Terpaan gelombang revolusi industri keempat mengubah layanan bank menjadi lebih digital. Perubahan tersebut bisa menjadi mata pisau bermata dua bila tanpa diiringi penguatan pada keamanan siber (cyber security). Hal ini sesuai konsep Klaus Schwab, disrupsi revolusi industri keempat tak hanya mencakup aspek produksi. Disrupsi juga terjadi pada aspek manajemen dan tata kelola termasuk untuk risiko siber.
Bagi beberapa pakar, “aman” dalam konteks siber adalah sebuah keajaiban. Menurut mantan direktur FBI, Robert S. Mueller, hanya ada dua jenis perusahaan yang ada di dunia ini. Yang pertama adalah perusahaan yang pernah diretas sedangkan sisanya adalah perusahaan yang akan diretas. Mantan CEO Cisco Systems, John T. Chambers punya pendapat lain yang lebih mengkhawatirkan. Dua jenis perusahaan di dunia ini adalah perusahaan yang telah diretas dan yang belum sadar kalau sudah diretas.
Pernyataan terakhir tersebut terasa berlebihan. Namun faktanya, butuh rata-rata 191 hari sejak peretasan sampai pemilik sistem sadar sistemnya telah ditembus. Angka tersebut adalah hasil penelitian oleh Ponemon Institute LLC dan IBM Security dalam 2017 Cost of Data Breach Study. Penelitian itu juga menyarankan agar angka tersebut ditekan sampai dibawah 100 hari. Semakin lama kebocoran sistem diketahui, semakin besar kerugian yang dialami oleh perusahaan. Untuk kebocoran sistem yang diketahui setelah lebih dari 100 hari, rata-rata kerugian yang diderita sekitar 3,83 juta dollar Amerika. Angka kerugian tersebut 37% lebih besar daripada jika kebocoran sistem diketahui sebelum 100 hari.
Kerugian pada industri perbankan dapat lebih besar daripada rata-rata tersebut karena berdampak langsung secara finansial. Agustus lalu, Cosmos Bank menderita kerugian sebesar 13,5 juta dollar Amerika dalam sebuah insiden serangan siber. Sistem kartu kredit bank asal India tersebut diserang dengan menggunakan malware. Pelaku lalu menyalin data kartu nasabah. Dengan data tersebut, pelaku melakukan transaksi ilegal dalam bentuk transfer senilai 2 juta dollar serta penarikan ATM di 28 negara senilai 11,5 juta dollar.
Serangan tersebut adalah serangan kedua yang terjadi di India pada tahun ini saja. Sebelumnya, City Union Bank juga mengalami serangan serupa dengan nilai kerugian sekitar 2 juta dollar Amerika. Para pakar keamanan percaya bahwa kedua serangan tersebut diawali dari celah keamanan yang ada pada sistem pembayaran SWIFT yang juga digunakan oleh sistem perbankan di seluruh dunia.
Cerita seperti tersebut di atas tidak (atau belum) pernah terdengar di dunia perbankan Indonesia. Namun berdasarkan dua pernyataan di awal tulisan, kemungkinannya ada dua: ada bank yang akan segera ditembus atau sebenarnya ada bank yang sudah ditembus namun belum menyadarinya. Untuk menghadapi ancaman seperti itu, sekedar aman bisa jadi tak cukup. Setiap bank harus mengembangkan ketahanan siber (cyber resilience).
Ada beberapa hal yang perlu diperhatikan oleh bank dalam mengembangkan ketahanan siber.
Pertama, manajemen bank perlu menyadari bahwa ketahanan siber bukan tanggung jawab dari divisi IT saja. Revolusi industri keempat mendorong bank untuk membuka layanan menjadi tanpa batas. Namun demikian, keputusan untuk menjadi digital harus diiringi dengan kesiapan manajemen risiko terhadap serangan yang juga menjadi tanpa batas. Manajemen risiko tersebut erat kaitannya dengan solusi dan juga biaya. Karenanya, partisipasi aktif direksi dalam manajemen risiko siber sangat dibutuhkan.
