OJK Masih Kaji Standar Keamanan Siber dan Perlindungan Data Bank Digital
Ilustrasi via worldfinanceinforms.com
Cyberthreat.id - Otoritas Jasa Keuangan (OJK), yang sedang menggodok aturan untuk bank digital, masih mengkaji dan menerima masukan terkait keamanan perbankan digital, terutama dari sisi keamanan siber, perlindungan data nasabah, serta peraturan kerja sama dalam sistem teknologi informasi.
"Mungkin nanti akan ada aturan-aturan tersebut, namun tentu tidak spesifik ke bank digital. Itu berlaku untuk semua bank umum. Cuma kembali, hal-hal itu masih dalam proses kajian saat ini ya," kata Plt. Deputi Direktur Arsitektur Perbankan Indonesia, Departemen Penelitian dan Pengaturan Perbankan di Otoritas Jasa Keuangan (OJK), Tony, saat dihubungi Cyberthreat.id, Kamis (11 Maret 2021).
Tony mengatakan, pihaknya masih dalam tahap awal penyusunan peta jalan (road map) bank digital di Indonesia.
"Kami masih menganalisa kondisi lingkungan dulu.. Ini tahap awal," ujarnya.
Peta jalan itu, kata Tony, berisikan kebijakan dalam rangka mendorong akselerasi transformasi digital perbankan di Indonesia dan targetnya dirilis tahun ini. Tony mengatakan OJK berharap masukan dari berbagai pihak.
Berbeda dengan sistem perbankan konvensional, bank digital dalam operasionalnya sebagian besar mengandalkan sistem online untuk operasionalnya sejak dari pembukaan rekening hingga penyimpanan data nasabah. Itu sebabnya, keamanan siber adalah faktor penting dalam sistem perbankang digital.
Namun menurut Tony, bank digital pada prinsipnya hanya bisnis model sama seperti Bank Rakyat Indonesia (BRI) untuk model bisnis di Usaha Mikro, Kecil, dan Menengah (UMKM) atau Bank Tabungan Nasional (BTN) yang model bisnis di properti.
"OJK mengenal bank umum dan BPR sesuai UU," ujarnya.
Saat ini jika perbankan ingin menjadi bank digital, Tony mengatakan tidak memerlukan izin khusus tetapi merujuk pada Peraturan OJK Nomor 38 Tahun 2016 tentang Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum atau dikenal sebagai POJK MRTI.
"Bank silakan saja ubah bisnis model jadi bank digital. OJK tentu akan melakukan asesmen terhadap risiko yang dihadapi bank," ujarnya.
Tony menjelaskan salah satu risikonya adalah terkait teknologi informasinya sehingga memastikan MRTI menjadi penting.
"Tentu OJK akan melihat berbagai hal terutama manajemen risiko IT bank sesuai ketentuan MRTI yang berlaku," katanya.
Pasal 32 di POJK itu menyebutkan bank yang memiliki rencana sebagai penyedia jasa teknologi informasi atau menerbitkann produk Layanan Perbankan Elektronik harus meminta persetujuan dari OJK dua bulan sebelum implementasi. Sementara realisasi kegiatannya, dilaporkan paling lambat 3 bulan setelah implementasi.
Tony membenarkannya dan mengatakan ke depannya OJK akan merevisi MRTI ini dan mengganti aturan itu. Tony menuturkan ketentuan baru untuk itu sedang dibuat, tetapi saat ini MRTI masih menjadi rujukan untuk penilaian, ditambah dengan melihat standar-standar lain yang berlaku saat ini terkait keamanan IT.
Tony menjelaskan bahwa pentingnya revisi aturan ini karena "MRTI berbasis core banking dan internet banking sehingga sisi siber masih sedikit saat itu". Itu sebabnya, kata Tony, MRTI perlu direvisi karena tidak relevan dengan perkembangan TI saat ini.
"MRTI kan sudah lama sehingga perlu diupdate dan tentunya ada beberapa hal yang belum masuk. Standar internasional kan berkembang. Dulu COBIT 4, sekarang COBIT 5, standar ISO dan NIST juga berubah. Jadi tentu MRTI harus direvisi," ujarnya.
Terkait perkembangan revisi MRTI ini, Tony menjelaskan bahwa pihaknya masih memetakan standar-standar termasuk perkembangan terakhir dan standar internasionalnya.
Sebelumnya, Direktur Eksekutif Penelitian dan Pengaturan Perbankan OJK Anung Herlianto, dalam konferensi pers peluncuran Roadmap Pengembangan Perbankan Indonesia (RP2I) 2020-2025, pada Kamis (18 Februari 2021), mengatakan pihaknya sedang menggodok aturan untuk bank digital yang diharapkan dapat dirilis pertengahan tahun ini. Salah satu syaratnya adalah mampu memitigasi risiko digital termasuk kemampuan mencegah terjadinya kriminalitas siber (cybercrime).
"Syaratnya antara lain paham mitigasi dan kapabilitas dari manajemen risiko untuk mengantipasi berbagai risiko digital termasuk cybercrime dan seterusnya, perlindungan data nasabah, memenuhi aspek tata kelola termasuk direksi yang mempunyai kompetensi di bidang IT," kata Anung.
Anung menjelaskan, nantinya ada dua jenis bank digital yaitu: bank digital yang benar-benar baru (full digital bank), dan bank existing (yang sudah ada) yang bertransformasi menjadi bank digital. (Baca juga: OJK Syaratkan Bank Digital Antisipasi Cybercrime dan Perlindungan Data Nasabah) []
Editor: Yuswardi A. Suud
