Dinamika Keamanan Siber dan Kegentingan Langkah Kolektif
Sistem operasional perbankan modern sangat bergantung pada teknologi dan platform digital. Ketergantungan ini menghadirkan kerentanan terhadap serangan siber. Penting memahami dinamika ancaman serangan siber terkini.
Oleh
WIMBOH SANTOSO
·4 menit baca
Digitalisasi memungkinkan industri keuangan semakin kompetitif akibat penurunan biaya untuk memperluas jangkauan. Bagi perekonomian umum, kondisi ini mendorong inklusivitas keuangan dan menstimulus pertumbuhan ekonomi. Namun, manfaat besar ini diikuti oleh risiko besar yang semakin dinamis belakangan ini dalam bentuk ancaman siber.
Sistem operasional perbankan modern sangat bergantung pada teknologi dan platform digital. Ketergantungan ini menghadirkan kerentanan terhadap serangan siber, baik dalam pencurian data sensitif nasabah, peretasan terhadap sistem pencatatan perbankan, maupun pelumpuhan terhadap seluruh sistem operasi perbankan.
Selain menjadi isu penting bagi setiap bank, risiko ini juga menjadi isu ekonomi nasional akibat keterhubungan institusi keuangan yang secara natural memiliki risiko efek domino di dalamnya.
Serangan siber pada lembaga keuangan dengan skala relatif yang kritikal dapat merusak kesehatan lembaga keuangan lain yang memiliki interelasi kuat dengan lembaga keuangan itu dan pada gilirannya menularkan siklus ini ke seluruh institusi pada sistem keuangan.
Indonesia sudah merasakan dampak risiko siber beberapa tahun terakhir ini. Pada 2022 terdapat setidaknya empat serangan siber ke sistem dalam jaringan pemerintah yang berdampak pada pencurian data registrasi kesehatan, data registrasi telepon genggam, dan data kependudukan masyarakat.
Pada 2023, setidaknya terdapat serangan siber kepada bank nasional terbesar dan lembaga multifinance besar yang berdampak hilangnya data pelanggan serta pemutusan jaringan layanan untuk sementara. Kasus serangan siber dapat menimbulkan penurunan stabilitas sistem keuangan serta kepercayaan masyarakat pada sektor jasa keuangan.
Kebutuhan akan solusi dinamis
Pertahanan terhadap serangan siber pada umumnya dilakukan melalui penguatan dinding keamanan sistem teknologi secara terus-menerus, yang mungkin akan tidak relevan (irrelevent) di masa depan.
Pertama, penguatan secara membabi buta cenderung meningkatkan biaya investasi keamanan sistem. Namun, besarnya biaya investasi dapat menjadi irrelevant karena serangan siber cenderung terus berkembang dan besar kemungkinan dapat menembus pertahanan yang sudah dibangun.
Ilustrasi
Kedua, penguatan dinding keamanan secara berlebihan juga dapat memengaruhi kecepatan sistem teknologi, dan menghadirkan trade-off antara keamanan berlebih dan kecepatan layanan.
Pemahaman tentang dinamika ancaman serangan siber menjadi genting untuk mengatasi isu ini. Dinamika ancaman serangan siber merupakan turunan dari dinamika teknologi.
Misalnya, kecerdasan buatan (artificial intelligence/AI) sekarang dapat diakses oleh siapa saja. Fenomena ini menurunkan biaya komputasi dan biaya koordinasi dalam pembangunan program, termasuk program untuk serangan siber. Kemampuan kognitif AI yang terus meningkat memungkinkan AI untuk terus mencari jalan masuk ke dalam suatu sistem tanpa perlunya arahan dari pencipta program. Hal ini menjadi pendorong bahwa pola pikir statis dalam pembangunan keamanan siber harus berubah menjadi dinamis.
Langkah dinamis dalam pertahanan terhadap risiko keamanan siber harus dimulai melalui pengecekan tata kelola teknologi dalam perusahaan.
