Edit Prima, Direktur Keamanan Siber dan Sandi Keuangan, Perdagangan dan Pariwisata Badan Siber dan Sandi Negara (BSSN)
SELAMA dua tahun berturut-turut ini secara global sektor keuangan memang termasuk sektor yang paling sering terkena insiden siber. Ini tentunya terjadi karena memang, khususnya sektor perbankan, telah cukup masif dalam melakukan transformasi digital. Masifnya transformasi digital pada sektor perbankan kan semakin membuka peluang terhadap pelaku-pelaku kejahatan dalam menjalankan ancamannya dalam melakukan serangan. Secara umum serangan cyber yang menargetkan sektor perbankan itu memiliki motif ekonomi dan pelakunya bisa kita sebut sebagai kriminal siber.
Sepanjang tahun 2021 hingga bulan September, telah terdeteksi anomali traffic yang mengindikasikan serangan siber di Indonesia yang mencapai lebih dari 927 juta. Istilahnya memang anomali traffic namun ini bisa kita sebut sebagai indikasi terjadinya serangan siber. Dari data tersebut tercatat jumlah terbanyak itu adalah serangan Malware, denial of service (DoS) yang mengganggu ketersediaan layanan, dan aktivitas Trojan. Jadi ada tiga jenis serangan terbesar yang telah terdeteksi sepanjang tahun ini.
Sedangkan mayoritas yang menjadi tren ke depan dengan siber adalah ransomware. Dengan itu pelaku kejahatan menyandera data kita dan meminta tebusan agar dapat bisa dikembalikan.
Merujuk kepada data BSSN melalui pusat operasi keamanan siber nasional yang memang secara fungsi melakukan pemantauan trafik internet di Indonesia, selama tahun 2021 ini sektor keuangan merupakan sektor kedua tertinggi yang mengalami serangan siber. Telah terjadi kebocoran data akibat malware sebanyak 21,8 persen setelah sektor pemerintahan yang secara statistik mencapai angka 45,5 persen. Serangan yang paling sering dilakukan adalah melalui malware, virus, dan trojan.
Selain itu juga tren serangan lain yang dapat mengakibatkan insiden kebocoran data.
Selain serangan pada lapisan fisik, kita juga harus waspadi serangan yang bersifat sosial dimana menargetkan sasarannya ada di lapisan ketiga dimana manusia antar manusia berinteraksi di ruang siber. Target serangannya adalah cara berpikir, sistem pencarian dan perilaku manusia sendiri dengan mempengaruhi ide, pilihan pendapat emosi, tingkah laku, opini dan motivasi. Adapun teknik-teknik serangannya antara lain dengan propaganda hitam, mengeksploitasi isu sensitif (point and shriek), kemudian membanjiri informasi sehingga kita pada suatu titik sulit untuk membedakan mana lagi information kredibel maupun tidak kredibel, dan lainnya.
Tim Krisis Siber
Menghadapi ancaman yang ada di ruang siber ini negara telah hadir melalui BSSN dengan Peraturan Presiden Nomor 28 Tahun 2021. Bahwa BSSN dengan tujuannya agar bisa bekerja lebih efektif, efisien, dinamis, tepat fungsi, dan tepat sasaran sehingga upaya pemerintah untuk melindungi ruang siber secara nasional dapat segera terlaksana.
BSSN juga sedang menyusun kebijakan tentang bagaimana melakukan tindakan untuk mengatasi krisis siber. Tentunya hal ini akan diwujudkan dalam pembentukan Tim Tanggap Insiden Siber atau Computer Security Incident Response Team (CSIRT), baik yang ada di level nasional sektor maupun organisasi. Khusus untuk sektor perbankan pada 2020 itu telah dibentuk CSIRT di Bank Indonesia, kemudian pada tahun 2021 dibentuk juga di Bank Jateng, Bank Rakyat Indonesia, DPD Sumatera Barat, dan BD Bali. Jadi diharapkan setiap organisasi di sektor perbankan juga dapat membentuk tim CSIRT sebagai upaya konkret untuk wujudkan keamanan siber di masing-masing organisasi.
Sementara untuk perlindungan kemanan siber di industri keuangan saya kira pengelolaan risiko melalui peraturan yang dikeluarkan otoritas sudah mencukupi. Seperti dalam POJK Nomor 13 tahun 2020 dan yang merevisi POJK No. 38 Tahun 2016. Nah, apa rekomendasi yang dapat kami diberikan terkait dengan Keamanan siber pada sektor keuangan. Ada dua yang bisa saya sampaikan yaitu dari sisi penyedia layanan dan dari sisi pengguna layanan.
Dari sisi penyedia layanan, tentunya penerapan kebijakan dan manajemen risiko dari aspek manajemen, tentunya harus mendapatkan perhatian utama. Di samping aspek-aspek teknis seperti menerapkan berbagai metode-metode keamanan dan tentunya juga menyiapkan aplikasi yang sejak pengembangan hingga implementasi, telah menerapkan prinsip-prinsip keamanan. Dan jangan lupa tentunya melakukan sosialisasi keamanan pengguna aplikasi di lingkungan internal dan baik kepada nasabah.
Kemudian dari sisi pengguna layanan, poin paling penting adalah bagaimana awareness kepada pengguna layanan perbankan ini bisa terus digalakan oleh perbankan. Jadi para pengguna perbankan tetap harus selalu diberikan kewaspadaan soal bahaya phishing, dan pentingnya melakukan laporan jika terjadi anomali, terjadi insiden atau terjadi hal-hal yang merugikan nasabah.
Nasabah juga harus memilih aplikasi resmi jika ingin mengunduh di samping pula untuk tetap waspada jika mengunakan fasilitas dan jaringan publik. Dan yang terakhir tentunya pihak bank menyiapkan kustomisasi transaksi, menerapkan keamanan pada perangkat pengguna.
Saya juga ingin mengutip pesan Bapak Persandian Republi Indonesia, yaitu Bapak Mayjen TNI Dr Roebiono Kertopati), bahwa “kekhilafan satu orang saja cukup sudah menyebabkan keruntuhan negara”. Tentunya pesan tersebut masih kami anggap relevan hingga masa kini. Pesan itu juga mencerminkan bagaimana risiko siber tidak hanya terletak pada aspek teknologi namun yang paling penting juga adalah aspek manusianya.***
*) Disari dari Materi Edit Prima pada Virtual Seminar #58 LPPI : Mengelola Risiko Siber Dalam Industri Digital. Paparan selengkapnya dapat disimak melalui kanal Youtube LPPI pada link berikut: https://www.youtube.com/watch?v=-NI5J2xRgZI
.jpg)
