Serangan siber (Cybersecurity Attack) semakin menjadi ancaman serius bagi organisasi, terutama di era di mana teknologi dan bisnis terus berkembang. Artikel ini membahas beberapa cara di mana organisasi, khususnya di industri perbankan, dapat tanpa disadari membuka peluang untuk serangan siber. Studi kasus dalam industri perbankan akan memberikan pemahaman lebih lanjut tentang risiko konkret yang mungkin dihadapi.
1. Kurangnya Prioritas Keamanan Siber: Salah satu faktor utama yang dapat membuka peluang serangan siber adalah kurangnya prioritas keamanan siber di tingkat eksekutif. Studi kasus di Bank A mengungkapkan bahwa kebijakan keamanan yang tidak memadai dan kurangnya investasi dalam infrastruktur keamanan dapat meningkatkan risiko serangan siber yang berhasil. Kesadaran dan komitmen tingkat eksekutif sangat penting untuk menciptakan budaya keamanan yang kuat.
2. Kesenjangan Budaya antara IT dan Non-IT: Kesenjangan budaya antara eksekutif IT dan non-IT dapat menciptakan celah yang dimanfaatkan oleh penyerang. Bank B mengalami kegagalan komunikasi antara departemen IT dan non-IT, menyebabkan keterlambatan dalam mengidentifikasi dan menanggapi ancaman siber. Integrasi budaya keamanan dalam seluruh organisasi, bukan hanya di departemen IT, adalah kunci untuk mengatasi kesenjangan budaya ini.
3. Ketidakpatuhan terhadap Standar Keamanan: Beberapa organisasi, seperti yang terlihat pada Studi Kasus Bank C, dapat membuka celah untuk serangan siber dengan tidak mematuhi standar keamanan industri. Kepatuhan terhadap regulasi dan standar keamanan, seperti PCI DSS untuk industri perbankan, penting untuk melindungi data sensitif dan mencegah serangan siber yang dapat merugikan reputasi perusahaan.
4. Kurangnya Pelatihan Keamanan bagi Karyawan: Penting untuk mengenali bahwa manusia sering menjadi pintu masuk terlemah. Studi kasus di Bank D menunjukkan bahwa kurangnya pelatihan keamanan bagi karyawan dapat memberikan celah bagi serangan siber, terutama melalui teknik phishing. Investasi dalam pelatihan keamanan yang terus-menerus dapat membantu mengurangi risiko serangan melalui manipulasi manusia.
5. Tidak Memadainya Pembaruan Keamanan: Organisasi, seperti yang terlihat dalam Studi Kasus Bank E, sering menjadi target serangan karena gagal memperbarui perangkat lunak dan sistem operasi secara teratur. Kelemahan keamanan yang tidak diperbaiki dapat dimanfaatkan oleh penyerang untuk melakukan serangan. Proses pembaruan rutin dan pemantauan keamanan secara berkala harus menjadi bagian integral dari strategi keamanan siber.
Kepatuhan terhadap Regulasi & Standard
Oleh karena itu sangat penting untuk menyadari bahwa kepatuhan terhadap sejumlah Undang undang dan regulasi serta standard yang telah ditetapkan harus diterapkan secara optimal. Adapun beberapa referensi regulasi dari Bank Indonesia dan OJK yang bisa digunakan untuk menekan dampak risiko dari 5 ancaman diatas . Berikut adalah beberapa regulasi yang relevan:
Peraturan Bank Indonesia (PBI):
PBI Nomor 19/12/PBI/2017 tentang Operasional Bank Berbasis Teknologi (OBT): Menetapkan persyaratan operasional dan keamanan bagi bank yang berbasis teknologi untuk melindungi keamanan dan keamanan data.
PBI Nomor 20/6/PBI/2018 tentang Tata Cara Penyelenggaraan Layanan Uang Elektronik: Mengatur persyaratan keamanan dan manajemen risiko dalam penyelenggaraan layanan uang elektronik.
Peraturan OJK:
Peraturan OJK Nomor 13/POJK.03/2018 tentang Perlindungan Konsumen Sektor Jasa Keuangan: Menetapkan persyaratan perlindungan konsumen, termasuk keamanan data pelanggan.
Peraturan OJK Nomor 38/POJK.03/2016 tentang Manajemen Risiko Bagi Penyelenggaraan Sistem Elektronik di Sektor Jasa Keuangan: Berfokus pada manajemen risiko, termasuk risiko keamanan siber, dalam operasional sistem elektronik di sektor jasa keuangan.
Peraturan OJK Nomor 1/POJK.07/2013 tentang Sistem Pengelolaan Keamanan Informasi Bagi Penyelenggara Layanan Pinjam Meminjam Uang Berbasis Teknologi Informasi: Memberikan panduan tentang manajemen keamanan informasi untuk penyelenggara layanan pinjam meminjam uang berbasis teknologi informasi.
Peraturan Lainnya:
- ISO/IEC 27001:2013 (Manajemen Keamanan Informasi): Meskipun bukan regulasi pemerintah, standar internasional ini sering diadopsi oleh lembaga keuangan sebagai dasar untuk membangun dan memelihara sistem manajemen keamanan informasi.
Penting untuk merinci kebutuhan keamanan siber sesuai dengan karakteristik dan layanan yang disediakan oleh masing-masing lembaga keuangan. Penyusunan kontrol harus mencakup pemahaman mendalam terhadap regulasi yang berlaku dan perubahan terbaru dalam industri keuangan di Indonesia.
Kesimpulan: Penting bagi organisasi, terutama di industri perbankan, untuk menyadari potensi cara mereka membuka peluang serangan siber. Dengan memprioritaskan keamanan siber di tingkat eksekutif, mengatasi kesenjangan budaya, mematuhi standar keamanan, memberikan pelatihan keamanan bagi karyawan, dan memastikan pembaruan keamanan yang teratur, organisasi dapat mengurangi risiko serangan siber yang dapat merugikan operasional dan reputasi mereka. Studi kasus dalam industri perbankan membuktikan bahwa serangan siber dapat dihindari melalui upaya proaktif dalam menerapkan praktik keamanan terbaik.
Penulis :
Hery Purnama, SE.,MM. MCP, PMP, ITILF, CISA, CISM, CRISC, CDPSE, CGEIT, COBIT, TOGAF, CDMP, CTFL, CBAP, CISSP, ISO 31000, ISO 27001, ISO 20000-1
0 Komentar