Membaca Celah Rentan Perbankan Dibayangi Serangan Siber

Peretasan sistem perbankan tidak lepas dari rentannya keamanan siber di Indonesia secara umum. Tingginya tingkat serangan siber di Indonesia dibandingkan statistik global, menunjukkan serangan siber lebih sukses dilakukan di negara ini.

"Ketika penyerang menemukan cara untuk mengelabui pengguna atau mengompromikan sistem, mereka akan memperluas operasi mereka dengan cepat untuk memanfaatkan kerentanan, sebelum industri tersebut dapat bereaksi," ujar Deon.

Gencarnya serangan siber di Tanah Air bukan tanpa alasan. Menlo Security mencatat, ancaman serangan siber pada umumnya menyasar perusahaan besar dan institusi pemerintahan, terutama dalam tiga tahun terakhir.

Salah satu alasan utamanya adalah jaringan tua (legacy network) dan infrastruktur keamanan jaringan tidak lagi mampu mengakomodasi cara bekerja pada lanskap modern saat ini. Jaringan tua itu juga tidak dapat mencegah Highly Evasive Adaptive Threats (HEAT) yang dapat mengakibatkan ransomware.

Sebuah laporan terbaru oleh National Cyber Security Index (NCSI) menunjukkan keamanan siber Indonesia berada di peringkat keenam di antara negara-negara ASEAN lainnya. Sementara secara global, Indonesia di posisi ke-83 dari 160 negara.

Sedangkan laporan Interpol yang menyebutkan sekitar 2,7 juta ransomware terdeteksi di negara-negara ASEAN sepanjang 2021. Indonesia memimpin dengan 1,3 juta kasus.

Badan Siber dan Sandi Negara (BSSN) menyebut berdasarkan laporan Microsoft dari sisi higienitas siber di Indonesia, sebanyak 22 persen komputer perusahaan dianggap mengalami insiden serangan karena terdeteksi telah terinfeksi malware.

Laporan BSSN pada 2021 mencatat 1,6 miliar serangan siber atau anomali trafik internet di Indonesia. BSSN juga menyebut potensi kerugian ekonomi Indonesia hingga belasan triliun rupiah akibat serangan siber secara umum. 

"Kondisi keamanan siber Indonesia adalah isu yang perlu kita perhatikan bahwa potensi kerugian ekonomi Indonesia dari dampak serangan siber itu Rp14,2 triliun," ujar Direktur Keamanan Siber dan Sandi Keuangan, Perdagangan, dan Pariwisata BSSN, Edit Prima.

Tak heran, Presiden Joko “Jokowi” Widodo pernah mengingatkan tentang ancaman kejahatan siber dalam layanan digital keuangan. Jokowi pun meminta kepada seluruh pelaku layanan digital, khususnya di sektor keuangan untuk terus menyiapkan mitigasi terbaiknya.

"Harus diingat perkembangan teknologi di sektor keuangan menimbulkan risiko, antar lain kejahatan siber, misinformasi dan transaksi eror serta penyalahgunaan data pribadi,” ucap Jokowi.

Kasus serangan siber terbaru yang mencuat di publik adalah bobolnya sistem PT Bank Syariah Indonesia (BSI). Kasus serangan siber itu bermula dari gangguan terhadap mobile banking BSI pada awal Mei lalu. Gangguan itu pun merembet ke sejumlah layanan BSI lainnya termasuk di ATM dan kantor cabangnya.

Maintenance atau proses pemeliharaan sempat disampaikan BSI sebagai alasan atas gangguan-gangguan tersebut. Namun, gangguan tersebut nyatanya merupakan serangan siber. Hal itu diakui langsung oleh Menteri BUMN, Erick Thohir.

“Apa yang dilakukan BSI kemarin memang dalam transisi perbaikan sistem daripada tentu IT-nya. Tapi, juga ada serangan, saya bukan ahlinya disebutin three point apalah itu, sehingga mereka down hampir satu hari kalau tidak salah," ucap Erick.

Kelompok peretas LockBit pun kemudian mengklaim telah menyebarkan data nasabah BSI karena tak mendapatkan uang tebusan yang telah diminta kepada bank tersebut.

Hal itu diungkapkan oleh akun Twitter @darktracer_int pada 16 Mei 2023. Dalam unggahan tangkapan layar dari akun tersebut, LockBit mengatakan BSI tidak mampu melindungi data nasabah karena sistemnya berhasil terbobol. Lalu, BSI tak mau membayar uang tebusan yang diminta kelompok peretas tersebut.

“Mereka telah melanggar hukum privasi data dengan membocorkan informasi, lalu membuat Anda menunggu dan khawatir saat ‘pekerjaan teknis berlangsung’. Padahal kala itu  mereka (BSI) dapat membayar kami (LockBit), dan itu akan bekerja kembali di hari yang sama,” tulis LockBit.

Kendati begitu, BSI memastikan dana nasabah dalam kondisi aman. BSI mengatakan, isu kebocoran data muncul usai dugaan serangan siber yang membuat sistem BSI mengalami gangguan selama empat hari, yakni 8-11 Mei 2023.

