LIMBUNG BERDAULAT DI DUNIA MAYA

Penjahat Siber Mengintip, Industri Keuangan Harus Sensitif

Sebanyak 70% dari individu yang telah terinklusi dalam perbankan merisaukan keamanan siber, sementara di peringkat kedua menyusul sektor perbelanjaan, di mana 62% pelaku perbelanjaan merasa khawatir bertransaksi karena keamanan siber

  •  Ilustrasi ATM. ANTARA FOTO/Widodo S. Jusuf.
    Ilustrasi ATM. ANTARA FOTO/Widodo S. Jusuf.

    JAKARTA – Tanggal 20 Oktober silam, masyarakat sibuk berkicau di media-media sosialnya mengenai topik hilangnya Rp1.000 dari rekening mereka yang menyimpan dana di Bank Negara Indonesia (BNI). Terlihat kecil memang, namun penghilangan yang serentak membuat warga jelas heboh.

    Apalagi jika dikalikan dengan jumlah rekening sekitar 27 juta sampai pertengahan tahun ini, dana sebesar itu tak lagi terlihat kecil. Asumsi akan terjadinya serangan siber ke BNI pun menyeruak dan cukup membuat kabar ini menjadi viral di media sosial.

    Pada akhirnya pihak BNI memang menjelaskan nominal yang hilang di tiap rekening bukanlah disebabkan adanya serangan siber. Penyebabnya lebih karena ada pemeliharaan dan perubahan terkait produk baru bank tersebut, Tapena SiMuda, yang parameternya ikut merambah ke jenis produk lainnya.

    Tindakan cepat pun diambil. Bank pelat merah tersebut segera melakukan proses pengembalian nominal yang hilang ke rekening-rekening nasabah. Dengan demikian dapat dipastikan tidak ada kerugian finansial dari sisi perbankan maupun nasabah.

    Meskipun nyatanya bukanlah serangan siber, kekhawatiran akan hal tersebut memang tidak dapat ditampik. Berdasarkan kajian yang dilakukan Indonesia Cyber Security Forum (ICSF) dengan judul “Cyber Security dan Pentingnya Dunia Usaha Memahaminya: Sebuah Pengantar, kekhawatiran terhadap keamanan siber memang paling tinggi menerpa sektor perbankan.

    Ya, 70% dari individu yang telah terinklusi dalam perbankan merisaukan keamanan siber. Di peringkat kedua menyusul sektor perbelanjaan, di mana 62% pelaku perbelanjaan merasa khawatir bertransaksi karena keamanan siber.

    Kekhawatiran akan keamanan siber di sektor finansial memang beralasan. Bagaimanapun, sektor ini termasuk ke dalam salah satu sektor strategis yang menjadi target sasaran jika terjadi suatu perang atau pertikaian. Hal ini pun diakui oleh Ekonom BCA David Sumual kepada Validnews, Senin (6/11).

    Bukan tanpa alasan, hal ini pulalah yang terjadi pada Perang Dunia I dan II. Kala itu, selain instalasi militer, instalasi bisnis yang berkaitan dengan ekonomi kerap menjadi objek serangan untuk melumpuhkan musuh.

    “Jadi, ya kita harus mempertimbangkan semua, masalah keamanan, masalah ekonomi, masalah efisiensi, masalah hukumnya sendiri dan aturannya,” ujarnya.

    Tanpa Batas Negara
    Di era digital saat ini, kerentanan akan industri keuangan pun kian bertambah dengan makin biasnya batas-batas negara. Di Indonesia sendiri, kata David, untungnya belum ada serangan siber yang berdampak fatal. Namun dunia, kasus-kasus serangan siber yang “melumpuhkan” telah mengemuka.

    Salah satu contohnya adalah diretasnya dana perbankan senilai US$8,1 miliar dari perbankan Bangladesh. Ada juga kasus serangan siber terhadap bank-bank di Rusia. Di Negeri Beruang Merah ini, perbankan menjadi lumpuh dalam beberapa hari karena adanya serangan berupa distributed denial operating system yang membuat sistem mati total.

