Paradigma bahwa penanggulangan kejahatan siber adalah tanggung jawab direktorat TI kurang tepat dan cenderung berbahaya.
Oleh
RICO USTHAVIA FRANS ANGGOTA STEERING COMMITTEE INDONESIA FINTECH SOCIETY
·4 menit baca
Insiden ransomware yang dialami oleh Pusat Data Nasional memicu kita untuk mengantisipasi kejahatan siber. Bagi dunia perbankan, insiden tersebut merupakan wake-up call yang ke sekian kalinya, terutama setalah insiden ransomware yang dialami oleh salah satu bank besar beberapa waktu lalu. Seperti pepatah, ada gula ada semut, perbankan memang merupakan sasaran yang menggiurkan bagi penjahat siber. Perputaran uang yang besar secara alami mengundang mereka untuk mengeksploitasi kelemahan sistem ataupun kelengahan pengguna.
Risiko kejahatan siber di perbankan bukan hal yang baru. Hampir semua bank dan teknologi finansial (tekfin) sudah pernah mengalami serangan siber atau berbagai bentuk kejahatan digital lainnya. Jika ada bank yang mengatakan belum pernah menjadi korban, maka kemungkinan besar mereka hanya belum sadar atau masih terlalu kecil untuk menjadi sasaran. Oleh karena itu, dunia perbankan, dan juga tekfin, perlu mengantisipasi risiko kejahatan siber dengan baik.
Sebagai langkah penting, standardisasi keamanan teknologi informasi (TI) perbankan dan tekfin perlu segera dilakukan. Dibandingkan dengan industri lain, perbankan dan tekfin memang sudah diatur dengan cukup ketat oleh Otoritas Jasa Keuangan (OJK) dan Bank Indonesia (BI). Namun, selama ini OJK dan BI masih mengandalkan internal resources dalam proses perizinan dan pengawasan.
Keterbatasan kemampuan teknis dan sumber daya internal regulator membuat proses standardisasi keamanan TI perbankan dan tekfin menjadi lama dan tidak menentu dan cenderung kurang memadai. OJK dan BI mungkin perlu mempertimbangkan konsep outsourcing sertifikasi keamanan TI dengan menunjuk beberapa perusahaan sertifikasi sebagai kepanjangan tangan mereka. Dengan demikian, skalabilitas proses perizinan dan pengawasan serta standardisasi keamanan TI bisa mengimbangi pertumbuhan jumlah pelaku dan kecepatan perkembangan industri dan teknologi.
Di sisi lain, paradigma bahwa penanggulangan kejahatan siber adalah tanggung jawab dari direktorat TI kurang tepat dan cenderung berbahaya. Walaupun direktorat TI berperan penting, namun aspek-aspek lain yang perlu diperhatikan dalam mencegah kejahatan siber.
Tidak semua penjahat menggunakan pendekatan teknis yang memerlukan keahlian tinggi. Banyak kejahatan siber justru dimulai dari pendekatan sosial dengan mengekspolitasi ketidaktahuan atau kekurangwaspadaan nasabah atau pegawai. Salah satu yang sering dipakai adalah phising di mana mereka mengirim e-mail berisi link ke situs tertentu dan penerimanya dijebak untuk memasukkan user ID dan password. Modus lain adalah meminta nasabah untuk memberitahukan OTP dengan iming-iming hadiah. Oleh karena itu, edukasi nasabah merupakan bagian penting dari pencegahan kejahatan siber.
Namun, edukasi yang salah bisa menjadi bumerang. Misalnya, sempat ada edukasi penerbit uang elektronik yang menjanjikan jaminan uang kembali jika terjadi kehilangan saldo. Ini memberikan rasa keamanan semu dan dalam jangka panjang bisa menimbulkan moral hazard. Sebaliknya, ada satu insiden di mana suatu bank justru berkukuh untuk tidak mengganti uang nasabah karena nasabah tersebut lalai menjaga buku tabungan dan PIN. Selaku regulator, OJK dan BI seyogianya mendukung langkah yang tidak populer tersebut karena itu akan mendorong nasabah belajar melindungi diri sendiri. Perlindungan kepada nasabah jangan sampai diartikan selalu memenuhi tuntutan mereka walaupun mereka yang salah.
