Cyberthreat.id – Pada 7 Oktober 2020, Perhimpunan Bank Umum Nasional (Perbanas) membentuk Komite Kerja Cyber Security.

Komite tersebut untuk menjawab tantangan dunia siber saat ini, di mana industri jasa keuangan, seperti bank adalah target utama kejahatan siber.

“Ancaman yang muncul saat perbankan bertransformasi ke digital banking, yaitu munculnya modus-modus kejahatan siber seperti hacking, skimming, phishing maupun social engineering,” tutur Ketua Komite Kerja Cyber Security, Wani Sabu, kepada Cyberthreat.id, Senin (11 Januari 2021).

Wani menceritakan ide pembentukan komite tersebut adalah gagasan dari Indra Utoyo, Ketua Bidang Operation, Technology, dan Regulatory Reporting Perbanas.

Selain Wina Sabu—Executive Vice President Center of Digital PT BCA—duduk dalam komite tersebut, antara lain Sekretaris Komite Muharto (BRI), dan anggotanya Saladin D. Effendi (Bank Mandiri), Andri Medina (BNI), Jeffry Kusnadi (Bank Danamon), dan Janto Oen (Bank Panin).

Cyberthreat.id mewawancari Wani Sabu untuk menanyakan lebih lanjut terkait kerja komite. Berikut cuplikan wawancara wartawan Tenri Gobel melalui WhatsApp, Senin (11 Januari 2021):

Apa yang melatarbelakangi pembentukan komite?

Semakin maraknya ancaman kejahatan siber yang berpotensi mengakibatkan kerugian finansial para nasabah hingga mencapai miliaran rupiah.

Ancaman kejahatan siber tersebut dapat berupa hacking, skimming, phishing maupun social engineering yang memanfaatkan ketidaktahuan atau ketidaksadaran nasabah sehingga secara sukarela memberikan data-data rahasia dan penting kepada pelaku, seperti PIN, kode OTP, nomor kartu ATM, dan sebagainya.

Beragamnya modus kejahatan tersebut kerap kali terjadi transaksi antarbank atau terjadi transaksi pemindahan dana dari rekening korban ke rekening bank lain atau ke akun-akun dompet digital. Hal ini menyulitkan pengungkapan kasus-kasus kejahatan siber.

Bank mulai masuk ranah digital sejak kapan?

Kurang lebih sekitar 2010 konsep mengenai digital banking sudah mulai diadaptasi oleh perbankan ke dalam sistem dan teknologinya.

Digital banking merupakan konsep baru dalam electronic banking yang mengintegrasikan teknologi digital sehingga semuanya dapat terkoneksi dan fokus pada kebutuhan nasabah. Tujuannya, memudahkan segala sesuatu hal yang berkaitan dengan transaksi perbankan.

Pada tahun tersebut transaksi perbankan masih banyak dilakukan di kantor cabang, sedangkan keberadaan e-channel hanya digunakan sebagai pelengkap.

Pada 2020 komposisi transaksi perbankan yang dilakukan oleh nasabah mengalami perubahan; hingga 90 persen nasabah bertransaksi secara digital dan sisanya 10 persen transaksi di cabang.

Sejak masuk ranah digital muncul ancamannya seperti apa?

Ancaman yang muncul saat bertransformasi ke digital banking yaitu munculnya modus-modus kejahatan siber seperti hacking, skimming, phishing, maupun social engineering.

Yang menjadi ancaman adalah platform mobile banking atau transaksi berbasis OTP yang beberapa kali menjadi sasaran penjahat siber.

Pelaku dapat berpura-pura menjadi seorang pegawai bank dan melakukan tipu muslihat sehingga korban teperdaya dan memberikan data-data seperti OTP.

Ancaman apa yang masih sampai sekarang berlanjut?

Social engineering justru menjadi modus yang paling sering muncul sepanjang tahun hingga saat ini.

Social engineering sudah lama ada saat teknologi belum berkembang seperti sekarang. Dulu, social engineering yang dilakukan oleh pelaku kejahatan sebatas membuat website palsu yang memancing nasabah untuk menuliskan data-data penting di website palsu tersebut.

Sekarang pelaku sudah makin berani dengan berinteraksi langsung dengan korban via telepon maupun chat.

Apakah ada kejahatan melalui akun-akun palsu menyerupai CS perbankan di media sosial?

Untuk menghilangkan akun palsu sampai nihil itu sulit, karena fraudster sangat mudah membuat akun-akun palsu. Terpenting, nasabah paham dan tidak memberikan data apa pun ke fraudster.

Mengapa baru sekarang dibuat Komite Kerja Cyber Security?

