Cyberthreat.id - Singapura mewajibkan semua perusahaan layanan keuangan dan pembayaran elektronik yang beroperasi di negara itu mengikuti serangkaian aturan baru dari bank sentral untuk lebih memitigasi risiko teknologi setelah serangan dunia maya baru-baru ini memengaruhi organisasi di seluruh dunia.

Otoritas Moneter Singapura (MAS) sekarang mengharuskan semua lembaga keuangan untuk menilai pemasok vendor teknologi mereka. Ketentuan itu tertuang dalam Panduan Manajemen Risiko Teknologi MAS terbaru (Technology Risk Management Guidelines) yang dapat diunduh di sini.

Dalam penilaian umum, pemasok mungkin diminta untuk membuktikan bahwa kode sumber perangkat lunak mereka telah diuji secara ketat untuk memastikan mereka tidak menggunakan praktik pemrograman yang tidak aman.

Pemasok juga mungkin diminta untuk mengungkapkan langkah-langkah keamanan mereka dan seberapa sering mereka memantau risiko dunia maya.

Pedoman terbaru berlaku untuk semua bank, perusahaan layanan pembayaran seperti GrabPay dan Singtel Dash, serta perusahaan pialang dan asuransi.

Berbicara kepada The Straits Times, Vincent Loy, asisten direktur pelaksana teknologi di MAS, mengatakan menggunakan vendor eksternal membawa risiko signifikan pada sistem perbankan.

"Pemasok pihak ketiga yang tidak diketahui adalah hal yang paling dikhawatirkan MAS ... Lembaga keuangan yang tidak mengalokasikan sumber daya keuangan yang memadai mungkin lebih terbuka untuk pemasok pihak ketiga yang tidak diketahui," katanya, Senin (18 Januari 2021).

Kebijakan baru itu diberlakukan setelah peretasan SolarWinds yang berbasis di Texas telah mengekspos data ratusan ribu perusahaan, dan membuat entitas pemerintah yang menggunakan perangkat lunak SolarWinds berada dalam risiko yang sama.

Alat manajemen TI SolarWinds adalah komponen umum dalam produk banyak vendor besar termasuk Microsoft, FireEye dan Cisco Systems.

Kepala petugas keamanan dunia maya MAS, Tan Yeow Seng, mengatakan lembaga keuangan semakin bergantung pada penyedia layanan pihak ketiga saat mereka mengadopsi teknologi baru.

"Pedoman yang direvisi menetapkan harapan MAS yang lebih tinggi di bidang tata kelola risiko teknologi dan kontrol keamanan di lembaga keuangan," tambahnya.

Penilaian pemasok pihak ketiga sebelumnya tidak diwajibkan dalam pedoman Manajemen Risiko Teknologi MAS (TRM), meskipun uji tuntas pada vendor teknologi adalah suatu keharusan.

Penyaringan pemasok komponen sekarang dijabarkan dengan jelas dalam pedoman TRM yang telah direvisi, yang mencakup berbagai topik untuk membantu perusahaan menghindari dan memulihkan dari serangan dunia maya dan kegagalan sistem.

Risiko melalui penggunaan antarmuka pemrograman aplikasi terbuka (API), sebuah kode yang memungkinkan berbagai aplikasi berkomunikasi satu sama lain, juga dibahas dalam aturan TRM yang baru.

Bank telah menggunakan API untuk secara otomatis membagikan nilai tukar mata uang asing, misalnya. Ini telah memungkinkan banyak pengembang eksternal untuk membangun aplikasi konversi mata uang menggunakan data tersebut.

Di bawah aturan baru TRM, perusahaan jasa keuangan harus memeriksa entitas yang mengakses API mereka dengan melihat sifat bisnis, postur keamanan dunia maya, reputasi industri, dan rekam jejak mereka.

Mereka juga harus mengamankan pengembangan API dan mengenkripsi data sensitif yang dikirimkan untuk mencegah kebocoran atau peretas yang memasukkan kode berbahaya ke dalam API.

Perubahan penting lainnya pada pedoman TRM, dewan direksi dan manajemen senior di lembaga keuangan harus memeriksa dan menyetujui penunjukan teknologi utama dan keamanan siber.

"Organisasi yang tidak memiliki postur keamanan dunia maya yang baik biasanya tidak memiliki pengawasan dewan direksi dan manajemen senior untuk fungsi TI dan penunjukan utama," kata Loy, mengutip temuan audit bank sentral.

Terakhir direvisi pada tahun 2013, pedoman TRM telah diperbarui pada saat peningkatan berbagi data yang mendukung transformasi digital sektor ini. Revisi dilakukan dengan melibatkan para ahli dan konsultasi publik pada 2019.[]