Baru-baru ini muncul kasus serangan terhadap BSI (Bank Syariah Indonesia) yang diduga oleh Kelompok Hacker LockBit. Kelompok tersebut menyerang situs layanan, meretas dan menyebarkan jutaan data nasabah ke pasar gelap internet, bahkan mengajukan tawaran sebesar Rp 295,61 miliar agar pihak BSI dapat menebus data nasabah tersebut.
"Manajemen bank tidak punya alasan yang lebih baik selain berbohong kepada nasabah dan mitra perusahaan, yakni melaporkan adanya sejenis 'masalah teknis' yang sedang dilakukan oleh bank," hacker LockBit 3.0.
Mengapa hal tersebut bisa terjadi? bukankah sistem teknologi informasi perbankan sudah dijamin keamanannya?
Sebelum masuk ke pembahasan, ada referensi buku untuk Kawan GNFI yang ingin mengetahui jawaban lengkap terkait permasalahan keamanan informasi di Indonesia, berjudul "Hackers Secrets for CEOs" oleh Gildas Arvin Deograt Lumy.
Kesadaran Penggunaan Data Konsumen Indonesia Tertinggi di Asia Pasifik
Buku itu menceritakan pengalaman beliau dalam menghadapi situasi seperti kasus yang serupa dan keputusan apa yang seharusnya diambil beserta aspek apa yang seharusnya menjadi prioritas dalam menentukan strategi keamanan teknologi informasi.
Penyebab Terjadinya Kebocoran Data
Tidak sedikit perusahan-perusahan dan juga perbankan, kebanyakan dari perusahaan tersebut harus menanggung kerugian besar karena menjadi korban kejahatan siber walaupun sudah mengeluarkan biaya puluhan bahkan ratusan miliar rupiah hanya untuk membeli teknologi keamanan.
Berikut alasan mengapa kebocoran data dan peretasan terus terjadi walaupun sistem teknologi informasi sudah dijamin aman!
1. Memberikan Rasa Aman
Kesalahan fatal industri perbankan saat ini adalah selalu memberikan rasa aman terkait layanannya kepada masyarakat yang justru malah berbahaya. Karena faktanya, terlalu mudah bagi peretas untuk melakukan perampokan melalui akun perorangan maupun akun perusahaan dengan mengeksploitasi kelemahannya.
Maka dari itu, wajar saja jika sistem teknologi informasi yang sudah dijamin aman, tetapi pencurian informasi, manipulasi transaksi, dan perusakan informasi terus terjadi.
Tidak ada yang 100% aman, seharusnya dapat dibuktikan secara kualitatif tingkat risikonya (rendah, sedang, tinggi, atau sangat tinggi), dan risiko-risiko apa saja yang masih ada. Pengambilan keputusan yang tepat hanya dapat dicapai dengan informasi yang akurat.
2. Kesalahan Fokus Pengamanan Informasi
Menentukan prioritas utama aspek keamanan informasi sangat penting, yang seharusnya dilindungi adalah informasinya, sedangkan memastikan keamanan teknologi informasi hanya salah satu cara untuk melindungi informasi.
Canggih dan Modern! BPS akan Pakai Teknologi Blockchain untuk Olah Data Penduduk
3. Pengambil Keputusan Bukan Orang yang Kompeten
Kesalahan utama dari sisi organisasi terletak pada pimpinan yang tidak mengangkat seseorang yang kompeten dan berintegritas untuk bertanggung jawab mengamankan informasi perusahaan (biasa dikenal sebagai CISO).
Akibatnya, para pengambil keputusan malah menyerahkan pengamanan informasi kepada tim teknologi informasi yang tidak paham nilai, ancaman, dan siapa yang akan menjadi pengancam terhadap aset yang sangat berharga, bernama informasi.
Seorang CISO harus paham dan mengerti isu-isu keamanan teknologi informasi, paham ancaman, dan celah-celah keamanan dalam perusahaannya.
