APRA Australia Ancam Tindak Lembaga Keuangan yang Keamanan Sibernya Lemah, Apa Kabar OJK Kita?
Ilustrasi via commercialriskonline.com
Cyberthreat.id - Otoritas keuangan Australia semacam OJK di Indonesia, The Australian Prudential Regulation Authority (APRA), memberi peringatan keras kepada perbankan, perusahaan asuransi, lembaga keuangan lainnya bahwa keamanan siber (cybersecurity) membutuhkan fokus yang lebih intens, dan mendesak dilakukannya audit untuk menyesuaikan dengan standar kehati-hatian yang baru. APRA mengancam akan memberi tindakan keras terhadap mereka yang tidak menganggap serius ancaman keamanan yang meningkat.
Dilansir dari Financial Review, Jumat (27 November 2020), APRA baru saja merilis strategi keamanan siber lima tahunan terbaru pada Kamis kemarin. Panduan baru itu memperluas pengaruhnya terhadap pemasuk TI pihak ketika, manajer dana dan perusahaan pembayaran, untuk memastikan sistem keuangan dilindungi dari meningkatnya ancaman peretas cyber.
APRA juga telah meminta dewan bank untuk melibatkan firma audit eksternal untuk meninjau kepatuhan terhadap standar kehati-hatian APRA tentang keamanan dunia maya yang dikenal sebagai CPS 234, dengan mengatakan bahwa terlalu banyak dewan masih kurang visibilitas dan "gagal memahami mengapa tindakan mendesak diperlukan ".
"Mengingat bukti bahwa dewan sering kali tidak memahami, atau tidak cukup mendapat informasi tentang risiko dunia maya, kami tidak lagi siap untuk menerima kata-kata mereka begitu saja. Kami ingin kepatuhan diverifikasi secara independen. Hanya masalah waktu sebelum lembaga keuangan besar diretas," kata anggota dewan eksekutif APRA Geoff Summerhayes.
"Jika dewan bank tidak mau atau tidak dapat membuat perubahan yang diperlukan tepat waktu, kami akan mempertimbangkan untuk menggunakan tindakan penegakan hukum formal," tambahnya.
APRA menginginkan lebih banyak investasi ke dalam tim audit internal sesuai standar kepolisian dan pemeriksaan terhadap pemasok pihak ketiga yang lebih ketat.
"Dalam lingkungan di mana serangan terhadap salah satu dari kita dapat menjadi serangan terhadap kita semua, sistem keuangan kita hanya tahan terhadap serangan dunia maya seperti mata rantai terlemah dalam rantai itu," kata Summerhayes.
"Dengan bekerja bersama, kita sebenarnya dapat memanfaatkan konektivitas yang meningkat untuk memperkuat rantai, dan melindungi diri kita dengan melindungi satu sama lain," tambahnya.
Strategi Keamanan Siber APRA untuk tahun 2020-2024 dikembangkan melalui konsultasi yang erat dengan Departemen Dalam Negeri, Perbendaharaan, ASIC, dan Bank Sentral untuk melengkapi strategi keamanan siber pemerintah tahun 2020.
APRA mengatakan pihaknya "sangat sadar" lembaga keuangan besar "menangkal percobaan serangan dunia maya setiap hari". Namun, tidak ada yang harus berpuas diri karena tidak ada tanda yang jelas dari peningkatan musuh dunia maya yang menargetkan bank, asuransi atau dana super sejak pandemi dimulai.
Summerhayes menunjuk ke bahaya yang berkembang dari pergeseran pola kerja ke sistem jarak jauh dan bukti bahwa beberapa karyawan bank, termasuk yang sangat senior, "telah mengirimkan informasi sensitif atau rahasia perusahaan ke alamat email pribadi mereka untuk diakses di ponsel pribadi, tablet atau komputer".
APRA mengatakan akan menyelaraskan regulasi dan pengawasan dunia maya di seluruh sistem keuangan, yang akan membuat APRA memperluas pengaruhnya ke pengelola dana, platform pembayaran, dan vendor perangkat lunak.
"Sangat penting untuk meningkatkan tingkat kematangan dalam pengadaan pemasok dan praktik pengawasan sehingga entitas keuangan dapat memiliki keyakinan bahwa pemasok dan kita dapat memenuhi harapan keamanan dunia maya," kata Summerhayes.
