Semakin digital layanan sebuah bank, maka makin besar risiko siber yang akan menjelang. Dibutuhkan mitigasi serius dari pelaku industri perbankan.
Oleh Romualdus San Udika
Transformasi layanan keuangan ke arah digital semakin masif di masa pandemi. Pembatasan mobilitas individu telah memaksa masyarakat untuk menggunakan layanan daring untuk memenuhi kebutuhan sehari- hari. Di sektor perbankan, kebijakan pembatasan sosial telah mendorong digitalisasi layanan yang beberapa tahun sebelumnya sudah menggema.
Akan tetapi, seperti juga tahun-tahun sebelumnya ketika sistem perbankan kerap menjadi sasaran empuk penjahat siber, ketika layanan digital makin komplet maka risiko kejahatan siber juga akan meningkat. Indikasi itu diperkuat dengan laporan terbaru yang dirilis Pusat Operasi Keamanan Siber Nasional Badan Siber dan Sandi Negara (BSSN). Menurut institusi itu, sepanjang tahun 2020 telah terjadi 495 juta serangan siber. Angka itu naik 5 kali lipat dibanding tahun sebelumnya yang sebanyak 228 juta serangan siber.
Dari berbagai serangan siber yang terjadi, secara global sektor keuangan merupakan sektor yang paling sering terkena insiden siber. “Serangan siber yang menargetkan sektor perbankan memiliki tujuan terhadap motif ekonomi dengan pelakunya adalah kriminal siber. Berbagai kasus di Indonesia juga kerap terjadi pembobolan bank dengan menggunakan serangan siber dengan memanfaatkan social engineering, OTP fraud, SIM swap, kelemahan pada sistem perbankan dan juga phishing,” jelas Direktur Identifikasi Kerentanan dan Penilaian Risiko Infrastruktur Informasi Kritikal Nasional BSSN, Intan Rahayu.
Sebelumnya Word Economic Forum juga melansir laporan mengenai Global Risk Report 2021, dan mengatakan bahwa risiko serangan siber masih menjadi risiko tertinggi, meski masih di bawah risiko bencana alam dan kerusakan lingkungan serta infeksi penyakit.
Selanjutnya, BSSN mencatat bahwa sepanjang 2020 insiden siber yang paling sering terjadi berupa malware, phishing, pencurian data, DDOS, skimming, jackpotting, dan adanya bug atau kelemahan pada sistem informasi di perbankan. Salah satu faktor insiden siber yang sering muncul adalah malware, virus, atau trojan. Check Point Researchmencatat top banking trojanyang paling banyak ditemukan di tahun 2020, antara lain trickbot, ramnit, ursnif, danabot,dridex, dan qbot.
Menurut Intan, serangansi berberupa phishing, malware, trojan, dan serangan lainnya yang menyebabkan terjadinya insiden, juga dapat dipicu karena kurangnya security awareness. Mengutip survey Media Pro tahun 2020 diketahui bahwa 19 persen orang yang disurvey memiliki persepsi bahwa mengklik tautan/link email yang mencurigakan tidak mungkin menyebabkan suatu device terinfeksi malware. Sementara 14 persen lainnya memiliki persepsi bahwa menggunakan koneksi internet publik tidak mungkin menyebabkan suatu device terinfeksi malware.
Chairman Banker for Risk Manajemen (BARa) Ahmad Siddik Badruddin sangat sepakat dengan BSSN bahwa industri perbankan masih menjadi incaran paling utama serangan siber selama masa pandemi ini. Dia menyebutkan, industri perbankan masih menjadi industri paling disasar untuk serangan siber dengan indeks 23 persen, disusul industri manufaktur dan energi.
Pria yang juga Direktur Manajemen Risiko PT Bank Mandiri (Persero) Tbk. menyampaikan variasi serangan yang paling sering adalah ransomware, yang indeksnya meningkat menjadi 23 persen pada 2020 dari sebesar 20 persen pada 2019. Serangan ini berupaya untuk melakukan enkripsi dan pencurian data sehingga dapat diakses oleh pelaku dengan tujuan meminta tebusan finansial. Kemudian, serangan data thief and leak yang juga mengalami kenaikan dari 5 persen menjadi 13 persen pada 2020. Serangan ini berupaya untuk memanfaatkan kebocoran data sensitif seperti banking login credential.
Selain itu ada, ada juga server access yang indeksnya naik dari 3 persen menjadi 10 persen pada 2020. Serangan ini berupaya untuk mengakses data penting dengan akun-akun tak terotorisasi. Berikutnya, ada bentuk serangan remote access trojan, yang indeksnya naik dari 2 persen menjadi 6 persen. Ini adalah serangan dengan malware yang berfungsi sebagai backdoor untuk mengendalikan suatu sistem bank.
