Layanan keuangan digital di Indonesia terus mengalami peningkatkan signifikan. Hal ini dapat dilihat dari pertumbuhan pengguna pembayaran non-tunai, investasi digital, asuransi digital, produk paylater, dan transfer uang.
Kini, layanan keuangan masih terus dikembangkan di perbankan, sementara layanan keuangan digital juga terus ditawarkan oleh perusahaan teknologi atau fintech dengan layanan P2P lending-nya.
Adapun layanan terdepan saat ini dalam keuangan digital adalah sistem pembayaran QRIS yang kini telah mencapai 22 juta pengguna terdaftar, di mana hal itu juga menyederhanakan pembayaran bagi pelaku UMKM.
Bank Indonesia (BI) dan Otoritas Jasa Keuangan (OJK) juga mendukung digitalisasi layanan keuangan dan menganjurkan agar layanan perbankan dapat lebih terbuka dengan layanan pelanggan lain dengan melakukan standarisasi API (application programming interface).
Sebelumnya, Bank Indonesia telah melakukan inisiatif dengan memperkenalkan BI-FAST, sistem pembayaran real-time, dan menetapkan peraturan API melalui SNAP.
Dengan berkembangnya tren keuangan digital, Bank Indonesia mengeluarkan Sistem Cetak Biru Pembayaran Bank Indonesia (BI) 2025 yang bertujuan untuk menjembatani kesenjangan digital dan memberdayakan inklusi keuangan.
Dalam inisiatif tersebut, Bank Indonesia memanfaatkan kekuatan digitalisasi untuk membawa 91,3 juta masyarakat Indonesia yang belum memiliki rekening bank dan 62,9 juta UMKM ke perekonomian formal.
Melalui inisiatif perbankan terbuka seperti Open API Framework, Bank Indonesia membina hubungan yang aman dan lancar antara bank dan fintech, sehingga membuka jalan bagi Indonesia yang lebih inklusif dan berdaya secara digital.
Selain tren digital dalam layanan keuangan dan fintech, e-commerce juga terbukti telah mengalami pertumbuhan yang luar biasa di Indonesia selama beberapa tahun terakhir, dan hal ini telah membawa Indonesia menjadi pasar e-commerce terbesar ke-10 di dunia dan salah satu pasar e-commerce dengan pertumbuhan tercepat di Asia Tenggara.
API untuk Dorong Ekonomi Digital
Untuk menyediakan layanan digital antara perusahaan dan pelanggannya, API memungkinkan antar aplikasi berkomunikasi dan mentransfer informasi satu sama lain di sistem cloud computing (komputasi awan).
API sendiri sejatinya adalah kumpulan fungsi dan perangkat lunak yang tersedia untuk tujuan tertentu, yang merupakan komponen penting dalam pengembangan aplikasi.
Berbagai layanan berbasis cloud ini tersedia melalui antarmuka aplikasi seperti API.
Dengan struktur bisnis di mana API adalah saluran distribusi produk dan layanan, hal ini memungkinkan bisnis mendapatkan keuntungan dari implementasi API dan juga dapat menciptakan model bisnis lainnya.
API juga berpotensi menggerakkan ekonomi digital, dan perusahaan yang menggunakan Economic API akan terlibat pula dalam pergerakan ekonomi ini.
Economic API yang dimaksud di sini adalah pertukaran komersial dari suatu bisnis berdasarkan fungsionalitas, kemampuan, atau kompetensinya sebagai penyedia layanan menggunakan web API.
Economic API membuka banyak peluang baru untuk mampu bersaing di era ekonomi digital melalui berbagai inovasi layanan berbasis cloud untuk memasarkan produk digital.
Misalnya, para pebisnis di industri retail atau e-commerce dapat memberikan akses kepada supplier dan distributornya melalui API untuk melihat ketersediaan produk secara realtime.
Sedangkan di industri perbankan, bank dapat mengimplementasikan API seperti pencari lokasi ATM, pencari lokasi cabang, akses data pembayaran, nilai tukar mata uang asing saat ini untuk aplikasi perjalanan, dll.
Surung Sinamo, County Manager F5 Indonesia, mengatakan, “Pada tahun 2024, pasar API akan terus berkembang, didorong oleh kebutuhan akan pertukaran data yang lancar di ekosistem digital. Kubernetes (K8s) akan tetap menjadi platform yang dapat diandalkan, juga dapat memfasilitasi penerapan aplikasi yang skalabel dan efisien. Oleh karenanya, layanan distributed cloud akan semakin menonjol, dan memungkinkan penggunaan komputasi terdesentralisasi dan berlatensi rendah untuk berbagai aplikasi.”
“Selain itu, kemitraan berbasis API yang mencakup terminal POS, pembayaran, dan ATM mikro memberikan hasil yang signifikan, hal ini menunjukkan peningkatan konversi sebesar 50% yang didorong oleh integrasi berbasis API,” tambah Surung.