    Rentannya industri keuangan akan serangan siber diakui pula oleh Ketua Dewan Komisioner Otoritas Jasa Keuangan (OJK), Wimboh Santoso. Dalam seminar International Good Practices on Cybersecurity Preparedness di Washington pada pertengahan Oktober kemarin, ia mengungkapkan kewaspadaannya.

    Menurutnya, kian membesarnya masalah serangan siber di industri ini terkait juga dengan makin pesatnya pemanfaatan teknologi informasi dan komunikasi pada lembaga-lembaga jasa keuangan.

    “Upaya pencegahan serangan siber tidak dapat dilakukan hanya oleh satu negara, tetapi harus merupakan inisiatif global karena para hackers beroperasi tanpa mengenal batas negara,” tutur Wimboh.

    Namun, dalam konteks keamanan negara, pengamanan di dalam negeri haruslah menjadi prioritas utama. Untuk itulah, OJK berenana membuat layanan informasi keuangan yang bertugas mempercepat pemulihan saat terjadi serangan siber. 

    Ia juga mengemukakan, perlu ada peningkatan kepedulian dari industri untuk risiko serangan siber. Beberapa di antaranya dengan penguatan manajemen risiko operasional terknologi informasi.

    Terkait dengan kesadaran untuk keamanan siber yang dimiliki tiap-tiap industri keuangan, David Sumual mengaku, banyak bank telah menerapkan sistem keamanan siber yang cukup untuk perusahaannya. Namun, seiring sistem pertahanan yang telah dibangun, ragam serangan kian beraneka. Alhasil, pemutakhiran sistem menjadi suatu rangkaian yag tak terputus.

    “Ya itu terus dilakukan penyempurnaan. Sampai sejauh ini, selalu di-update dengan teknologi yang paling mutakhir, yang paling canggih, yang dimiliki. Ada juga sistem back up pasti,” paparnya.

    Pembaharuan sistem pertahanan boleh jadi terus dilakukan, seperti yang diungkap David. Namun menurut peneliti ICT Institute Heru Sutadi, hanya beberapa bank besar yang mampu dan sadar pentingnya menyediakan sistem pertahanan siber secara mumpuni.

    “Beberapa sudah sadar, tapi banyak juga yang belum sadar,” katanya kepada Validnews, Senin (6/11).

    Pemutakhiran Sistem
    Namun jika dibandingkan dengan e-commerce, kesadaran perusahaan keuangan untuk membangun sistem pertahanan siber memang jauh lebih baik. Walaupun lagi-lagi perlu diingat, kesadaran tersebut tidak dimiliki seuma bank atau lembaga keuangan lainnya.

    Bahkan, dalam kajian bertajuk “Key Findings from The Global State of Information Security Survei 2017: Indonesia Insight”, diketahui sebanyak 18% perusahaan di Indonesia terlihat abai dalam keamanan sibernya dengan tidak membangun sistem sama sekali.

    Salah satu industri keuangan yang telah cukup sadar akan keamanan siber adalah PT CIMB Sekuritas Indonesia. Menurut pengakuan Farid Ridwan, Client Service Manager kepada Validnews, keamanan semua data sensitif nasabah terjamin sebab pihaknya menggunakan teknologi yang mumpuni.

    “Teknologi keamanan yang kami terapkan untuk melindungi data sensitif, di antaranya enkripsi User ID dan password nasabah, penggunaan PIN untuk semua yang berkaitan trading, verisign secure socket layer encryption dengan extended validation, serta proteksi firewall,” ucapnya, Selasa (7/11).

    Terlepas dari hal tersebut, Heru memandang, sistem pertahanan siber yang telah ada di beberapa bank besar pun banyak yang sudah tidak mutakhir. Karena itulah, perlu untuk melakukan pemutakhiran secara berkala seiring dengan kian pesatnya perkembangan serangan siber dunia.

    Dana yang lebih besar perlu juga dialokasikan untuk membangun sistem yang kuat dan mutakhir. Sebab menurut pengamat ini, gelontoran rupiah untuk membangun ketahanan siber di industri nasional masih jauh dari ideal.

    Perlu diketahui, perusahaan-perusahaan di dunia kerap mengucurkan dana Rp5—6 triliun dalam setahun untuk perawatan dan pengembangan keamanan sibernya. Sementara itu, untuk keperluan serupa, perusahaan di Indonesia hanya menggelontorkan sekitar 20%-nya.

