Tafsir Ulang Tata Kelola Risiko Siber

Terpaan gelombang revolusi industri keempat mengubah layanan bank menjadi lebih digital. Perubahan tersebut bisa menjadi mata pisau bermata dua bila tanpa diiringi penguatan pada keamanan siber (cyber security). Hal ini sesuai konsep Klaus Schwab, disrupsi revolusi industri keempat tak hanya mencakup aspek produksi. Disrupsi juga terjadi pada aspek manajemen dan tata kelola termasuk untuk risiko siber.

Bagi beberapa pakar, “aman” dalam konteks siber adalah sebuah keajaiban. Menurut mantan direktur FBI, Robert S. Mueller, hanya ada dua jenis perusahaan yang ada di dunia ini. Yang pertama adalah perusahaan yang pernah diretas sedangkan sisanya adalah perusahaan yang akan diretas. Mantan CEO Cisco Systems, John T. Chambers punya pendapat lain yang lebih mengkhawatirkan. Dua jenis perusahaan di dunia ini adalah perusahaan yang telah diretas dan yang belum sadar kalau sudah diretas.

Pernyataan terakhir tersebut terasa berlebihan. Namun faktanya, butuh rata-rata 191 hari sejak peretasan sampai pemilik sistem sadar sistemnya telah ditembus. Angka tersebut adalah hasil penelitian oleh Ponemon Institute LLC dan IBM Security dalam 2017 Cost of Data Breach Study. Penelitian itu juga menyarankan agar angka tersebut ditekan sampai dibawah 100 hari. Semakin lama kebocoran sistem diketahui, semakin besar kerugian yang dialami oleh perusahaan. Untuk kebocoran sistem yang diketahui setelah lebih dari 100 hari, rata-rata kerugian yang diderita sekitar 3,83 juta dollar Amerika. Angka kerugian tersebut 37% lebih besar daripada jika kebocoran sistem diketahui sebelum 100 hari.

Kerugian pada industri perbankan dapat lebih besar daripada rata-rata tersebut karena berdampak langsung secara finansial. Agustus lalu, Cosmos Bank menderita kerugian sebesar 13,5 juta dollar Amerika dalam sebuah insiden serangan siber. Sistem kartu kredit bank asal India tersebut diserang dengan menggunakan malware. Pelaku lalu menyalin data kartu nasabah. Dengan data tersebut, pelaku melakukan transaksi ilegal dalam bentuk transfer senilai 2 juta dollar serta penarikan ATM di 28 negara senilai 11,5 juta dollar.

Serangan tersebut adalah serangan kedua yang terjadi di India pada tahun ini saja. Sebelumnya, City Union Bank juga mengalami serangan serupa dengan nilai kerugian sekitar 2 juta dollar Amerika. Para pakar keamanan percaya bahwa kedua serangan tersebut diawali dari celah keamanan yang ada pada sistem pembayaran SWIFT yang juga digunakan oleh sistem perbankan di seluruh dunia.

Cerita seperti tersebut di atas tidak (atau belum) pernah terdengar di dunia perbankan Indonesia. Namun berdasarkan dua pernyataan di awal tulisan, kemungkinannya ada dua: ada bank yang akan segera ditembus atau sebenarnya ada bank yang sudah ditembus namun belum menyadarinya. Untuk menghadapi ancaman seperti itu, sekedar aman bisa jadi tak cukup. Setiap bank harus mengembangkan ketahanan siber (cyber resilience).

Ada beberapa hal yang perlu diperhatikan oleh bank dalam mengembangkan ketahanan siber. Lanjutkan membaca