Keamanan siber perbankan sudah semestinya menjadi fokus perhatian pelaku industri dan regulator di era transaksi yang sudah semakin digital saat ini. Berdasarkan data International Monetary Fund (IMF) tahun 2020, total kerugian rata-rata tahunan akibat serangan siber di sektor jasa keuangan secara global mencapai sekitar US$ 100 miliar.
Otoritas Jasa Keuangan (OJK) melihat risiko yang ditimbulkan oleh ancaman siber dan insiden siber berpotensi meningkat seiring dengan pemanfaatan teknologi informasi (TI) dalam skala yang lebih besar. OJK telah merilis aturan baru untuk mendukung ketahanan dan keamanan siber perbankan umum di Tanah Air. Itu tertuang dalam Surat Edaran OJK (SEOJK) Nomor 29/SEOJK.03/2022 yang diterbitkan pada 27 Desember 2022.
“Bank diminta untuk dapat menjaga keamanan sistem elektronik yang dimiliki dari serangan siber, namun juga perlu memiliki kemampuan mendeteksi dan memulihkan keaadaan pasca terjadinya insiden siber,” katanya dalam keterangan resminya dikutip Jumat (6/1).
Gildas Deograt Lumy, Kordinator Forum Keamanan Cyber dan informasi (Formasi) dalam penjelasannya di salah satu channel Youtube tahun lalu menjelaskan bahwa bisnis proses yang dibuat bank di Indonesia banyak yang tidak aman. Layanan internet banking perbankan menurutnya masih mudah dibobol hacker.
Permasalahan itu sudah sistematis di semua lini bisnis proses. Meskipun ada aturan dari OJK yang meminta perbankan melakukan perbaikan pada sistem ketahanan dan keamanan siber, namun perbaikan yang dilakukan seringkali hanya sebatas formalitas.
Regulator tidak tegas dalam melakukan penindakan atas aturan. Hal itulah yang menjadi penyebab layanan digital perbankan di Indonesia masih belum aman.
Gildas menjabarkan, hacker putih merupakan pihak yang dibayar perbankan untuk membobol sistem mereka untuk memenuhi kewajiban pengujian sistem ketahanan dan keamanan siber dari regulator. Menurutnya, jika ingin benar-benar memastikan ketahanan dan keamanan sistem bank secara menyeluruh maka pengujian harus dilakukan secara holistik. Namun, pengujian tidak pernah dilakukan secara holistik karena jika bobol untuk untuk memperbaikinya harus dimulai dari awal lagi dan itu butuh investasi besar.
“Analoginya begini, kami (hacker putih) dibayar bank untuk membobol sistem mereka lewat kontrak legal. Kalau ingin disimulasikan seperti versi penjahat melakukan kejahatan, saya pastikan sistem mereka bobol. Sedangkan kami hanya dibayar melakukan pembobolan untuk pintu 1 sampai 4 saja. Bank tahu kalau diuji secara holistik pasti bobol. Kalau bobol maka untuk memastikan itu aman maka harus dibongkar ulang tidak bisa lagi hanya perbaikan, itu akan memakan waktu dan bank pasti tidak mau layanannya terhenti,” jelas Gildas.
Di sisi lain, lanjutnya, independensi perusahaan auditor yang diminta menguji ketahanan dan kemanana sistem bank tergantung pada siapa pihak yang membayarnya.
“Auditor mengaku punya kode etik memang betul, tidak boleh mengarang dan mengatakan tidak ada temuan padahal ada. Tetapi yang bisa diatur adalah pembobolan dilakukan lewat pintu mana saja. Makanya saat buat kontrak dengan bank, di awal sudah kita tanyakan tujuan mereka apa melakukan pengujian, apakah mau memastikan sistemnya aman atau hanya sekedar memenuhi syarat OJK,” tambahnya.
Keamanan siber perbankan sudah semestinya menjadi fokus perhatian pelaku industri dan regulator di era transaksi yang sudah semakin digital saat ini. Berdasarkan data International Monetary Fund (IMF) tahun 2020, total kerugian rata-rata tahunan akibat serangan siber di sektor jasa keuangan secara global mencapai sekitar US$ 100 miliar.
Otoritas Jasa Keuangan (OJK) melihat risiko yang ditimbulkan oleh ancaman siber dan insiden siber berpotensi meningkat seiring dengan pemanfaatan teknologi informasi (TI) dalam skala yang lebih besar. OJK telah merilis aturan baru untuk mendukung ketahanan dan keamanan siber perbankan umum di Tanah Air. Itu tertuang dalam Surat Edaran OJK (SEOJK) Nomor 29/SEOJK.03/2022 yang diterbitkan pada 27 Desember 2022.
“Bank diminta untuk dapat menjaga keamanan sistem elektronik yang dimiliki dari serangan siber, namun juga perlu memiliki kemampuan mendeteksi dan memulihkan keaadaan pasca terjadinya insiden siber,” katanya dalam keterangan resminya dikutip Kamis (5/1).
Gildas Deograt Lumy, Kordinator Forum Keamanan Cyber dan informasi (Formasi) dalam penjelasannya di salah satu channel Youtube tahun lalu menjelaskan bahwa bisnis proses yang dibuat bank di Indonesia banyak yang tidak aman. Layanan internet banking perbankan menurutnya masih mudah dibobol hacker.
Permasalahan itu sudah sistematis di semua lini bisnis proses. Meskipun ada aturan dari OJK yang meminta perbankan melakukan perbaikan pada sistem ketahanan dan keamanan siber, namun perbaikan yang dilakukan seringkali hanya sebatas formalitas.
Regulator tidak tegas dalam melakukan penindakan atas aturan. Hal itulah yang menjadi penyebab layanan digital perbankan di Indonesia masih belum aman.
Gildas menjabarkan, hacker putih merupakan pihak yang dibayar perbankan untuk membobol sistem mereka untuk memenuhi kewajiban pengujian sistem ketahanan dan keamanan siber dari regulator. Menurutnya, jika ingin benar-benar memastikan ketahanan dan keamanan sistem bank secara menyeluruh maka pengujian harus dilakukan secara holistik. Namun, pengujian tidak pernah dilakukan secara holistik karena jika bobol untuk untuk memperbaikinya harus dimulai dari awal lagi dan itu butuh investasi besar.
“Analoginya begini, kami (hacker putih) dibayar bank untuk membobol sistem mereka lewat kontrak legal. Kalau ingin disimulasikan seperti versi penjahat melakukan kejahatan, saya pastikan sistem mereka bobol. Sedangkan kami hanya dibayar melakukan pembobolan untuk pintu 1 sampai 4 saja. Bank tahu kalau diuji secara holistik pasti bobol. Kalau bobol maka untuk memastikan itu aman maka harus dibongkar ulang tidak bisa lagi hanya perbaikan, itu akan memakan waktu dan bank pasti tidak mau layanannya terhenti,” jelas Gildas.
Di sisi lain, lanjutnya, independensi perusahaan auditor yang diminta menguji ketahanan dan kemanana sistem bank tergantung pada siapa pihak yang membayarnya.
“Auditor mengaku punya kode etik memang betul, tidak boleh mengarang dan mengatakan tidak ada temuan padahal ada. Tetapi yang bisa diatur adalah pembobolan dilakukan lewat pintu mana saja. Makanya saat buat kontrak dengan bank, di awal sudah kita tanyakan tujuan mereka apa melakukan pengujian, apakah mau memastikan sistemnya aman atau hanya sekedar memenuhi syarat OJK,” tambahnya.