Salah satu kekhawatiran terbesar APRA adalah "masih melihat terlalu banyak masalah kebersihan siber dasar di seluruh industri" dan ingin seluruh sistem "siap berperang".
"Kami juga akan mengambil pendekatan yang lebih bertarget untuk memastikan CPS 234 sepenuhnya dipatuhi, dan meminta pertanggungjawaban dewan bank dan manajemen jika tidak," katanya.
APRA akan meminta tinjauan keamanan siber independen tripartit satu kali di semua industri yang diatur dan mulai tahun depan akan meminta dewan untuk menggunakan firma audit eksternal untuk meninjau kepatuhan CPS 234 dan melaporkan kembali ke APRA dan dewan.
Ini akan mengirimkan pesan "tentang keseriusan masalah ini, dan kebutuhan akan akuntabilitas yang lebih besar untuk memenuhi apa yang sekarang menjadi kewajiban hukum".
“Namun, jika menyangkut dunia maya, penglihatan seringkali kabur dan pendengarannya tumpul,” tambahnya.
Merujuk pada sifat sistem keuangan yang saling berhubungan, APRA mengatakan serangan terhadap satu lembaga yang pertahanannya lemah, dapat digunakan oleh aktor jahat untuk menyerang lembaga lain melalui pintu belakang. Terdapat 17.000 entitas keuangan, pasar, dan infrastruktur pasar keuangan yang saling berhubungan di Australia dan APRA hanya mengawasi langsung sekitar 680 di antaranya.
"Namun kami tahu bahwa pelanggaran dunia maya di bagian mana pun dari sistem - seperti broker asuransi, lembaga pemeringkat kredit, penyedia layanan TI, atau layanan perbaikan ATM - dapat berdampak pada keseluruhan sistem," kata Summerhayes.
"Dengan risiko terdengar seperti seorang hippy yang menua, ungkapan 'kita semua terhubung' tidak pernah lebih benar. Namun antar-konektivitas yang diperluas ini semakin meningkatkan risiko dunia maya; tidak hanya serangan yang berhasil pada satu entitas yang lebih mungkin menciptakan masalah di luar target itu sendiri, keberhasilan penetrasi suatu entitas dapat memungkinkan aktor canggih untuk menggunakan koneksi digital ini sebagai pintu belakang ke target lain," tambahnya.
Summerhayes secara khusus menunjuk ke serangan cyber yang dialami Grup Toll, perusahaan logistik besar di Australia. (Lihat: Uang Tebusan Tak Digubris, Hacker Rilis Data 200 GB Milik Raksasa Logistik Toll Group)
"Dampaknya akan lebih merusak lagi jika korban adalah penyedia infrastruktur penting, seperti perusahaan telekomunikasi, pembangkit energi - atau lembaga keuangan besar," katanya.
"Dengan percepatan transisi ke ekonomi digital yang membuka koneksi baru bagi penjahat dan aktor jahat untuk dieksploitasi, dan ketergantungan yang semakin meningkat pada dunia virtual, kita tidak bisa mengharapkan kelambatan dalam pertarungan ini," tegas Summerhayes.
Lantas, bagaimana dengan Otoritas Jasa Keuangan (OJK) di Indonesia di tengah makin seringnya nasabah perbankan kehilangan uang yang disimpan di bank? Saat hendak dikonfirmasi, alih-alih menjawab, Juru Bicara OJK Sekar Putih Djarot tak dapat dihubungi karena memblokir kontak WhatsApp dua wartawan Cyberthreat.id. Ini ditandai dengan menghilangnya foto profil Sekar di daftar kontak jurnalis Cyberthreat.id dan tanda centang satu yang menandakan pesan yang dikirim tidak sampai ke Sekar hingga berhari-hari setelahnya. Sementara saat dicoba dengan nomor lain, foto profil Sekar muncul seperti biasa. []
Baca juga:
- OJK Bilang Sudah Diblokir, Eh, Dompet Gajah dan Tiga Fintech Ilegal Lain Masih Bisa Diakses
- 4 Aplikasi Fintech Ilegal Masih Nongol di Google Play Store, Pengguna: OJK Mana, OJK...!
- Penggelapan Uang Nasabah Maybank, Polisi Jadwalkan Panggil OJK dan PPATK
- Ardi Sutedja ICSF: Industri Keuangan Harus Perbaiki SOP Sesuai Modus Kejahatan Siber