“Dapat kami sampaikan bahwa kami memastikan data dan dana nasabah aman, serta aman dalam bertransaksi. Kami berharap nasabah tetap tenang karena kami memastikan data dan dana nasabah aman, serta aman dalam bertransaksi. Kami juga akan bekerjasama dengan otoritas terkait dengan isu kebocoran data,” kata Corporate Secretary BSI, Gunawan A. Hartoyo dikutip dari keterangan resmi.

Usai kasus tersebut, Rapat Umum Pemegang Saham Tahunan (RUPST) BSI mencopot Achmad Syafii dari posisi Direktur Information Technology dan Tiwul Widyastuti dari Direktur Risk Management.

Penggantinya, Saladin D Effendi sebagai Direktur Information Technology dan Grandhis Helmi H sebagai Direktur Risk Management. Saladin sebelumnya menjabat sebagai Chief Information and Security Officer di PT Bank Mandiri (Persero) Tbk, sedangkan Grandhis mantan Group Head Commercial Risk 1 di PT Bank Mandiri (Persero) Tbk.

Salah satu faktor yang menjadikan Indonesia sasaran empuk bagi serangan siber adalah pesatnya digitalisasi, terutama selama pandemik. Penetrasi pengguna internet tercatat sampai 67 persen populasi dengan penetrasi pengguna smartphone sebesar 60 persen.

Sebagai salah satu ekonomi terbesar di Asia Tenggara, Indonesia memiliki 202 juta pengguna internet. RI berkontribusi sekitar 70 miliar dolar AS terhadap ekonomi digital nasional pada 2021, dengan 146 miliar dolar AS diproyeksikan pada 2025.

Percepatan digitalisasi itu tentu berpengaruh ke perbankan. Otoritas Jasa Keuangan (OJK) lantas menerbitkan dua regulasi guna mendukung akselerasi digital sektor perbankan, yaitu POJK Nomor 12/POJK.03/2018 tentang Penyelenggaran Layanan Digital oleh Bank Umum dan POJK 38/POJK.03/2016 tentang Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum.

Dua regulasi itu kemudian yang menjadi acuan bagi perbankan di Indonesia untuk pelan-pelan melakukan transformasi secara digital. Namun, ekonom sekaligus peneliti Institute for Development of Economic and Finance (INDEF), Nailul Huda, menyebut pandemik COVID-19 telah mengakselerasi digitalisasi perbankan akibat permintaan yang begitu besar.

“Jadi, perbankan berlomba-lomba mengembangkan layanan digitalnya termasuk dalam hal keamanan sibernya,” ujar Huda kepada IDN Times, Minggu (25/6/2023).

Namun, menurut dia, pesatnya percepatan tersebut, belum diimbangi dengan sistem keamanan siber yang mumpuni. Huda mengatakan sejumlah bank belum siap 100 persen untuk menangkal serangan siber. Menurut pengamatannya, sistem keamanan siber perbankan di Indonesia masih cukup tertinggal.

“Jadi masih sering terjadi kebocoran data maupun pembobolan sistem perbankan.,” katanya.

Menurutnya, porsi besar alokasi belanja untuk IT masih diimplementasikan untuk infrastruktur layanan, belum ke sistem keamanan. "Terlebih untuk bank yang baru mengembangkan layanan digitalnya. Mereka akan fokus ke layanan digital tapi masih minim ke keamanan sibernya. Kecuali mereka kerja sama dengan pihak ketiga,” beber Huda.

Sejumlah bank punya bantahan tersendiri atas asumsi tersebut.

PT Bank Syariah Indonesia Tbk (BRIS) atau BSI yang baru saja kena serangan siber, mengaku meningkatkan anggaran untuk penguatan dari sisi teknologi informasi (TI) tahun ini. BSI menyiapkan belanja modal alias capital expenditure (capex) sebesar Rp580 miliar untuk meningkatkan layanan dan kualitas infrastruktur digital BSI.

"Terus terang ini dua kali lipat dari tahun sebelumnya. BSI berkomitmen memperkuat sistem digitalisasi dan keamanan data yang ditunjukkan dengan peningkatan alokasi belanja untuk IT dan digital tahun ini," kata Wakil Direktur Utama BSI, Bob Tyasika Ananta. 

Sementara itu, PT Bank Negara Indonesia (Persero) Tbk (BBNI) atau BNI mengaku menyiapkan anggaran khusus untuk sektor teknologi informasi (TI) demi menjaga kepercayaan nasabah.

Dana itu diklaim mumpuni, dianggarkan dalam belanja modal (capex) pada 2022, yang tercatat 3 persen dari pendapatan kotor atau revenue. Anggaran TI dan digitalisasi itu termasuk untuk pengembangan kapasitas hardware maupun software.

"Kami menggunakan capex TI untuk pengembangan fitur-fitur yang relevan dengan kebutuhan layanan perbankan digital nasabah kami sebagai bank digital dengan keunggulan bisnis global," kata Corporate Secretary BNI, Mucharom.

