Antisipasi Malware Sunburst, Singapura Buat Aturan Baru Bank - Fintech
Otoritas moneter Singapura atau Monetary Authority of Singapore (MAS) membuat aturan baru untuk lembaga keuangan, termasuk bank dan teknologi finansial (fintech). Ini untuk mengantisipasi serangan siber dengan metode baru yang menyerang perusahaan Amerika Serikat (AS), SolarWinds, yang mirip dengan Sunburst.
MAS membuat pedoman manajemen risiko teknologi yang mewajibkan semua lembaga keuangan mengaudit perusahaan rekanan. Ini untuk memitigasi risiko yang mungkin timbul dari layanan perusahaan teknologi rekanan atau pihak ketiga.
Perusahaan pihak ketiga akan diminta membuktikan bahwa kode sumber perangkat lunak (software) telah diuji secara ketat dan tidak menggunakan praktik pemrograman berisiko. Selain itu, diminta menjelaskan langkah-langkah keamanan dan seberapa sering mereka memantau risiko serangan siber.
Dewan direksi dan jajaran manajemen senior di lembaga keuangan juga diharuskan memeriksa dan memberikan persetujuan atas penunjukan perusahaan teknologi itu. Ini artinya berlaku juga untuk Grab dan induk Shopee, Sea Group yang memperoleh lisensi bank digital akhir tahun lalu.
Aturan itu juga diterapkan pada praktik kerja sama lembaga keuangan melalui Application Programming Interfaces (API). Sebab, otoritas menganggap API memungkinkan perusahaan eksternal mengakses sistem di lembaga keuangan tersebut.
Perusahaan keuangan harus mempertimbangkan sifat bisnis, postur keamanan dunia maya, reputasi industri, dan rekam jejak perusahaaan pihak ketiga dalam mengakses API. Selain itu, wajib mengamankan pengembangan API dan mengenkripsi data sensitif untuk mencegah kebocoran data.
Chief cyber security officer MAS Tan Yeow Seng mengatakan, aturan baru itu karena lembaga keuangan di Singapura semakin bergantung pada perusahaan pihak ketiga untuk mengadopsi teknologi baru. Di satu sisi, ada risiko keamanan dari perusahaan rekanan yang tidak diketahui kejelasan teknologinya.
"Pedoman itu menetapkan ekspektasi MAS yang lebih tinggi terhadap tata kelola risiko teknologi dan kontrol keamanan di lembaga keuangan," kata Tan dikutip dari The Straits Times, Senin (18/1).
Assistant managing director of technology MAS Vincent Loy menambahkan, pihak ketiga bisa membawa risiko keamanan bagi sistem keuangan. "Pemasok pihak ketiga yang tidak diketahui (latar belakang keamanan teknologinya) merupakan yang paling dikhawatirkan MAS," katanya.
Risiko keamanan itu berkaca dari serangan siber yang dialami SolarWinds akhir tahun lalu. SolarWinds merupakan produsen software management yang berbasis di Texas, AS.
SolarWinds bekerja sama dengan berbagai perusahaan besar seperti Microsoft, FireEye dan Cisco Systems hingga pemerintah AS. Sistem SolarWinds diserang menggunakan metode yang mirip dengan Sunburst.
Apa itu Sunburst?
Serangan siber itu membuat pelanggan SolarWinds, yang mengunduh pembaruan software, terkena malware. SolarWinds mencatat, ada 18 ribu perusahaan yang terkena dampak serangan siber itu.
Kaspersky mengatakan, pereta menyebarkan malware baru yang kodenya mirip Sunburst atau versi backdoors Kazuar. Ini jenis malware yang menyediakan akses bagi peretas ke perangkat korban dari jarak jauh.
Backdoor yang ditulis menggunakan kerangka kerja .NET itu pertama kali dilaporkan oleh Palo Alto pada 2017. Saat itu, malware dengan kode tersebut digunakan untuk memata-matai dunia maya di seluruh dunia.
Para ahli menilai, fragmen kode tersebut tidak 100% identik, tetapi menunjukkan relasi yang erat dengan Kazuar dan malware Sunburst. Namun, “ini tidak serta merta mengungkapkan siapa di balik serangan SolarWinds,” kata director of Kaspersky’s Global Research and Analysis (GReAT) Team Costin Raiu dikutip dari siaran pers, pekan lalu (13/1).
Namun, kemiripan tersebut dapat menjadi kajian bagi para peneliti untuk mengantisipasi serangan siber serupa. “Kami yakin, penting bagi para peneliti lain utnuk menyelidiki kesamaan ini dan berusaha menemukan lebih bayak fakta tentang Kazuar dan asal Sunburs,” katanya.
Sedangkan Cybersecurity and Infrastructure Security Agency (CISA) mengatakan, ada lembaga pemerintah yang diincar dari serangan siber ke SolarWinds, seperti Departemen Energi dan Departemen Keuangan AS.
