang lebih besar. 

Oleh karena itu, OJK telah merilis aturan baru untuk mendukung ketahanan dan keamanan siber perbankan umum di Tanah Air. Itu tertuang dalam Surat Edaran OJK (SEOJK) Nomor 29/SEOJK.03/2022 yang diterbitkan pada 27 Desember 2022. 

Ketua Dewan Komisioner OJK Mahendra Siregar mengatakan, aturan dibuat dalam rangka mendukung percepatan transformasi digital perbankan di Indonesia.

"Bank diminta untuk dapat menjaga keamanan sistem elektronik yang dimiliki dari serangan siber, namun juga perlu memiliki kemampuan mendeteksi dan memulihkan keaadaan pasca terjadinya insiden siber," katanya dalam keterangan resminya dikutip Kamis (5/1).

Gildas Deograt Lumy, Kordinator Forum Keamanan Cyber dan informasi (Formasi) dalam penjelasannya di salah satu channel Youtube tahun lalu menjelaskan bahwa bisnis proses yang dibuat bank di Indonesia banyak yang tidak aman. Layanan internet banking perbankan menurutnya masih mudah dibobol hacker.

Menurutnya, permasalahan itu sudah sistematis di semua lini bisnis proses. Meskipun ada aturan dari OJK yang meminta perbankan melakukan perbaikan pada sistem ketahanan dan keamanan siber, namun perbaikan yang dilakukan seringkali hanya sebatas formalitas. 

Ia mengungkapkan, untuk membangun sistem yang kuat diperlukan capex yang besar. Sedangkan pemilik bank sebagai pebisnis menuntut bank menghasilkan untung. 

Di sisi lain, regulator tidak tegas dalam melakukan penindakan atas aturan. Hal itulah yang menjadi penyebab layanan digital perbankan di Indonesia masih belum aman. 

Gildas menjabarkan, hacker putih merupakan pihak yang dibayar perbankan untuk membobol sistem mereka untuk memenuhi kewajiban pengujian sistem ketahanan dan keamanan siber dari regulator. 

Menurutnya, jika ingin benar-benar memastikan ketahanan dan keamanan sistem bank secara menyeluruh maka pengujian harus dilakukan secara holistik. Namun, pengujian tidak pernah dilakukan secara holistik karena jika bobol untuk untuk memperbaikinya harus dimulai dari awal lagi dan itu butuh investasi besar. 

"Analoginya begini, kami (hacker putih) dibayar bank untuk membobol sistem mereka lewat kontrak legal. Kalau ingin disimulasikan seperti versi penjahat melakukan kejahatan, saya pastikan sistem mereka bobol. Sedangkan kami hanya dibayar melakukan pembobolan untuk pintu 1 sampai 4 saja. Bank tahu kalau diuji secara holistik pasti bobol. Kalau bobol maka untuk memastikan itu aman maka harus dibongkar ulang tidak bisa lagi hanya perbaikan, itu akan memakan waktu dan bank pasti tidak mau layanannya terhenti," jelas Gildas. 

Di sisi lain, lanjutnya,  independensi perusahaan auditor yang diminta menguji ketahanan dan kemanana sistem bank tergantung pada siapa pihak yang membayarnya. 

"Auditor mengaku punya kode etik memang betul, tidak boleh mengarang dan mengatakan tidak ada temuan padahal ada. Tetapi yang bisa diatur adalah pembobolan dilakukan lewat pintu mana saja. Makanya saat buat kontrak dengan bank, di awal sudah kita tanyakan tujuan mereka apa melakukan pengujian, apakah mau memastikan sistemnya aman atau hanya sekedar memenuhi syarat OJK," tambahnya.

Sehingga permasalahan sistem ketahanan dan keamanan siber perbankan menurutnya ada pada sisi regulator. Harus ada ketegasan terkait pengujian ini karena itu bagian dari manajemen risiko.

PT Bank Mandiri Tbk mengaku terus melakukan kajian terhadap kemampuan kesiapan system dalam hal identifikasi, proteksi, deteksi, response dan recovery terhadap jenis jenis kejahatan berbasikan teknologi (IT). 

"Setiap tahunnya kami terus meningkatkan kecukupan dan kecakapan aspek people-process-teknologi guna meminimalisir gap dimana aktivitas pengkinian menjadi prioritas utama bagi perseroan," kata Timothy Utama Direktur IT Bank Mandiri. 

Tahun ini, Bank Mandiri menyiapkan capex IT Rp 2,5 triliun. Itu naik dari anggaran tahun lalu sebesar Rp 2,2 triliun.

Sementara PT Bank Central Asia Tbk (BCA) mengapresiasi OJK atas terbitnya POJK No. 11/2022 tentang Penyelenggaraan Teknologi Informasi oleh Bank Umum dan SEOJK No.29/2022 tentang Ketahanan dan Keamanan Siber bagi Bank Umum.

"Ini merupakan hal yang positif dalam mengantisipasi risiko keamanan siber dan mendukung percepatan transformasi perbankan digital di Indonesia. BCA berkomitmen mendukung kebijakan dan arahan dari pemerintah, regulator,  dan otoritas perbankan. " kata Hera F Haryn, Sekretariat dan Komunikasi Perusahaan BCA, Kamis (5/1).

Sejalan dengan hal itu, lanjutnya, BCA telah menganggarkan Capex tahun 2022 Rp 5 triliun dimana sebagian besar akan dialokasikan untuk IT, digitalisasi perbankan, pengembangan jaringan kantor cabang, serta cybersecurity. 

Hera bilang, BCA selalu mengutamakan keamanan nasabah dan secara konsisten menghimbau nasabah untuk mendukung sistem keamanan ini dengan melakukan edukasi kerahasiaan data dan modus-modus penipuan yang marak terjadi belakangan ini.

Di samping itu, BCA memiliki standar keamanan, manajemen risiko dan liability serta accountability untuk mencegah terjadinya kebocoran data. Secara khusus mengenai keamanan data, seluruh data yang tersimpan pada sistem kami terjaga dengan proses serta teknologi proteksi data yang berlapis dan handal. 

"Standar tersebut selalu dimutakhirkan dan dievaluasi kesinambungannya sesuai dengan risk appetite BCA, sesuai dengan perkembangan cyberthreat landscape, dan sejalan dengan ketentuan regulator." ujarnya. 

BTN juga terus melakukan penguatan ketahanan dan keamanan siber. Tahun ini, perseroan menggarkan capex TI naik 18% dari tahun 2022 sebesar Rp 400 miliar. 

Andi Nirwoto Direktur IT BTN mengatakan, mayoritas akan peningkatan kapabilitas dan kapasitas e-Channel, sistem pendukung untuk memperkuat transaksional di segmen corporate yang related dengan ekosistem perumahan, peningkatan kapabilitas untuk analisa dan pemanfaatan data, serta untuk memperkuat kapabilitas dalam area security untuk menghadapi serangan siber. 
"Untuk meningkatkan pengamanan siber, kami mengalokasikan kurang lebih 10% dari budget investasi tahun 2023." pungkasnya.

Sumber : https://keuangan.kontan.co.id/news/tingkatkan-ketahanan-dan-keamanan-siber-ini-yang-dilakukan-perbankan-indonesia

Comments