Perusahaan penyedia layanan keamanan siber, Spentera mengungkap kerentanan sektor perbankan terhadap serangan siber dan langkah-langkah yang perlu diambil untuk mengatasinya.
Memiliki data keuangan yang sensitif dalam jumlah besar dan tingginya nilai transaksi yang ditangani membuat sektor keuangan sangat rentan terekspos ancaman kejahatan siber. Menurut Global Financial Stability Report - April 2024 dari International Monetary Fund (IMF), hampir 20 persen dari risiko ancaman siber terhadap sektor keuangan menyerang lembaga keuangan, dengan eksposur tertinggi dialami oleh bank. Bentuk ancaman siber terhadap bank datang dalam bentuk phishing, ransomware, serangan DDoS (Denial of Service), dan pencurian data sensitif.
“Tingginya eksposur ancaman siber membuat pihak bank harus menerapkan upaya penguatan keamanan siber yang efektif,” ujar Royke Tobing, Direktur Cyber Intelligence PT Spentera. Langkah penguatan keamanan siber ini, menurut Royke, tak hanya untuk mencegah insiden siber, tapi juga mendeteksi saat insiden berlangsung dan memulihkan setelah insiden terjadi.
Potensi Kerentanan pada Aplikasi Banking
Seminar berjudul “Cyberwolves Con, Latest Threat Intelligence Brief in Indonesia,” yang digelar Spentera beberapa waktu lalu menyoroti ancaman siber terhadap aplikasi perbankan. Otoritas Jasa Keuangan (OJK) menyatakan bahwa saat ini, internet banking atau mobile banking terus mengalami tantangan dalam hal keamanan seiring berkembangnya dunia digital.
Menurut Spentera, ada beberapa kerentanan pada aplikasi banking yang berpotensi dimanfaatkan penjahat siber. Pertama adalah kerentanan pada proses transaksi yang berupa transfer, pembayaran, dan penarikan uang menggunakan akun pengguna lain. Kerentanan lain adalah pada permintaan pengiriman uang atau permintaan membagi tagihan menggunakan akun pengguna lain. Selanjutnya adalah mengurangi jumlah pembayaran dan biaya admin dari fitur isi ulang dan penagihan; dan memodifikasi data penting tanpa persetujuan supervisor.
Sedangkan referensi objek langsung yang tidak aman adalah melihat saldo dan riwayat transaksi dari akun pengguna lain, dan melihat informasi detail dari akun pengguna lain.
Oleh karena itu, OJK lewat Surat Edaran Otoritas Jasa Keuangan Republik Indonesia Nomor 29 /SEOJK.03/2022 Tentang Ketahanan dan Keamanan Siber Bagi Bank Umum memberikan panduan secara detail mengenai kebijakan komprehensif yang harus ditetapkan dan diimplementasikan oleh bank komersial untuk menjaga ketahanan dan keamanan siber. Aturan tersebut mencakup penilaian dan manajemen risiko, perlindungan data, perencanaan respon atas insiden, dan kapasitas karyawan termasuk penunjukan divisi khusus keamanan siber.
Pengujian Keamanan Secara Berkala
Salah satu bentuk aturannya adalah bank diharuskan melakukan pengujian keamanan siber secara berkala atas keamanan jaringan, sistem, dan data. Pengujian keamanan siber ini terdiri dari dua jenis, yaitu berdasarkan analisis kerentanan yang ditujukan untuk melihat titik lemah dari sistem yang dimiliki bank; dan berdasarkan skenario untuk memvalidasi proses penanggulangan dan pemulihan setelah insiden siber. Untuk pengujian ini, pihak bank dapat melakukan secara mandiri, atau menggunakan pihak ketiga yang kompeten.
Mendukung sektor perbankan melakukan penguatan keamanan, Spentera menyediakan berbagai layanan untuk pengujian keamanan siber bagi bank komersial sesuai dengan panduan Surat Edaran OJK. Layanan Cyber Security Testing dari Spentera terdiri dari Security Assessment yang mencakup vulnerability assessment dan penetration test.
Sedangkan untuk pengujian berdasarkan skenario, bentuk-bentuknya mencakup table-top exercise, cyber range exercise, social engineering exercise, dan adversarial attack simulation exercise seperti yang diwajibkan oleh OJK.
Marie Muhammad, Director of External Operation Spentera, menjelaskan, “Layanan Penetration Testing merupakan salah satu keunggulan Spentera dalam pengujian keamanan siber, dilakukan oleh tim yang terdiri dari orang-orang yang unggul dan berpengalaman di bidang ini. Tim kami berusaha memahami pemikiran si penyerang, lalu meniru strategi yang ia terapkan, sehingga dapat menemukan bidang yang perlu perbaikan dan titik-titik lemah yang berisiko di dalam sistem.”
Baca juga: Gawat! Banyak Perusahaan Indonesia Tidak Siap Halau Ancaman Siber
Penulis | : | Liana Threestayanti |
Editor | : | Liana Threestayanti |
KOMENTAR