Banyak hambatan untuk membentuk sebuah Komite Kerja, salah satunya hambatan payung hukum di mana bank masing-masing berlindung pada payung hukum UU Kerahasiaan Bank.

Sesuai Pasal 1 Ayat 28 UU Nomor 10/1998 tentang Perbankan, rahasia bank adalah segala sesuatu yang berhubungan dengan keterangan mengenai nasabah penyimpan dan simpanannya.

Sementara para pelaku kejahatan siber memanfaatkan hal tersebut bahwa masing-masing bank tidak dapat memberikan data pelaku kejahatan kepada bank lain.

Kemudian, terkait pengamanan dana dari rekening korban yang telah ditransfer oleh pelaku kejahatan siber, juga tidak dapat segera dilakukan pemblokiran karena adanya beberapa syarat-syarat formal dan dokumen yang harus dilengkapi.

Sebenarnya bagaimana bank mengantisipasi kejahatan siber yang menyasar perbankan?

Edukasi kepada nasabah seperti tren kriminal, tips transaksi aman, antisipasi modus kejahatan, dan lain-lain. Perkuat sistem keamanan pada sisi TI.

Apakah sesama perbankan berbagi informasi terkait adanya ancaman/kejahatan siber?

Tidak semua bank mau berbagi informasi.

Mengapa tidak semua bank mau berbagi informasi?

Karena adanya ketentuan rahasia bank sehingga kesulitan pertukaran informasi. Namun, hal ini sudah ada pembicaraan dengan regulator untuk cari solusinya.

Apa rencana dari komite ini ke depan?

Pertama, merancang SOP mengenai pemblokiran rekening dan berbagi informasi mengenai identitas dan profiling para pelaku kejahatan. Kedua, memberi solusi/arahan terhadap kasus yang terjadi. Ketiga, membantu Bank jika terdapat case dengan fintech, e-commerce, dan provider. Keempat, membentuk wadah grup gerak cepat,

Grup gerak cepat untuk menangani apa?

Wadah group cepat itu gabungan fraud banking dari bank-bank, sudah dimulai dengan antarbank buku IV (antara lain BRI, BNI, Bank Mandiri, BCA, CIMB Niaga, Bank Panin, dan Bank Danamon).

Saat ini apa saja yang sudah dan sedang dilakukan komite? Menyusun Prosedur Standar Operasional (SOP) kerja sama cybercrime antarbank dengan regulator. Rencana ada Memorandum of Understanding (MoU) kerja sama dengan kepolisian.

Soal SIM Swap apakah integrasi perbankan dan operator seluler untuk mencegah itu perlu dilakukan?

Walau nomor (seluler) diambil alih, tetapi jika fraudster tidak tahu nomor kartu, PIN, dan lain-lain, maka tidak bisa bobol. Jadi, nasabah juga harus jaga privacy data-datanya.

Tapi, di satu sisi itu karena perbankan juga masih menerapkan kode OTP berbasis SMS. Apakah ada rencana mengganti metode lain?

Ke depan jika ada metode yang lebih baik, aman, dan nyaman yang dapat menggantikan OTP, tentu bank akan beralih ke metode tersebut, dengan persetujuan dari regulator tentunya.

Apakah komite mendorong adanya lapisan keamanan tambahan, selain OTP berbasis SMS

Yang terpenting adalah nasabah harus aware dan paham OTP jangan diinformasikan ke siapa pun. Jadi, bukan masalah channel-nya apa.

OTP SMS juga seringkali digunakan untuk mereset kata sandi di aplikasi perbankan. Masuk akun aplikasi perbankan juga bisa dengan cara tersebut...

Hal tersebut tentu akan menjadi salah satu bahan kajian dari Komite Kerja ini. Bagaimana membuat suatu sistem transaksi perbankan yang aman dan tentunya dibarengi dengan nasabah-nasabah yang teredukasi dengan baik. Karena walaupun sistem yang dibentuk sudah bagus dan aman, tapi tidak dibarengi dengan nasabah yang tidak teredukasi dengan baik maka bisa menjadi celah yang dimanfaatkan oleh para pelaku kejahatan siber.

Harapannya dengan adanya komite kerja?

Komite Kerja ini diharapkan menjadi suatu wadah untuk saling berbagi informasi mengenai tindak tanduk pelaku kejahatan, saling memberikan solusi untuk modus-modus kejahatan yang terjadi, respons cepat dalam mengamankan dana nasabah yang mengalir ke rekening pelaku kejahatan yang harapannya akan mempersempit ruang gerak para pelaku kejahatan.

Di samping itu, jika terdapat keluhan nasabah antarbank yang mengalami kejahatan siber, dengan adanya wadah ini diharapkan proses dapat berlangsung dengan cepat, akurat, dan andal.[]

Redaktur: Andi Nugroho