Pada level tertentu, bank secara khusus perlu mempunyai Chief Information Officer (CIO) atau bahkan Chief Information Security Officer (CISO). Jika tidak dimungkinkan, Bank perlu mempunyai solusi lain untuk menambah wawasan dan perhatian direksi pada risiko siber. Bank antara lain dapat memberikan pelatihan kepada direksi atau merekrut konsultan yang memberikan masukan independen kepada direksi.
Mata Rantai Terlemah
Yang kedua, perimeter area yang perlu dilindungi oleh bank menjadi meluas seiring dengan perkembangan layanan bank. Sementara itu, kekuatan suatu rantai bergantung pada kekuatan mata rantai terlemah. Serangan pada bank bisa dilakukan dengan memanfaatkan celah pada mata rantai terlemah. Pada kasus di India, serangan dilakukan pada bagian yang tidak dikontrol oleh bank: penyedia jasa. Contoh mata rantai terlemah lain ada pada kasus ransomware yang belum lama ini menghebohkan. Perusahaan dapat terserang ransomware hanya karena seorang karyawan yang mengklik tautan pada email yang diterima.
Hal ini selaras dengan hasil Global State of Information Security Survey (GSISS) 2018 oleh PwC. Salah satu hasil survei tersebut adalah terkait dengan penyebab insiden keamanan siber dalam setahun terakhir. Pada sektor jasa keuangan, 28% insiden ditengarai disebabkan oleh karyawan internal. Porsi terbesar, lebih dari setengahnya (53%) disebabkan oleh pihak ketiga: penyedia layanan, vendor, dan konsultan.
Bank harus mempunyai mekanisme pemilihan serta pengelolaan pihak ketiga termasuk kehandalannya dalam melindungi rahasia bank. Secara berkala dan berkelanjutan, bank harus melakukan review terhadap pihak ketiga untuk mengetahui area yang terpapar risiko karena pihak ketiga tersebut. Selain, pihak ketiga, bank juga perlu memperhatikan karyawan termasuk karyawan kontrak dan alih daya. Pelatihan dan program kewaspadaan perlu diberikan kepada karyawan sesuai dengan kompleksitas bank dan proses bisnis yang dijalankan.
Hal ketiga yang perlu diperhatikan adalah penguatan terhadap second line of defence. Pada bank besar di Indonesia, sudah jamak adanya bagian quality assurance pada masing-masing unit termasuk unit IT. Quality assurance beserta dengan unit manajemen risiko dan kepatuhan diharapkan dapat memberikan pengawasan melekat pada operasional unit IT. Untuk itu, quality assurance ini perlu diperkuat dengan sumber daya manusia dan teknologi yang handal.
Yang terakhir, bank perlu untuk menguji ketahanan siber-nya sendiri secara berkala. Sesuai ketentuan, bank sudah lazim menguji business continuity plan (BCP) setahun sekali. Selain diuji, BCP juga perlu dikinikan secara berkala agar sesuai dengan perkembangan ancaman terkini misalnya ransomware. BCP bank perlu mencantumkan rencana pemulihan proses bisnis apabila bank terserang ransomware.
Untuk menguji ketahanan siber-nya sendiri, Bank ada baiknya mempekerjakan sekelompok ethical hacker. Kelompok ini, biasa disebut red team, mempunyai tugas untuk melakukan penetration testing secara regular terhadap keseluruhan sistem bank. Celah keamanan yang ditemukan oleh tim ini, dapat langsung diperbaiki sebelum terjadinya insiden.
Tekanan perubahan pada masa revolusi industri keempat akan membuat bank berlomba-lomba mengeluarkan produk digital yang inovatif. Tetapi di sisi lain, bank juga akan terpapar risiko siber yang lebih besar. Hanya dengan melakukan perubahan pada dua sisi sekaligus yakni bisnis dan tata kelola, bank dapat tetap relevan pada zaman yang baru.
Keterangan: Tulisan ini terbit di majalah Integrasi edisi Desember 2018. Sebelumnya, tulisan ini menjadi juara II dalam Lomba Penulisan Artikel – HUT ke-7 OJK.