Ada juga PT Bank Sinarmas Tbk (BSIM) yang telah menggelontorkan 35 juta dolar AS atau sekitar Rp522 miliar sebagai investasi yang sudah masuk dalam belanja modal atau capital expenditure (capex) selama tiga tahun. 

"Investasi yang sudah kami keluarkan sudah termasuk untuk IT system juga ya. Untuk totalnya kurang lebih di angka 30 sampai dengan 35 juta dolar AS," kata Direktur Digital Banking Bank Sinarmas, Soejanto Soetjijo. Anggaran itu termasuk untuk peningkatan layanan digital hingga keamanan data nasabah.

Berbeda dengan peneliti INDEF, chairman lembaga riset keamanan siber Communication & Information System Security Research Centre (CISSReC), Pratama Dahlian Persadha, tak setuju jika sistem keamanan siber perbankan dinilai tidak mumpuni. Menurutnya, perbankan Indonesia memiliki perangkat keamanan yang paling mutakhir serta spesifikasi dan kualifikasi paling tinggi.

"Perbankan melakukan itu karena mereka sadar bahwa industri mereka rentan dan menjadi target serangan siber karena konfidensialnya data yang disimpan di dalamnya," kata Pratama kepada IDN Times, Senin (26/6/2023).

Meski demikian dia mengakui tidak ada sistem keamanan yang 100 persen mampu melindungi sistem yang dijaganya. Apalagi, perkembangan siber semakin canggih dan variasi malware juga terus beredar secara bebas.

“Hal ini juga menyulitkan untuk dideteksi ditambah banyaknya hacktivist yang secara spesifik mencari celah kerentanan dari suatu sistem yang dimiliki oleh organisasi dan melakukan serangan,” kata dia.

Terlepas dari itu, dia meyakini serangan siber tidak mesti disebabkan lemahnya sistem keamanan. Menurutnya, banyak titik masuk yang dapat dimanfaatkan penyerang untuk masuk ke sistem yang ditargetkannya.

"Salah satu hal yang bisa menjadi titik masuk para hacker justru dari sisi manusianya," ujar Pratama.

Macam-macam bentuk serangan siber yang bisa mengancam sistem perbankan, mulai dari phising, social engineering, pengunduhan berkas yang mengandung exploit serta, malware dari USB dan perangkat penyimpanan eksternal yang dihubungkan ke server.

Tipe yang mana pun itu, menurut Pratama, serangan siber dapat merusak sektor perbankan secara menyeluruh, bukan hanya dari sisi finansial. Utamanya, serangan siber yang berhasil dapat berujung hilangnya data penting yang dampaknya tentu dirasakan secara finansial.

"Bisa mengganggu proses pengambilan keputusan, atau menghambat investigasi pascaserangan," kata dia.

Akan tetapi, lebih jauh dari itu, dia mengingatkan, serangan siber bisa menggerus kepercayaan publik terhadap sistem perbankan dan ekonomi. Hal ini dapat berdampak negatif pada pasar keuangan dan mengganggu pertumbuhan ekonomi jangka panjang.

"Secara keseluruhan bisa terpengaruh," kata dia.

Lebih dari itu, melihat sektor perbankan dibobol peretas juga akan menyebabkan publik kehilangan keyakinan pada kemampuan pemerintah atau organisasi terkait untuk melindungi infrastruktur penting.

"Hal ini dapat mengganggu stabilitas sosial dan politik,” beber Pratama.

Dia memetakan pekerjaan rumah yang perlu diperhatikan industri perbankan agar tidak menjadi korban serangan siber.

Pertama, kelalaian pegawai atau karyawan terhadap aspek keamanan siber dapat menjadi pintu masuk terhadap kejadian serangan siber. Oleh karena itu, perusahaan terutama dari sektor perbankan perlu menaruh perhatian lebih kepada para karyawannya. Perusahaan perlu mengedukasi khusus karyawannya agar lebih berhati-hati dalam menangani keamanan siber.

“Pelatihan karyawan terhadap aspek keamanan siber menjadi titik kritis terhadap keamanan siber suatu organisasi karena tak jarang serangan siber yang terjadi berawal dari diretasnya PC atau laptop karyawan atau didapatkan data kredensial karyawan melalui serangan phising,” tutur dia.

Selain itu, untuk menaikkan kepercayaan publik dan nasabahnya bank harus memastikan sistem pemantauan keamanan, yang dapat mendeteksi aktivitas mencurigakan atau ancaman serangan siber, bekerja dengan baik.

Hal itu dapat dilakukan menggunakan pendekatan multi-layered security dengan menggabungkan berbagai teknologi dan metode keamanan, menerapkan business continuity management (BCM), dan selalu simulasikan prosedur dalam BCM secara berulang-ulang.

“Yang tidak kalah penting adalah secara berkala dan terus menerus melakukan asesmen terhadap kerawanan serta celah keamanan siber dari sistem yang dimiliki. Hal ini bertujuan supaya dikemudian hari tidak terjadi downtime yang membutuhkan waktu penyelesaian sampai berhari-hari,” ujar Pratama.