Cyberthreat.id – Ada tiga strategi yang harus diperhatikan oleh kalangan perbankan terkait dengan keamanan siber.

Pertama, berbagi informasi (information sharing). Setiap bank biasanya memiliki forum atau wadah berbagi informasi terkait ancaman siber yang menargetkan sistem elektroniknya.

Umumnya, forum tersebut hanya diakses oleh orang-orang terbatas. Selain itu, data yang dibagikan adalah data yang telah melewati pembersihan data (data cleansing/data scrubbing).

Pakar keamanan siber ITB, Budi Rahardjo, mengatakan, selain harus berbagi informasi terkait ancaman siber, juga setiap institusi bank disarankan mengembangkan security operation center (SOCs) dan incident response team.

“Untuk menerapkan information sharing harus ditentukan juga platformnya seperti apa, dan jangan lupa standar dan prosedur berbagi informasi harus ada juga,” tutur Budi dalam sedaring bertajuk “Strategi Menghadapi Ancaman Kejahatan Siber (Cyber Crime)” yang diadakan OJK Institute, Kamis (4 Februari 2020).

Strategi berikutnya, built in security (in new tech). Menurut Budi, saat ini banyak pengembang yang tidak paham mengenai software security. Masih banyak pengembang yang mengesampingkan keamanan siber.

Padahal, setiap pengembangan aplikasi apa pun itu harus dibarengi dengan cybersecurity agar tidak menimbulkan masalah pada layanan.

Misal, pemakaian kecerdasan buatan (AI) dan pembelajaran mesin (AI) di bank jika tidak dibarengi cybersecurity sistem perbankanlah yang “diserang oleh teknologi yang digunakannya sendiri”.

“Kebiasaan kita adalah bangun aplikasi atau teknologinya dulu, security-nya belakangan. Pola pikir seperti inilah yang seharusnya kita ubah. Keduanya harus seimbang dan berjalan bersama,” ujar Budi.

Budi mengatakan, IT Security merupakan suatu hal yang sangat penting, tapi juga dianggap membutuhkan biaya besar dan memperlambat performa. Ia mencontohkan, komputer yang diinstal software enkripsi pasti memperlambat kinerja perangkat tersebut. Hal ini yangg masih membuat perusahaan “malas” untuk berinvestasi.

“There is a cost of implementing security, but there is also a cost of not implementing security. Problemnya adalah bagaimana kita menyeimbangkan: security harus secukupnya, tidak berlebihan, sehingga masuk akal untuk diimplementasikan,” ujar dia.

Untuk melakukan perhitungan menilai biaya efektif menilai kelayakan proteksi cybersecurity, perusahaan atau organisasi dapat menggunakan teori "ROSI” (Return On Security Investment).

Pendek kata, sebuah organisasi dapat melakukan pengukuran risiko, kemudian menghitung biaya untuk menerapkan kendalinya. Jika kendalinya cukup reasonable, maka itu yang harus diimplementasikan.

Yang terakhir, human aspect. Ini berkaitan awareness and skill dari sumber daya manusia. Sangat penting untuk menerapkan para pekerja dan juga karyawan soal keamanan siber.

Meskipun perbankan sudah menggunakan sistem canggih dan seaman apa pun, jika orang di balik sistem dan pengguna tidak peduli dengan keamanan, maka akan sia-sia.

“Yang menjadi tantangan utama ini adalah orang, karena sumber dari kerentanan dan serangan siber itu adalah pengguna, dan juga karyawan di perbankan.”

Di sisi lain, edukasi keamanan siber juga bisa dilakukan lembaga perbankan melalui media massa, salah satu, tidak berbagi sembarangan kode sandi sekali pakai (OTP).

Karena masalah kode OTP tersebut sering ditemui di lapangan, bahkan, menurut Budi,  para penipu tersebut berkedok dari lembaga bank, telekomunikasi, auditor, juga Otoritas Jasa Keuangan dan Bank Indonesia.[]

Redaktur: Andi Nugroho