Kebijakan "Cybersecurity" untuk Sistem Keamanan Perbankan

Perubahan yang cepat harus direspons cepat oleh perbankan agar siap menghadapi gelombang inovasi digital.

Transformasi industri perbankan merupakan jawaban fenomena perkembangan financial technology (fintech) dan revolusi teknologi digital.

Layanan yang demikan mengarahkan bank ke dalam era baru, yaitu layanan perbankan digital. Adanya perbankan digital diharapkan dapat memperluas sekaligus mempermudah inklusi keuangan dan akses masyarakat terhadap layanan perbankan.

Seiring berkembangnya teknologi digital, saat ini di Indonesia tumbuh banyak bank digital. Selain itu, bank umum juga melakukan pengembangan layanan digital.

Layanan digital dapat melayani transaksi pembukaan tabungan, transfer uang, pembayaran payment point, dan layanan perbankan lainnya.

Dengan adanya kemudahan ini, di mana jaringan perbankan sudah bisa diakses oleh semua orang melalui gadget, tentunya juga perlu diimbangi dengan penguatan pengamanan core banking system dan user mobile application yang mumpuni agar keamanan transaksi perbankan dapat terjaga dengan baik.

Seiring dengan perkembangan layanan transaksi digital, penipuan digital juga turut berkembang di seluruh dunia.

Cybercrime terus menemukan cara baru untuk melakukan pembobolan layanan digital. Beberapa kejahatan perbankan digital di antaranya:

Pertama, Phising Attacks. Phising adalah usaha untuk memasuki jaringan perbankan dan melakukan serangan lebih parah yang dapat berdampak buruk pada bank. Cybercrime dapat mengakses sistem dan menggunakannya tanpa diketahui oleh bank.

Kedua, Trojan. Trojan terlihat seperti software resmi. Namun, ini adalah aplikasi hacker yang dibuat untuk mengakses data pribadi yang diproses atau disimpan oleh sistem perbankan online.

Ketiga, Ransomware. Ransomware mengenkripsi data penting dan membuat pemilik akun tidak dapat mengaksesnya.

Keempat, Spoofing. Peretas menggunakan situs tiruan dengan menyamar sebagai situs web keuangan, mereka melakukan:

• Rancang tata letak yang menyerupai aslinya, baik dalam tampilan maupun fungsionalitas.
• Membuat domain dengan sedikit modifikasi ejaan atau ekstensi domain.

Berdasarkan data dari surfshark.com, tahun 2021, negara-negara yang paling banyak mengalami serangan cybercrime di antaranya Inggris, Amerika Serikat, dan Kanada.

Untuk Indonesia, berdasarkan data dari Pusat Operasi Keamanan Siber Nasional, serangan cybercrime pada 2019 mencapai 39.330.231 serangan dan meningkat menjadi 189.937542 serangan pada 2020.

Perlu diingat bahwa penjahat dunia maya tidak hanya dari luar organisasi, tetapi bisa juga dari internal organisasi. Maka, untuk mencegah kejahatan pada perbankan digital, diperlukan langkah preventif yang dituangkan dalam kebijakan keamanan siber.

Apa itu "Cybersecurity Policy"?

Kebijakan keamanan siber adalah dokumen tertulis yang berisi pedoman perilaku dan teknis untuk semua karyawan guna memastikan perlindungan maksimal dari insiden keamanan siber dan serangan ransomware.

Kebijakan tersebut berisi informasi tentang kebijakan, prosedur, perlindungan teknologi, dan penanggulangan operasional perusahaan atau organisasi jika terjadi insiden keamanan siber.

Kebijakan ini memastikan bahwa operasi dan keamanan bekerja sama untuk memastikan bahwa kemungkinan serangan dunia maya terbatas dan jika serangan memang terjadi, tim Teknologi Informasi (TI), operasional, dan eksekutif bisnis mengetahui dengan tepat langkah apa yang harus diambil untuk membatasi kerusakan.

Untuk pengamanan transaksi digital, Otoritas Jasa Keuangan (OJK) telah mengeluarkan peraturan melalui POJK No.12/POJK.03/2018 tentang Penyelenggaraan Layanan Perbankan Digital Oleh Bank Umum.

Intinya adalah bank penyelenggara harus mempunyai infrastruktur dan pengelola infrastruktur IT yang memadai serta wajib menerapkan prinsip perlindungan nasabah.

Menindaklajuti POJK tersebut, perbankan di Indonesia juga telah menyiapkan kebijakan pengamanan terhadap sistem aplikasi perbankan, baik pada aplikasi yang digunakan nasabah dan pada core system perbankan serta kebijakan pengamanan kerahasiaan data nasabah.

Kenapa "cybersecurity policy" dibutuhkan?

Kebijakan keamanan siber penting karena serangan siber dan pelanggaran data berpotensi menimbulkan kerugian yang cukup besar dan risiko reputasi.

Pada saat sama, karyawan biasanya menjadi mata rantai yang lemah dalam keamanan organisasi. Karyawan membagikan kata sandi, mengklik URL berbahaya, menggunakan aplikasi cloud yang tidak disetujui, dan lalai mengenkripsi file sensitif.

Kebijakan keamanan siber juga penting untuk citra publik dan kredibilitas bank. Nasabah, mitra, pemegang saham, dan calon karyawan menginginkan bukti bahwa organisasi dapat melindungi data sensitif.

Selain itu, cybercrime adalah salah satu ancaman utama bagi kelangsungan bisnis saat ini. Sejak pandemi COVID-19, pekerjaan remote meningkat pesat dan digitalisasi cepat di bidang-bidang yang masih tertinggal, yang mengarah ke serangan kejahatan dunia maya yang jauh lebih luas.

Kebijakan tersebut harus dengan jelas menyatakan pedoman untuk semua pegawai teknis dan non-teknis.

Serangan ransomware yang dimulai sebagai serangan phishing dapat dengan mudah dicegah dengan pelatihan dan pendidikan yang tepat.

Kebijakan cybersecurity bertindak sebagai pedoman yang harus dilakukan jika cybercrime mencoba menyusup ke core system.

Faktanya, keamanan siber membutuhkan pemantauan dan pemeliharaan yang konsisten, sehingga bank selangkah lebih maju dari cybercrime. Respons yang baik dan cepat adalah komponen penting dari kebijakan cybersecurity.

Kebijakan tersebut harus menjabarkan dengan jelas apa yang harus dilakukan oleh setiap tim dan pemangku kepentingan, misalnya, melaporkan jika terjadi serangan cybercrime.

Bahkan detail tentang bagaimana berinteraksi dengan media atau dengan investor harus termaktup dalam kebijakan tersebut.

Sektor perbankan adalah salah satu yang paling rentan, karena bank dan lembaga keuangan terkoneksi dengan informasi pribadi nasabah, data jaminan sosial, dan catatan keuangan.

Untuk mengurangi risiko keamanan siber dan melindungi informasi berharga di bank dengan benar, pastikan untuk memenuhi persyaratan undang-undang, peraturan, dan standar keamanan siber yang relevan.

Teknologi terus berubah, selalu perbarui prosedur cybersecurity secara rutin, idealnya setahun sekali. Tetapkan proses peninjauan dan pembaruan tahunan dan libatkan pemangku kepentingan utama.

Saat meninjau kebijakan keamanan informasi, bandingkan panduan kebijakan dengan praktik aktual organisasi. Audit atau tinjauan kebijakan dapat menentukan aturan yang tidak lagi menangani proses kerja saat ini.

Audit juga dapat membantu mengidentifikasi di mana diperlukan penegakan kebijakan cybersecurity yang lebih baik.