Kemajuan teknologi dan perubahan gaya hidup masyarakat ke arah digital memaksa semua bisnis untuk menggunakan teknologi digital. Demikian pula dunia keuangan, khususnya perbankan. Digitalisasi perbankan merupakan keniscayaan. Nasabah zaman sekarang menganggap kanal digital sebagai suatu keharusan.
Bank-bank yang tidak dapat melakukan pembukaan rekening secara online dianggap ketinggalan zaman. Bank-bank yang mobile banking-nya lelet, sulit digunakan, dan tidak andal akan ditinggalkan. Semakin jarang orang datang ke cabang. Setahun belum tentu sekali. ATM pun semakin jarang digunakan. Semua layanan non-tunai dapat dengan mudah dilakukan melalui mobile banking. Transaksi tarik tunai pun semakin berkurang sejalan dengan makin banyaknya tempat yang menerima kartu dan QRIS sebagai metode pembayaran.
Di sisi lain, perbankan sebagai institusi penyimpan dana merupakan sasaran yang menarik bagi penjahat. Mereka selalu mengintai dan menunggu kelengahan bank. Mereka merampok bank tidak lagi menggunakan senjata api, tetapi menggunakan teknologi IT. Untuk itu, mereka berani melakukan investasi dengan merekrut dan mendidik orang-orang yang jago IT. Tidak jarang mereka membayar orang dalam dan bahkan tidak mustahil juga mereka menempatkan beberapa insider di dalam bank yang diincar. Intinya, sebagai penjahat mereka berusaha untuk satu dua langkah di depan calon korbannya.
Untuk mengantisipasi risiko serangan digital dengan efektif, perbankan harus melakukan beberapa langkah pencegahan yang penting. Pertama mereka harus melakukan edukasi terhadap risiko keamanan IT (IT security awareness) kepada karyawan. Mitigasi serangan IT bukan hanya menjadi tanggung jawab unit IT, tetapi merupakan tanggung jawab semua karyawan. Semua karyawan harus sadar terhadap bahaya laten serangan IT. Mereka harus diajari mengategorikan informasi apa yang merupakan ”informasi publik” yang boleh diketahui semua orang dan mana ”informasi rahasia” yang hanya boleh diketahui segelintir orang yang berhak.
Baca juga: ”Quo Vadis” Bank Digital?
Beberapa informasi, seperti PIN atau password, adalah ”informasi sangat rahasia” yang sama sekali tidak boleh diketahui orang lain. Jika ada karyawan yang berbagi password untuk melakukan suatu tugas, bisa langsung dikeluarkan. Banyak kejadian pembobolan bank dimulai dari ketidak-tahuan dan ketidak-pedulian karyawan. Ada bank yang mengalami kerugian puluhan miliar rupiah hanya karena salah satu karyawannya membuka e-mail dengan tautan tertentu sehingga penjahat bisa masuk ke dalam sistem bank tersebut.
Kedua, bank harus menerapkan ”kontrol proses” yang kuat. Setiap proses manual harus dilakukan minimal dengan kontrol ganda, yaitu ada orang yang melakukan transaksi dan ada orang mengotorisasinya. Semua proses yang penting harus ada log atau catatannya sehingga jika terjadi permasalahan, bank bisa melakukan audit forensik dengan mudah. Proses rekonsiliasi juga harus selalu dilakukan agar jika ada anomali bisa langsung diketahui. Dengan cepat dan banyaknya transaksi, proses rekonsiliasi ini harus dilakukan secara otomatis.
Bank juga harus mau berinvestasi yang memadai untuk sistem keamanan IT. Semua server, jaringan, komputer yang ada harus diproteksi dengan software keamanan dan monitoring yang memadai. Semua aplikasi harus dibangun dan dirawat dengan standar keamanan minimum tertentu. Setiap kali ada aplikasi baru atau ada perubahan fitur harus dilakukan pengujian ulang.
Baca juga : Memahami Wacana Digital Rupiah
Sebagai best practices, bank juga harus melakukan penetration testing, yaknibank membayar white hacker untuk mencari kelemahan sistem yang ada. Bank juga harus memiliki SOC (security operation center) yang bertugas memonitor, memitigasi, dan menanggulangi setiap serangan IT yang terjadi. Investasi-investasi tersebut tidaklah murah tapi merupakan sesuatu yang tidak bisa ditawar jika suatu bank menggunakan teknologi digital dengan intensif.
Selain itu, sebagai benteng selanjutnya, bank juga harus memiliki unit anti pembobolan (anti-fraud unit). Unit ini harus melakukan monitoring 7x24 jam terhadap semua transaksi yang terjadi. Tentunya mereka harus dilengkapi dengan sistem deteksi fraud (fraud detection system) yang otomatis dan memadai. Transaksi yang mencurigakan harus bisa diidentifikasi dengan cepat. Jika terjadi pembobolan, unit ini juga yang akan berusaha melakukan recovery dengan berkoordinasi dengan pihak-pihak terkait.
Perlindungan data
Selain aset finansial, data juga merupakan aset yang berharga dan harus dilindungi. Informasi rahasia dan data pribadi nasabah harus dilindungi dengan baik. Jika terjadi kebocoran data, bank akan berada pada posisi yang sulit karena kredibilitasnya bisa hancur. Serangan ransomware yang baru-baru ini terjadi di sebuah bank besar merupakan permasalahan yang sulit untuk dipecahkan. Bank menghadapi buah simalakama. Tuntutan penjahat diladeni pun belum tentu datanya tidak disebar. Jadi memang jauh lebih baik mencegah daripada telanjur terkena serangan.
Selain risiko kredibilitas, UU Perlindungan Data Pribadi (UU PDP) juga memberikan ancaman denda administratif yang signifikan sampai dengan 2 persen dari pendapatan tahunan. Ini nilai yang relatif besar. Meski demikian, serangan IT bukanlah sesuatu yang selalu mudah untuk dicegah. Lawan kita adalah penjahat IT yang memiliki sumber daya yang besar. Bahkan rumornya ada juga penjahat yang disponsori oleh negara, seperti Korea Utara.
Oleh karena itu, penerapan praktis dari UU PDP sebaiknya bukan dengan pendekatan hukuman dalam bentuk denda yang besar, tetapi pendekatan kepatuhan. Artinya, selama institusi tersebut sudah patuh dan melakukan mitigasi yang cukup untuk melakukan proteksi, dendanya tidak perlu sampai sebesar itu. Denda yang besar hanya diterapkan jika ada kelalaian atau kesengajaan.
Regulator seperti OJK dan BI pun sangat berperan dalam hal keamanan IT perbankan. Peraturan yang dikeluarkan harus mengarah kepada standarisasi keamanan IT perbankan yang semakin baik. Pengawasan pun harus lebih ketat. Sebaiknya di samping mengandalkan pengawasan dengan sumber data internal yang terbatas, regulator juga menunjuk beberapa lembaga sertifikasi yang mumpuni untuk melakukan sertifikasi dan audit berkala terhadap keamanan IT sehingga semua bank dapat mencapai standar keamanan yang memadai.
Baca juga : Menghadapi Kejahatan Transaksi Keuangan Digital
Penggunaan teknologi digital akan membuat suatu bank menjadi hebat. Namun, jika bank tersebut tidak siap, penggunaan teknologi digital berpotensi menimbulkan risiko yang tidak bisa dianggap enteng. Ibaratnya menunggang macan bisa membuat kita menjadi hebat. Namun, jika kita tidak merawatnya dengan baik, macannya bisa berbalik menerkam kita.
Rico Usthavia Frans, Anggota Steering Committee Indonesia Fintech Society