Pentingnya Meningkatkan Keamanan API
Selain manfaat ekonomi yang mampu diberikan, API juga membuka peluang ancaman digital yang harus ditanggapi dengan serius.
James Lee, Solutions Architect, APCJ dari F5, memperkirakan integrasi API dengan perusahaan pihak ketiga akan menjadi vektor serangan baru.
Sementara itu, OWASP Foundation merilis daftar 10 teratas keamanan API dengan empat kerentanan baru, salah satunya adalah ’Penggunaan API yang Tidak Aman’.
Kerentanan ini dapat terjadi ketika aplikasi internal terintegrasi dengan endpoint API pihak ketiga dan menggunakan data tanpa sanitasi atau validasi respons.
Ini adalah pertama kalinya para ahli OWASP menambahkan masalah ‘Rantai Pasokan’ ke dalam daftar 10 teratas keamanan API.
James yakin masalah penggunaan API di pihak ketiga ini dapat menyebabkan pelanggaran data yang signifikan di masa mendatang.
Untuk mengatasi potensi pelanggaran data pada aplikasi API, perusahaan dapat melakukan berbagai langkah penting untuk meningkatkan keamanan API mereka, seperti:
1. Menerapkan mekanisme autentikasi dan otorisasi yang kuat untuk memastikan hanya pengguna yang berwenang yang dapat mengakses API-nya.
Hal ini termasuk penggunaan protokol autentikasi standar industri dan penerapan kontrol akses berbasis peran (RBAC).
2. Pahami API Anda melalui dokumentasi dan inventaris yang tepat. Inventaris yang komprehensif dan terkini dari semua API yang diketahui dapat membantu mencegah API bayangan yang tidak terpantau, dan mengurangi kemungkinan pelanggaran data.
3. Mencapai keseimbangan antara inovasi dan keamanan. Berikut adalah cara kunci untuk mencapai keseimbangan tersebut:
4. Mengelola risiko selama siklus pengembangan perangkat penting dilakukan. Uji coba sebelum, selama, dan setelah implementasi sangatlah krusial.
Dengan mengintegrasikan pengujian ke setiap tahap pengembangan perangkat, Anda memiliki lebih banyak kesempatan untuk mengidentifikasi kelemahan dan kerentanan sebelum terjadi insiden pelanggaran data.
Keamanan juga harus diintegrasikan secara ketat dalam siklus hidup aplikasi yang sama, termasuk dalam alur kerja CI/CD, penyediaan layanan, dan ekosistem pemantauan peristiwa.
5. Perlindungan secara berlapis dari back-end ke end customer. Ketika berbicara tentang perlindungan di lapisan API, pertama-tama hal ini sangat penting untuk mengelompokkan API Anda ke dalam dua kategori: internal dan eksternal.
API internal lebih mudah untuk diamankan karena penyedia API dapat berkoordinasi dengan tim aplikasi terkait langkah-langkah keamanan.
Untuk API eksternal, Anda dapat mempertimbangkan untuk mengimplementasikan threat intelligence real-time dan mekanisme kontrol akses, membangun baseline normal dan abnormal serta membatasi penggunaan API dan memberikan kontrol granular terhadap setiap aggregator yang disetujui dan integrasi pihak ketiga.
6. Memiliki visibilitas yang komprehensif. Dashboard memainkan peran penting dalam menyediakan visibilitas yang diperlukan untuk memantau dan menilai keamanan API.
F5 Distributed Cloud Web App and API Protection (WAAP) menyajikan informasi keamanan penting berdasarkan lalu lintas aktual dan serangan siber.
Informasi kritis yang dilaporkan di dashboard juga memungkinkan tim DevOps dan SecOps untuk dengan cepat mengidentifikasi potensi kerentanan, memprioritaskan upaya perbaikan, dan membuat keputusan yang berdasarkan informasi yang tepat untuk memperkuat security posture dari API tersebut.
7. Mengawasi program keamanannya. Pengambil keputusan TI bertanggung jawab untuk mengembangkan dan menerapkan kebijakan dan prosedur keamanan.
8. Bermitra dengan vendor keamanan pihak ketiga untuk menyediakan keahlian dan sumber daya dalam pemindaian kerentanan, pengujian penetrasi, dan respon terhadap insiden keamanan.
Baca Juga: Akamai: Sektor Manufaktur di APJ Hadapi Peningkatan Serangan API
Dengan semakin banyaknya pelanggaran keamanan API yang terjadi di industri saat ini, Perusahaan penyedia layanan digital dapat mengambil langkah untuk mereka terhadap serangan.
Dengan memilih keamanan API yang bertanggung jawab dan melakukan penilaian berkelanjutan, hal ini dapat memberikan petunjuk lebih detail seperti potensi masalah, juga bagaimana peluang terbaik perusahaan agar tidak menjadi korban serangan siber yang dapat merugikan pelanggannya.
Penulis | : | Rafki Fachrizal |
Editor | : | Rafki Fachrizal |
KOMENTAR