    “Rata-rata industri satu tahun itu belum ada Rp1 triliunan-lah. Rendah kok kita,” ucapnya.

    Pernyataan Heru selaras dengan data dari PricewaterhouseCoopers (PwC). Tercatat bahwa pundi-pundi yang dihabiskan untuk infrastuktur ketahanan siber di Indonesia dalam setahun berada di angka US$1,4 miliar. Sementara itu di dunia, untuk keperluan yang sama, dana yang dihabiskan mencapai US$5,1 miliar.

    Selain perlu untuk terus meng-up date sistem, Heru mengingatkan, pintu masuk serangan di industri keuangan tidak hanya menyasar kantor pusat. Sebab sering terjadi, ketika ketahanan di pusat tidak dapat diterobos, mencari celah lain di kantor-kantor cabang di daerah dapat menjadi tujuan.

    “Ini yang juga harus menjadi perhatian sebenarnya, walaupun banyak juga yang mereka nggak (sadar). Apalagi kayak BMT (Baitul Maal Wa Tamwil) atau BPR (Bank Perkereditan Rakyat), banyak yang keamanannya tidak diperhatkan. Jangankan ISO segala macam, mungkin level penggunaan komputer di perusahaan tersebut level staf bisa mengubah sistem,” pungkasnya.

    Infografis target serangan siber

    SDM IT
    Untuk itulah, pembangunan infrastruktur di bidang ketahanan siber harus selaras pula dengan pengembangan sumber daya manusia (SDM) selaku operator sistem dan pengguna. Ia berpendapat, terkait masalah keamanan siber tidak bisa dipercayakan sepenuhnya kepada mesin. Harus ada orang yang memang didedikasikan khusus untuk memantau kondisi informasi agar selalu siaga.

    Sayangnya, menurut Wakil Ketua Bidang Operasional Jaringan ID-SIRTII Muhammad Salahuddin Manggalany kepada Valinews, Senin (6/11), orang yang berkkompeten di bidang infrastruktur keamanan siber masih sangat minim. Kendala lebih besar pun datang dari pengguna layanan yang terbiasa tidak memproteksi datanya.

    “Bukan masalah infrastruktur. Meskipun infrastruktur sekuritinya ada, tapi kalau orangnya nggak menetapkan ini rahasia dan perlu diproteksi, maka dia tidak menggunakan teknologi itu untuk melindungi. Karena dia menganggap itu enggak sensitif,” lanjutnya.  

    Melihat fakta-fakta tersebut, ia menilai tingkat kesadaran masyarakat Indonesia akan keamanan informasi data masih sangat rendah. Bahkan dibandingkan dengan negara-negara ASEAN, Indonesia kalah dengan Vietnam maupun Myanmar. Sementara Singapura dan Malaysia menjadi negara-negara yang berada di tingkat atas.

    “Myanmar dan Vietnam itu negara baru menggunakan IT, mereka malah prepare banget. Vietnam misalkan, Vietnam sangat prepare karena mereka baru memanfaatkan teknologi. Sebelumnya mereka belajar dulu kelemahan-kelemahan yang terjadi di negara lain, termasuk Indonesia dan mereka tidak mengulangi itu,” ucap pria yang kerap disapa Didin ini.

    Secara umum, berdasarkan kajian keamanan siber yang dipublikasikan oleh ICSF, hanya 51,3% dari penduduk Indonesia yang telah melakukan aktivitas aman berinternet. Persentase tersebut lebih rendah dibandingkan tingkat pengetahuan masyarakat akan keamanan berinternet sebesar 63,7%.

    Itu berarti terdapat kelompok masyarakat yang kerap mengabaikan keamanan informasi dalam beraktivitas di dunia maya, meskipun telah mengetahui risikonya. Iaa yakin, hal ini tidak lepas dari pola masyarakat yang terbiasa hidup secara komunal, sehingga menganggap tidak ada yang perlu dirahasiakan dari data pribadi mereka.

