Sektor Keuangan Jadi Target Utama Kejahatan Siber, Begini Modusnya

Digitalisasi yang cepat akibat pandemi Covid-19 turut meningkatkan kejahatan siber.  Direktur Manajemen Risiko Bank Mandiri Ahmad Siddik Badruddin mengatakan, sektor keuangan, seperti perbankan dan asuransi menjadi target utama kejahatan siber.

"Karena memang di sektor industri ini banyak informasi mengenai pelanggan dan banyaknya uang yang disimpan," kata Ahmad dalam acara Indonesia Data and Economic Conference 2021 yang bekerja sama dengan Bank Negara Indonesia, Rabu (24/3).

Selain sektor perbankan dan asuransi, terdapat empat sektor lainnya yang menjadi target utama kejahatan siber. Sektor yang dimaksud yakni manufaktur, energi, ritel, dan jasa layanan profesional.

Ahmad menyebutkan, terdapat lima jenis serangan siber yang biasanya dilakukan terhadap perbankan. Pertama, ransomware yang merupakan jenis malware yang melakukan enkripsi dan pencurian data sehingga tidak dapat diakses oleh korban dan bertujuan meminta tebusan finansial.

Kedua, data theft and leak yaitu pencurian atau kebocoran data sensitif seperti banking login credential dan personally identifiable information. Ketiga, server access yakni akses tidak resmi terhadap korban melalui eksploitasi kredensial yang dicuri dan mudah diserang.

Keempat, business email compromise (BEC) berupa email scam untuk menipu karyawan perusahaan agar mengirim sejumlah uang ke suatu rekening. Keempat, remote access trojan atau jenis malware yang berfungsi sebagai backdoor untuk mengendalikan suatu sistem target.

Menurut Ahmad, tren serangan melalui kelima cara tersebut terus meningkat dalam tujuh tahun terakhir. "Hanya BEC saja yang agak sedikit menurun karena pengamanan dari sektor perusahaan biasanya lebih bagus," katanya.

Sementara itu, modus operandi yang biasa digunakan para penjahat siber adalah scan and exploit alias penggunaan teknik scanning vulnerability atau misconfiguration pada sistem target yang kemudian dilakukan eksploitasi untuk memperoleh akses tidak resmi. Modus operandi lainnya yang juga marak yaitu teknik physhing, credential theft, remote desktop, dan brute force.

Guna mengantisipasi kejahatan Siber, menurut Sidik, Bank Mandiri saat ini memiliki strategi pengamanan empat lapis untuk melindungi uang, data, dan reputasi. Keempat lapis perlindungan tersebut yakni kesiagaan, kontrol operasional, pengamanan IT, dan pendeteksi fraud.

Dalam kesiagaan, pengamanan informasi merupakan kewajiban seluruh pegawai dan menjadi budaya perusahaan. Untuk kontrol operasional, proses pengamanan informasi diimplementasikan melalui penerapan design control  pada setiap proses bisnis dan operasional.

Sementara untuk pengamanan IT, penggunaan teknologi berlapis dan memanfaatkan machine learning atau artificial intelligence. Terakhir, deteksi fraud merupakan teknologi dan proses mendeteksi aktivitas terindikasi fraud.

Ketua Umum Forum Komunikasi Direktur Kepatuhan Perbankan Fransiska Oei menilai potensi fraud  pada perbankan semakin besar dengan penerapan digitalisasi.  Potensi kejahatan siber pun semakin tinggi semenjak pemberlakuan bekerja dari rumah (WFH) karena adanya pandemi. "Ini tidak bisa dihindarkan," kata Fransiska dalam kesempatan yang sama.

Saat ini, menurut dia,  Otoritas Jasa Keuangan (OJK) sebenarnya telah mengharuskan bank umum untuk memiliki sistem anti fraud. Ketentuan itu tertuang dalam Peraturan OJK Nomor 39/POJK.03/2019.

Perbankan harus mampu meningkatkan proteksi keamanan data nasabah terutama selama penerapan WFH. Salah satunya, dilakukan dengan mendaftarkan seluruh perangkat karyawan agar tidak dapat mengakses jaringan lain atau mencetak data nasabah.