Perbankan dan Keamanan Siber

Mulkan Fadhli, Dosen Keamanan Informasi UIN Ar-Raniry dan Sekjen IA ITB Pengda Aceh

PADA Senin 8 Mei 2023 sebuah perbankan nasional mengalami gagal akses hingga 3 hari ke depannya, pada hari keempat beberapa fitur sudah dapat diakses kembali secara terbatas. Pihak perbankan menyampaikan adanya pemeliharaan yang harus dilakukan sehingga manajemen memerlukan waktu yang lama. Di hari keempat tersebut menteri BUMN yang sedang berada di Labuan Bajo menyampaikan bahwa gangguan yang terjadi karena ada serangan siber.

Lebih mengejutkan lagi, dua hari kemudian pada hari Sabtu, 13 Mei 2023, sebuah perusahaan keamanan siber yang berbasis di Singapura dengan akun Twitternya, Fusion Intelligence Center @DarkTracer, memublikasikan pada tweet-nya bahwa “Geng ransomware LockBit mengaku bertanggung jawab atas gangguan semua layanan di Bank Syariah Indonesia, menyatakan bahwa itu akibat dari serangan mereka. Mereka juga mengumumkan telah mencuri 15 juta catatan pelanggan, informasi karyawan, dan sekitar 1,5 terabyte data internal. Mereka selanjutnya mengancam akan merilis semua data di web gelap jika negosiasi gagal.”

Siapakah LockBit tersebut, dari berbagai informasi yang tersebar didunia maya dapat diketahui bahwa LockBit nama sebuah komunitas yang melakukan serangan ransomware ke berbagai perusahaan dan termasuk komunitas yang paling besar di dunia maya dengan serangan yang paling banyak berhasil dilakukan. Umumnya setelah melakukan serangan dan mendapatkan apa yang dicari atau menguncinya dengan teknik enkripsi, penyerang akan bernegosiasi untuk mendapatkan keuntungan dari kegiatannya.

Apabila negosiasi tidak berhasil maka konsekuensinya adalah data yang berhasil didapatkan akan dijual di pasar gelap dunia maya atau disebut dengan nama dark web. Perbankan tersebut bukanlah kasus pertama dan terakhir di dunia maya Indonesia, sebelumnya ada perusahaan platform jual beli yang mendapatkan serangan serupa dan datanya dijual bebas di pasar gelap. Hingga perusahaan teknologi informasi berkaliber dunia pun pernah mendapatkan serangan, sebut saja Microsoft pada 19 Oktober 2022 berhasil dibobol 2,4 terabyte data dari server yang salah konfigurasi.

Single banking sistem

Kejadian serangan di dunia maya merupakan yang hal yang rutin terjadi alih-alih mencerdaskan masyarakat akan pentingnya kesadaran keamanan siber. Opini yang dibangun di tengah masyarakat menuju arah yang berlainan, dengan mempersoalkan single banking sistem. Kegagalan teknologi serupa pernah terjadi di pulau Jawa sehingga masyarakat yang sudah ramai menggunakan uang digital, pulau Jawa lebih banyak dari pada di Aceh dalam penggunaan uang digital, gagal bertransaksi sampai dua hari lamanya. Kali itu bukan karena perbankan tapi distribusi ketenagaan listrik Indonesia yang menganut mazhab single support system bahkan hingga ke single entitas kompeni, yaitu kasus sengon 1 triliun rupiah yang diberi judul oleh Dahlan Iskan.

Hari berlalu mazhab distribusi listrik pun tidak berubah, semoga listrik di pulau jawa sudah looping begitu juga dengan Aceh. Sehingga apabila satu jalur terganggu maka ada jalur lainnya yang tetap dapat mendistribusikan listrik. Konsep serupa juga mestinya dapat diimplementasi dalam Teknologi Sistem Informasi (TSI) perbankan dengan menempatkan beberapa dedicated network server di berbagai wilayah.

Kembali kepada serangan siber, seluruh upaya pengaman siber adalah untuk menghindari pencurian, gangguan dan gangguan sistem melalui Triad CIA (Confidentiality, Integrity and Availability) atau (Kerahasiaan, Integritas, dan Ketersediaan). Dimana kerahasiaan bermakna bahwa sistem dan data tidak dapat diakses, dilihat, dibaca oleh siapa pun yang tidak berwenang melakukannya.