    Kian abainya masyarakat dalam mengumbar data pribadi yang merupakan privasi terpampang pula dari hasil survei CissRec yang bertajuk “Tingkat Kesadaran Masyarakat tentang Keamanan Informasi”. Dari hasil survei tersebut diketahui, 51% masyarakat mencantumkan alamat e-mail  di aplikasi maupun layanan virtual.

    Secara berturut-turut, 33% dan 24% masyarakat tanpa segan mencantumkan nomor ponsel dan alamat rumah dalam aplikasi maupun layanan internet.

    Industri keuangan, khususnya perbankan, sejatinya bisa dianggap sebagai salah satu aplikasi maupun layanan yang mampu menjaga privasi para penggunaya. Ya setidaknya menurut survei CissRec tersebut, 54% pengguna layanan maupun aplikasi percaya pada sistem perbankan sehingga tanpa segan memasukkan data pribadinya.

    Padahal di sisi lain, diketahui bahwa ancaman siber, termasuk pencurian data, tetap mengancam sektor yang satu ini.

    Selaras, Staf Ahli Kementerian Komunikasi dan Informasi Bidang Hukum Henri Subiarto mengungkapkan, selama ini budaya keamanan digital di masyarakat masih memprihatinkan.  Tidak memadainya keamanan digital di masyarakat pada akhirnya menyebabkan data pribadi milik mereka bisa ditemukan di internet atau bisa dikuasai orang lain dengan mudah.

    “Dalam persoalan data, kita sering membiarkan KTP dan KK difotkopi orang atas berbagai keperluan, tanpa jaminan keamanan informasi di dalamnya. Intinya kita begitu mudah menyerahkan data pribadi ke pihak lain, seperti bank, tempat kredit motor, daftar absen seminar, kantor asuransi, dan lain-lain,” tuturnya.  

    Di dunia digital apalagi. Rendahnya keamanan informasi, khususnya di industri keuangan, dapat terlihat dari seberapa jarangnya masayrakat mengubah password ataupun pin untuk akun-akunnya.

    Infografis kesadaran dan kekhawatiran internet

    Regulasi
    Ketidaksadaran akan pengamanan informasi data ini makin diperkuat dengan kurang mumpuninya regulasi di bidang privasi data di tiap industri. Didin menyebutkan, saat ini baru ada Permenkominfo Nomor 20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik.

    “Masih sangat banyak celah. Kalau peraturan menteri itu kan daya tekannya kurang, power-nya kurang. Untuk ke sektor-sektor lain, selain dari Kemenkominfo, kan sulit untuk mematuhi itu,” ujarnya.

    Karena itulah, ia memandang perlu dibuat aturan mengenai keamanan data pribadi yang setara dengan undang-undang. Semata-mata agar regulasi tersebut dapat menjadi aturan yang menjamah dan dipatuhi segala sektor.

    Kementerian Komunikasi dan Informasi (Kemenkominfo) pun menyadari betapa urgensinya keamanan siber yang mesti didahului dengan privasi yang terjaga di sektor industri keuangan. Karena itulah, Henri menyebutkan, tiap sektor harus lebih jeli mengenai keamanan ini.

    Pihaknya sendiri mengarahkan untuk menggunakan standar ISO guna tiap layanan keuangan yang dijajal kepada masyarakat. Sementara menurut Ketua CissRec Pratama Persadha, pemerintah tetap harus bertanggung jawab penuh dengan membuat standardisasi.

    “Harusnya tanggal 23 kemarin ada Badan Siber dan Sandi Negara sudah terbentuk, tapi hingga detik ini Pak Presiden belum menunjuk siapa kepalanya, siapa yang memimpin. Akibatnya, badan siber hingga sekarang belum beroperasi, ketika tidak beroperasi akhirnya tidak bisa mengeluarkan kebijakan-kebijakan,” ucapnya kepada Validnews, Sabtu (4/11).

    Hal ini pulalah yang membuat keamanan industri keuangan berbasis teknologi di Indonesia kian terombang-ambing. Di satu sisi, tingkat kesadaran perusahaan maupun pengguna terkait keamanan data, sangat sulit untuk meningkat

    Di sisi yang lain, patokan sistem keamanan siber untuk industrinya belum juga terwujud karena terganjal badan siber yang hingga kini bentuk fisiknya baru sebatas imajinasi. (Teodora Nirmala Fau, Rizal)