Profil Risiko
Sementara itu, BSSN juga mengingatkan bahwa, insidensi sektor perbankan lebih sering menyasar kepada aplikasi internet banking dan mobile banking. Berbagai macam metode yang dilakukan oleh hacker untuk mengeksploitasi kerentanan pada proses bisnis aplikasi internet banking dan mobile banking.
Dengan berkembangnya ancaman siber di sector perbankan, BSSN telah menyelesaikan profil risiko siber di sektor perbankan tahun 2020 dengan lingkup internet banking dan mobile banking. BSSN berharap dengan disusunnya profil risiko siber tersebut dapat dijadikan fokus acuan bagi industri perbankan untuk dapat melakukan mitigasi terhadap potensi ancaman dan kerentanan siber.
Berdasarkan survey BSSN tentang Profil Risiko Sektor Perbankan selama 2020 mengkategorikan empat level riisko, yaitu very high, high, medium, dan low. Level risiko ini dikategorisasikan berdasarkan skala dampak dan skala kemungkinan dari setiap risiko yang terindentifikasi.
Intan menjelaskan, beragam profil risiko ini dapat memberikan dampak yang sangat signifikan terhadap organisasi apabila terjadi, terutama terkait dampak operasional dan finansial. “Faktor yang menyebabkan adanya potensi risiko ini dapat berasal dari pihak internal maupun eksternal perusahaan. Pada internal, fraud dapat disebabkan karena kurangnya pengujian, kurangnya kontrol dan monitoring, atau faktor lainnya. Sementara eksternal terkait dengan kurangnya security awareness dari nasabah,” kata Intan.
BSSN juga melakukan identifikasi terkait profil ancaman dan kerentanan layanan mobile banking dan internet banking di Indonesia sepanjang tahun 2020. Hal ini mengingat kedua layanan ini yang paling banyak digunakan pada layanan digital banking di sektor perbankan Indonesia dalam melakukan transaksi keuangan.
Terungkap bahwa ancaman yang mungkin terjadi pada tahun 2020 pada sistem mobile banking di antaranya adalah penyalahgunaan hak akses, serangan phishing pada nasabah, pencurian data, kesalahan pengelolaan aplikasi, serangan malware, dan hijack simcard. “Setiap ancaman pada mobile banking tersebut dapat menjadi suatu risiko apabila ditemukan satu atau lebih kerentanan yang dapat memicu terjadinya ancaman,” jelas Intan.
Mitigasi
Meskipun serangan siber terus meningkat dari tahun ke tahun ke sektor keuangan, mitigasi yang dilakukan pelaku usaha perbankan tidak selaras dengan risiko yang mengancam. Menurut Intan, mitigasi atau pengelolaan reduksi risiko keamanan siber memiliki peringkat yang paling rendah dalam strategi pengelolaan operasional perbankan Indonesia.
Maka dari itu, Intan mengingatkan bahwa mitigasi untuk mengantisipasi risiko serangan siber menjadi hal yang harus dilakukan untuk mencegah peningkatan serangan siber terhadap perbankan dan lembaga finansial.
Terutama dengan era new normal yang mendorong berlangsungnya transformasi digital di berbagai bidang. “Ancaman dan kerawanan siber di sektor perbankan bisa datang dari sisi konsumen ataupun organisasi. Konsumen bisa mengalamai kejatanan kartu ATM dan mobile banking, sedangkan organisasi mengalami kerentanan pada DDoS sehingga API harus diamankan,” ungkap Intan.
Meskipun serangan siber tinggi terhadap sektor finansial, BSSN tetap ikut melakukan proteksi keamanan siber sektor finansial melalui regulasi dan layanan perlindungan.“Selain dengan UU ITE, peningkatan keamanan juga dibantu BSSN melalui adanya regulasi sistem pengamanan dalam penyelenggaraan sistem elektronik. BSSN mengimplementasikan indeks keamanan informasi guna mencegah risiko serangan siber yang bisa melemahkan organisasi finansial dan perbankan,” pungkas Intan.
Menanggapi hal itu, Siddik Badruddin dari BaRA, menyampaikan perbankan terus memperkuat tata kelola manajemen risiko selama masa pandemi tahun lalu. Bahkan, upaya mitigasi justru semakin gencar seiring dengan meningkatnya intensitas penyerangan siber di tengah transformasi digital yang dilakukan banyak bank. “Perbankan berhubungan langsung dengan data, dan jumlah simpanan masyarkat. Setelah perbankan baru industri manufaktur dan energi,” tegasnya.