Sedangkan Integritas yaitu melindungi data dari modifikasi atau penghapusan oleh pihak yang tidak berwenang, dan memastikan bahwa ketika orang yang berwenang melakukan perubahan yang seharusnya tidak dilakukan, kerusakan dapat dibatalkan. Berikutnya ketersediaan sistem, saluran akses, dan mekanisme autentikasi semuanya harus berfungsi dengan baik agar informasi yang disediakan dan dilindungi tersedia saat dibutuhkan.
Selain itu, properti lainnya, seperti keaslian, akuntabilitas, non-repudation, dan keandalan juga dapat dilibatkan sebagaimana diatur dalam klausul ISO/IEC 27000:2009. Audit & Akuntabilitas yang pada dasarnya terus melacak semua hal, seperti, siapa yang masuk kapan mereka masuk yang mengakses data apa. Sedangkan non-

epudiation adalah jaminan bahwa seseorang tidak dapat menyangkal keabsahan sesuatu. konsep hukum yang banyak digunakan dalam keamanan informasi dan mengacu pada layanan, yang memberikan bukti asal data dan integritas data.

Ibarat pencuri

Bisnis perbankan merupakan bisnis yang sangat ketat akan aturan dan regulasi yang telah diatur oleh regulator perbankan di Indonesia. Apalagi setelah melewati berbagai krisis ekonomi dan kegagalan sistem yang sangat sistemik pada perbankan. Industri perbankan Indonesia terus berbenah semisal dengan pemisahannya pembuat regulasi dan pengawasan. Apabila ada kerugian yang dirasakan oleh nasabah negara juga sudah menyiapkan sebuah badan perlindungan konsumen nasional. Semestinya konsumen tidak perlu khawatir akan keandalan sebuah sistem perbankan.

Dalam aktivitas penyerangan ada lima tahapan yang semestinya dilakukan oleh seorang atau komunitas penyerang yaitu: 1. Reconnaissance, 2. Scanning & Enumeration, 3. Gaining Access, 4. Maintaining Access, 5. Covering Tracks. Pada tahapan 1 dan 2 penyerang mengumpulkan berbagai informasi terkait target baik berupa alamat, jenis komputer dan lain sebagainya. Umumnya teknologi sistem komputer yang menjadi target sudah diberikan sistem peringatan dini bahwa ada aktivitas yang sedang mengumpulkan informasi maka administrator (satpam) dapat mengantisipasinya secara dini.

Tahapan ini ibarat seorang pencuri yang sudah berkeliling kompleks perumahan sampai sepuluh kali, semestinya warga sekitar sudah menaruh curiga atau petugas keamanan mulai menginterogasi bahkan memblokirnya. Apabila hal itu telah dicurigai dan mendapatkan notifikasi akan ada transaksi data yang mencurigakan tetapi ada pengabaian maka ada masalah dengan internalnya sehingga otoritas, regulator bahkan eksekutor (baca- pemerintah) perlu melakukan audit supaya masyarakat atau nasabah tidak dirugikan. Dan keamanan siber harus menjadi bagian penting dari rencana kesinambungan organisasi.

Apa langkah atau sikap yang harus diambil nasabah atau pengguna apabila informasi yang disampaikan perusahaan keamanan siber yang berbasis di Singapura itu benar adanya. Kita mesti pahami bahwa data breaches (pelanggaran data) sudah beredar dimana-mana, semisal nomor telepon seseorang yang diketahui oleh perusahaan asuransi dan sebagainya. Sehingga keamanan dalam teknologi informasi bukan semata-mata pada perusahaan penyedia, karena tidak ada teknologi yang seratus persen aman, tapi kesadaran akan keamanan itu tumbuh dalam diri pengguna.

Pengguna akhir harus rutin mengganti kata kunci atau pin secara berkala dengan kombinasi yang sebaiknya agak sedikit jauh dari identitas pribadi tapi tetap mudah diingat. Piranti digital sebaiknya tidak pernah dirooting atau jailbreaking sehingga proses instalasi aplikasi tetap dari penyedia resmi (playstore atau appstore) serta rutin memperbaharui aplikasi dengan versi terbaru. Tidak dengan mudah percaya dan memilih tautan yang dikirim oleh orang lain. Sejatinya keamanan itu bukan pada penyedia tapi pada kesadaran pengguna.