Banyak kejahatan siber justru dimulai dari pendekatan sosial dengan mengeksploitasi ketidaktahuan atau kekurang-waspadaan nasabah atau pegawai.
Keterlibatan orang dalam di perbankan atau tekfin dalam kejahatan siber juga jangan dianggap remeh. Beberapa bank pernah mengalami serangan segera setelah dilakukannya upgrade sistem. Celah keamanan dari sistem yang dimigrasikan di malam hari dapat langsung dieksploitasi pada pagi dini harinya. Hal ini tentunya hanya bisa dilakukan jika penjahat siber tersebut sudah mengetahui lubang keamanan tersebut jauh-jauh hari. Dengan potensi keuntungan yang bisa mencapai miliaran untuk setiap insiden, bukannya tidak mungkin bagi mereka untuk melakukan penyusupan atau bekerja sama dengan orang dalam.
Selain peningkatan keamanan siber di masing-masing bank atau tekfin, secara arsitektur perbankan merupakan jaringan yang bergantung pada beberapa fungsi terpusat. Oleh karena itu, perusahaan switching dan juga BI yang saat ini mengoperasikan BI-Fast perlu meningkatkan keamanan sistem mereka agar sistem pembayaran nasional tidak terganggu. Dari sisi informasi dan data, OJK dan BI berfungsi sebagai data controller dari data perbankan dan finansial lainnya jelas merupakan target yang menggiurkan. Fungsi Data Protection Officer (DPO) dan unit yang mengelola keamanan data harus meningkatkan kewaspadaan dan melakukan investasi yang cukup.
Hal lain yang perlu diperhatikan adalah fenomena bahwa BI menginjak pedal gas transaksi pembayaran, tetapi belum menyediakan rem yang memadai. Pada Mei 2024, walaupun transaksi Real-Time Gross Settlement (RTGS) relatif stabil di sekitar Rp 14.557 triliun, tetapi transaksi BI-FAST meningkat pesat 53.08% (yoy) menjadi Rp 701,61 triliun. Sementara transaksi digital banking mencapai Rp 5.570,49 triliun, tumbuh 10,82 persen (yoy), transaksi Uang Elektronik (UE) meningkat 35,24 persen (yoy) mencapai Rp 92,79 triliun, dan transaksi QRIS tumbuh 213,31 persen (yoy).
Kecepatan transaksi sistem pembayaran yang semakin tinggi tersebut belum diimbangi dengan kemampuan perbankan untuk melakukan pemblokiran jika dana hasil kejahatan sudah ditransfer ke bank lain. Kemudahan pembukaan rekening secara daring dan maraknya fasilitas virtual account telah banyak disalahgunakan sebagai rekening penampungan hasil kejahatan.
Selain ditransfer ke bank lain, uang hasil kejahatan umum juga sering dibelikan pulsa atau voucer gim. Seyogianya, BI bersama dengan Asosiasi Sistem Pembayaran Indonesia (ASPI) membangun sistem pemblokiran dana yang bisa dilakukan oleh suatu bank secara real time untuk mengimbangi kecepatan transfer online atau transaksi digital lainnya. Ini tentunya memerlukan payung hukum di mana bank bisa memblokir dana di bank lain, operator telekomunikasi, atau institusi lain dalam kasus dugaan kejahatan siber tanpa harus mengurus surat dari kepolisian.
Jika surat polisi masih diperlukan, uangnya sudah keburu raib. Dalam hal ini, diperlukan kemauan regulator dan penegak hukum untuk berpikir dan mengeluarkan kebijakan penanggulangan kejahatan siber yang efektif di era digital.