Pada era bank digital seperti sekarang, aspek keamanan siber memainkan peranan yang kian signifikan di industri perbankan. Hasil survei International Monetary Fund (IMF) pada 2020 mengungkapkan, risiko siber adalah ancaman baru terhadap stabilitas keuangan. 

Estimasi total kerugian rata-rata tahunan yang dialami sektor jasa keuangan secara global yang disebabkan oleh serangan siber, mencapai 100 miliar dolar Amerika Serikat (AS).

Kemudian, risiko siber dan gangguan teknologi finansial (FinTech disruption) juga kian menantang para bankir untuk memikirkan kembali strategis dan respons terhadap risiko. Terlihat di survei IMF, teknologi siber memiliki risiko paling tinggi, kemudian gangguan teknologi finansial di peringkat kedua, ekonomi makro di peringkat ketiga, risiko kredit di peringkat keempat, dan model bisnis di peringkat kelima.

“Jadi ketika kita bobol akan satu hal yang terkait dengan siber, pastinya kerugian kita akan unlimited. Oleh karena itu, ini yang harus kita sadari bahwa setiap institusi, tidak hanya finansial, kini harus mempertimbangkan keamanan siber,” kata EVP Technology System Bank Raya Indonesia, Gibbon MP Tamba di acara ITSEC: Cyber Security Summit 2023, Kamis (19/1/2023).

Gibbon menjelaskan, karena sekali kehilangan kepercayaan dari pelanggan, selamanya tidak akan dipercaya lagi. Bahkan, tidak akan bisa melayani pelanggan dengan lebih baik karena kepercayaannya sudah hilang.

Mengutip dari sumber IBM Security-X Force Report 2022, SQN Banking System, Gibbon menyebutkan, dari 10 industri teratas secara global yang menjadi serangan, nomor satu ditempati oleh sektor keuangan sebesar 22,4 persen. 

Sekitar 70 persen serangan ini ditujukan kepada bank, 16 persen kepada perusahaan asuransi, dan 14 persen ke sektor keuangan lainnya. “Jadi risiko yang dihadapi oleh bank itu 70 persen besarnya dan ukurannya mau bank kecil, mau bank medium, mau bank besar, mau bank buku dua, mau bank buku tiga, bank buku empat, bagaimana kita memproteksi security sama saja,” ujar Gibbon. 

“Jadi bukan berarti bank kecil, cara memproteksinya ah dengan teknologi seadanya sajalah. Cukup dengan mengandalkan firewall, cukup dengan mengandalkan antivirus, done. Tapi potensi serangannya itu sama saja besarnya dan sama saja dahsyatnya,” kata Gibbon menjelaskan. 

Kemudian, ada enam risiko siber teratas global di bank. Yakni, data yang tidak terenkripsi, malware, layanan pihak ketiga tanpa jaminan, data yang dimanipulasi, dan pemalsuan situs/aplikasi.

Gibbon mengungkapkan, satu hal yang harus kita pertimbangkan untuk seluruh industri keuangan pastinya adalah memiliki kerangka kerja yang harus kita jalankan bersama-sama. Termasuk juga, harus kita pahami item per item agar lebih aman. 

Penerapan zero trust

Sumber framework Bank Raya adalah pengamanan (reputasi, uang, mission critical apps Raya 1.0, 2.0, pinang, data, infrastruktur) mengadopsi berbagai sumber (regulasi, sumber internasional, best practice international), yang kemudian disusun menjadi empat layar proteksi.

Regulasi yang dijadikan acuan adalah POJK Nomor 38/POJK.03/2016 tentang penerapan manajemen risiko dalam penggunaan teknologi informasi oleh bank umum dan SEOJK 21/SEOJK.03/2017 tentang penerapan manajemen risiko dalam penggunaan teknologi informasi oleh bank umum.

Menurut Gibbon, penting juga untuk menerapkan ISO 27001. Kemudian yang harus diperhatikan juga untuk memastikan keamanan teknologi atau keamanan siber ini bisa dijalani dengan bersama-sama adalah Bank Raya, setidaknya memahami NIST Framework, COBIT 2019, dan PCI Security Standards Council.

Selain itu, Gibbon juga memaparkan strategi keamanan data Bank Raya. Yaitu, ketahui data apa yang dimiliki, mengetahui nilai data, tahu risiko data yang dimiliki, pahami kemungkinan dan dampak dari risiko ini, dan menerima tingkat risiko.

“Ini data security strategy ya. Kita harus tahu apa yang kita miliki dan kita harus tahu value dari satu yang kita miliki, serta risiko dari data yang kita miliki,” ujar Gibbon.

Ia menambahkan, Zero Trust Security juga menjadi strategi Bank Raya, yaitu membuat security roles, controls and procedures untuk monitoring, menentukan kebutuhan bisnis dan regulasi, review, dan menentukan data security. Termasuk juga, untuk menentukan confidentiality, membuat kategori data, dan mengidentifikasi current security risk.

“Zero Trust Security adalah strategi kita juga untuk memastikan bahwa end to end dari hal-hal yang kita perlukan untuk meng-apply aplikasi-aplikasi, yang kita publish ke customer bisa terjaga dengan baik,” kata Gibbon.

 

Setiap institusi, tidak hanya finansial, kini harus mempertimbangkan keamanan siber.

GIBBON MP TAMBA, EVP Technology System Bank Raya Indonesia

 

 

SHARE