Cyberthreat.id -  Kasubdit Identifikasi Kerentanan dan Penilaian Risiko Perdagangan Berbasis Elektronik di Badan Siber dan Sandi Negara (BSSN), Intan Rahayu, mengatakan setidaknya ada enam ancaman siber yang saat ini perlu diantisipasi lembaga keuangan.

"Ini perlu dipelajari istilahnya bukan hanya oleh divisi IT tetapi juga seluruh pemangku kepentingan dalam organisasi," kata Intan dalam acara webinar "Fondasi Keamanan Siber untuk Lembaga Finansial", Selasa (19 Januari 2021).

Pertama, social engineering atau rekayasa sosial, yang terbagi dalam beberapa metode antara lain phising (email penipuan atau website untuk mendapatkan data yang diinginkan terutama akun dan kredensial yang sifatnya menargetkan siapa pun), spear phising (phising yang ditargetkan), baiting (memancing melalui perangkat yang menarik seperti flashdisk atau iPhone 12 pro yang dalamnya ada trojan), piggybacking dan pretexting (phising dengan cara penyerang memancing memberikan petunjuk untuk diinput ke dalam sistem), vishing (phising berbasis suara melalui ponsel), dan smishing (phising berbasis SMS). (Baca juga: FBI Peringatkan Serangan Siber ke Karyawan Lewat Panggilan Telepon saat Bekerja dari Rumah).

Kedua, banking trojan. Intan mengatakan ini kode jahat yang disusupkan pada aplikasi di mana  penyerang punya target tertentu termasuk perbankan dan lembaga keuangan lainnya. Trojan perbankan ini, kata Intan, antara lain adalah Anubis, malware android banking trojan yang populer. (Lihat: 250 Aplikasi Android Jadi Target Malware Anubis)

Antisipasinya sendiri menurutnya, masyarakat harus memperbarui sistem operasi maupun platform dan aplikasi. Sementara itu, pengembang aplikasi itu sendiri juga harus menambal celah keamanan.

"Ini yang harus kita ketahui sebagai nasabah maupun penyelenggara fintech atau layanan keuangan supaya bisa melakukan monitoring terhadap sistemnya," ujarnya.

Ketiga, Advanced Persistent Threat (APT). Menurutnya, APT ini ancaman dalam sistem yang tidak bisa dideteksi sampai waktu tertentu sehingga APT dapat melakukan tujuannya yang diinginkan tanpa diketahui oleh sistem. Bahkan, sistem keamanan seperti firewall akan kalah dari APT. (Baca juga: Mengenal APT28 Asal Rusia yang Ikut Mengintervensi Pemilu AS)

Intan mencontohkan ancaman itu terkait kejadian pada produk manajemen IT milik SolarWinds, Orion.

"Jadi di sini tidak menutup kemungkinan siapa pun sebagai pihak ketiga kita harus selalu monitor meskipun itu adalah pihak ketiga terkait dengan keamanan," ujarnya.

Keempat, ransomware atau aktivitas peretasan yang  mengenkripsi sistem dan meminta tebusan untuk membuka enkripsi tersebut. Menurutnya, memang di Indonesia jarang terdengar karena mungkin dialami oleh individu. Meski begitu, kata Intan, ini harus diantisipasi karena ketika terjadi ransom maka sulit sistemnya sulit dipulihkan lantaran kunci kripto dan algoritma kriptonya sulit untuk di-crack, meskipun di luar sana ada inisiasi global No Ransom yang menyediakan anti ransom. (Baca juga: Berbagai Serangan Ransomware yang Melumpuhkan Sistem)

Kelima, insider threat atau ancaman orang dalam. Intan menuturkan bahwa ancaman yang ini sulit dihindari. Biasanya terjadi karena kekecewaan karyawan internal terutama mungkin administrator dan lain sebagainya sehingga bisa membobol sistem atau mencuri yang ada di sistem. Ini kata Intan dapat diantisipasi dengan menerapkan manajemen keamanan Sumber Daya Manusia (SDM). (Baca juga: Studi: Ancaman 'Orang Dalam' di Kasus Cyberattack Meningkat)

"Diterapkan baik pada saat rekrutmen, operasional, dan yang bersangkutan selesai dari pekerjaan. Harus dimonitor. Oleh karena itu tata kelola itu sangat penting," tuturnya.

Terakhir, aktivitas peretas atau hacker. Aktivitas peretas yang tidak bertanggung jawab saat ini masih banyak terjadi dan sulit diatasi, kata Intan, adalah serangan Distributed Denial of Services (DDoS) yang melumpuhkan sistem. Selain itu, ada juga aktivitas doxxing yang membocorkan informasi rahasia yang ada di organisasi, serta defacing yakni merubah tampilan website. (Baca juga: Beberapa Bank dan Layanan Telekomunikasi di Hongaria Alami Serangan DDoS)

Aktivitas hacker ini, kata Intan, perlu antisipasi karena saat ini alat yang digunakan para peretas topi putih untuk menguji keamanan sistem dan aplikasi sudah bertebaran di internet dan disalahgunakan oleh anak-anak yang tidak mengerti bahwa itu melanggar undang-undang.

Untuk mengantisipasi segala ancaman siber, lembaga keuangan menurutnya perlu membangun budaya ketahanan siber yang tak terbatas pada internal tetapi juga ke nasabahnya. Selain itu, tambahnya, lembaga keuangan juga perlu fokus kepada perlindungan layanan dan kapabilitas kritis, mempertimbangkan aset penting organisasi dan cara melindunginya, mempertimbangkan risiko selama masa krisis, perencanaan keamanan siber yang berkelanjutan, serta memperkuat kolaborasi seluruh ekosistem.

Tak lupa, kata Intan, lembaga keuangan juga perlu menerapkan risiko tata kelola yakni dari segi tata kelola (ISO 27001, ISO 27032, NIST cybersecurity Framework, CIS V7), manajemen risiko (ISO 27005, ISO 32000, OCTAVE, NIST 800-30, COSO Enterprise Risk Managemen, COBIT 5) , dan kepatuhannya terhadap aturan (UU 19/2016, PP71/2019, Perban BSSN 8/2020, POJK dan PBI, PCI-DSS, ISO 27001).[]

Editor: Yuswardi A. Suud