Terdapat berbagai standar internasional yang dapat menjadi titik awal pengecekan tata kelola teknologi dalam perusahaan. Standar ISO 27001, sebagai contoh, menyediakan pendekatan sistematis untuk mengelola informasi sensitif untuk memastikan kerahasiaan data, integritas, dan ketersediaan data.
Selain itu, terdapat ISO 27032 yang menjadi panduan dalam mengelola risiko keamanan siber dalam organisasi.
Salah satu yang perlu diperhatikan adalah peningkatan kapasitas semua karyawan terkait isu keamanan siber.
Standar ISO harus dipahami sebagai titik minimum dalam pengaturan keamanan siber. Titik minimum harus dilengkapi juga dengan peningkatan kesiapan dalam menghadapi isu keamanan siber. Salah satu yang perlu diperhatikan adalah peningkatan kapasitas semua karyawan terkait isu keamanan siber. Peningkatan kapasitas bisa dilakukan dengan mempertimbangkan risiko siber dari individu masing-masing.
Individu yang paling rentan terpapar (menjadi pintu masuk serangan siber) mendapatkan pelatihan yang lebih menyeluruh daripada individu lain. Selain itu, budaya keamanan siber sudah harus menjadi salah satu fokus utama dalam budaya kerja dan budaya organisasi, yang diimplementasikan dalam prosedur operasional standar di setiap divisi.
Langkah dinamis juga perlu dilakukan oleh asosiasi profesi sektor keuangan. Serangan siber pada suatu institusi jangan sampai ditutupi dengan diselesaikan melalui pembayaran tebusan (ransom). Informasi terkait serangan siber, jika ditutupi, dapat berakibat lengahnya institusi lain terkait modus operandi serangan siber yang terjadi sehingga menjadi kesempatan bagi pihak penyerang untuk mereplikasi metode pada institusi lain.
Ilustrasi
Peran asosiasi profesi sektor keuangan menjadi penting untuk memastikan bahwa kerahasiaan institusi yang berbagi informasi dijaga dengan ketat, tetapi informasi yang dapat berguna bagi peningkatan keamanan institusi lain tetap tersirkulasi dengan baik. Langkah saling jaga seperti ini dapat menjadi sumbangsih asosiasi dalam menjaga keamanan siber setiap anggotanya.
Kesiapan menghadapi serangan siber
Meskipun terdapat berbagai langkah preventif terkait serangan siber, tingginya dinamika perkembangan serangan siber juga menuntut manajemen untuk memikirkan langkah apabila serangan siber berhasil membobol pertahanan sistem perusahaan. Analisis risiko, langkah untuk merespons, serta kalkulasi biaya dan manfaat dalam konteks terjadinya serangan siber perlu disimulasikan untuk menguji kesiapan manajemen dalam berbagai skenario yang mungkin terjadi terkait serangan siber.
Keamanan siber dalam industri keuangan telah berkembang menjadi isu yang tidak lagi terbatas pada teknologi. Kerusakan yang ditimbulkan oleh ancaman siber tidak terbatas pada pencurian data dan saldo rekening nasabah, tetapi dapat berkembang menjadi risiko sistemik yang bisa menghadirkan ketidakstabilan perekonomian.
Dinamika isu ini perlu menjadi perhatian, tak hanya di kalangan pemain pasar, tetapi juga bagi asosiasi, pemerintah, dan masyarakat pada umumnya. Pengecekan berkala wajib dilakukan untuk memastikan keamanan sistem.
Namun, peningkatan kesiapan terhadap serangan siber mutlak juga diperlukan dalam pengelolaan risiko serangan siber. Tugas ini tidak hanya dipikul oleh pelaku pasar, tetapi harus didukung juga oleh peran asosiasi, pemerintah, dan masyarakat pada umumnya.
Wimboh SantosoKetua Dewan Komisioner OJK periode 2017-2022