4. Kerancuan Dalam Menentukan Prioritas Aspek keamanan Informasi
Kesalahan menentukan prioritas utama aspek keamanan informasi, berakibat kesalahan dalam membuat strategi keamanan informasi.
Terdapat beberapa teori mengenai aspek-aspek keamanan informasi, tetapi jika dikelompokkan maka terdapat 3 aspek dasar keamanan informasi yaitu integritas, kerahasiaan, dan ketersediaan.
Menurut survei yang dilakukan kepada mayoritas nasabah suatu bank, mereka lebih mementingkan dari segi aspek integritas. Tetapi jika kita lihat strategi pada industri perbankan di Indonesia dalam mengamankan informasi nasabah yang diatur jelas dalam Undang-Undang Perbankan No.10 Tahun 1998.
Di sana hanya membahas aspek kerahasiaan. Tidak ditemukan satu pun kata integritas, atau kalimat yang menggambarkan pentingnya transaksi dan saldo nasabah di dalam undang-undang tersebut.
Apa itu artinya aspek integritas untuk masyarakat dinilai tidak penting bagi para pembuat kebijakan? kalau penting, kenapa tidak diatur?
Sehingga, jangan heran kalau banyak kejadian kasus yang berakar pada masalah aspek integritas (sistem diretas, transaksi palsu, dan lain-lain) yang berdampak kerugian ada di pihak nasabah. Parahnya kasus tersebut cenderung dirahasiakan demi melindungi reputasi bank sehingga menciptakan rasa aman yang semu, yang justru menguntungkan para penjahat.
5. Keamanan Informasi yang Hanya Mengandalkan Teknologi
Tidak sedikit para pengambil keputusan di suatu perusahan yang mengandalkan keamanan informasinya hanya sebatas dari teknologi saja. Kemudian merasa sistem tersebut sudah terjamin keamanannya karena sudah dilindungi firewall dan sudah dilakukan test penetrasi, bahkan sudah dicoba diretas dan ternyata tidak tembus.
Hal ini tentunya yang membahayakan, tes penetrasi (penentration test/pentest) bagaikan pedang bermata dua. Lebih dari 80% hasil pentest yang dilakukan malah cenderung menyesatkan karena skenario pentest tidak mencerminkan kondisi seperti jika pencuri sesungguhnya melakukan serangan. Akibatnya justru malah menjadi bumerang karena menyesatkan proses pengambilan keputusan yang pada akhirnya menguntungkan penjahat.
Melihat Hari "Mengakhiri" Impunitas Kejahatan Jurnalis di Indonesia dengan Data
6. Mayoritas Masalah Keamanan Disebabkan Oleh Manusia
Kesalahan utama dan cukup sering terjadi yang menjadikan hasil pentest menjadi semakin menyesatkan yaitu ruang lingkup pekerjaan proyek pentest yang tidak memasukkan faktor manusia. Berbagai hasil survei menyatakan bahwa sekitar 80% masalah keamanan disebabkan oleh manusia. Bagaimana mungkin hasil pentest bisa valid jika yang dievaluasi hanya 20% (faktor teknologi)?
Tidak sedikit laporan hasil pentest yang mengesampingkan faktor manusia, maka dari itu jangan heran jika regulator mensyaratkan pentest pada sistem elektronik perbankan menjadi tersesat oleh laporan pentest yang hasilnya "aman". Kondisi yang menguntungkan penjahat, dan mengorbankan pelanggan.
Pengelolaan risiko haruslah efektif, dalam arti tidak hanya senantiasa melakukan kontrol dan verifikasi hanya dari sisi teknologi, melainkan juga mempertimbangkan faktor manusia.
Itulah beberapa dari banyaknya alasan mengapa peretasan, manipulasi transaksi, pencurian dan perusakan informasi terus terjadi di Indonesia.
Untuk lebih lengkapnya Kawan GNFI bisa membaca buku yang telah direferensikan ini, ya!
Cek berita, artikel, dan konten yang lain di Google News
