Menghadapi serangan cyber yang semakin meningkat, pemerintah perlu mendorong peningkatan keamanan transaksi keuangan di Indonesia. Lembaga keuangan merupakan “jantung” operasional transaksi keuangan, jika keamanan tidak ditingkatkan maka dapat mengganggu aktivitas transaksi.

Seperti yang terjadi baru-baru ini, maraknya pencurian data pengguna kartu kredit melalui “double swipe” atau penggesekan ganda kartu kredit pada beberapa merchant. Aksi gesek kartu kredit dua kali ini dilakukan oleh merchant yang bandel agar bisa mendapatkan data pemegang kartu kredit.

Hal ini menunjukan bahwa keamanan transaksi keuangan di Indonesia memang perlu ditingkatkan. Bank Indonesia telah mengambil langkah dengan melarang gesek kartu kredit lebih dari satu kali per transaksi. Langkah ini sangat tepat untuk melindungi hak konsumen.

Meningkatkan Keamanan Transaksi Keuangan di Era Digital

Sebetulnya sudah ada peraturan yang menetapkan persyaratan yang mewajibkan seluruh komponen transaksi keuangan, baik hardware maupun software untuk melakukan sertifikasi PCI DSS (Payment Card Industry Data Security Standard). Standard ini mengharuskan seluruh perangkat mulai dari terminal EDC hingga lokasi penyimpanan data transaksi dan data nasabah wajib tersertifikasi oleh PCI DSS. PCI DSS merupakan jaminan keamanan dan kenyamanan bagi pengguna kartu kredit dan debit.

Demikian pada infrastruktur teknologi informasi pada bisnis keuangan fintech dan insurtech. Mereka juga wajib mematuhi persyaratan keamanan transaksi keuangan dari berbagai lemabaga. Selain PCI DSS, juga ada sertifikasi ISO 27001 mengenai standard keamanan teknologi informasi.

Pada dasarnya, peraturan keamanan transaksi keuangan tersebut ditujukan untuk menjamin kelancaran operasional bisnis, selain melindungi hak para nasabah. Dengan mematuhi syarat kepatuhan tersebut, maka keamanan transaksi keuangan di era digital ini akan semakin meningkat.

Selain itu, perusahaan penyelenggara jasa transaksi keuangan di Indonesia di haruskan menempatkan data transaksi pada data center yang berada di Indonesia. Hal ini bertujuan untuk penegakan kedaulatan data dan hal yang berkaitan dengan hukum lintas negara.

Tantangan Pada Keamanan Transaksi Keuangan Perbankan Digital

Belakangan ini serangan cyber semakin meningkat dan mengarah pada lembaga keuangan. Baik melalui teknik DDoS yang pernah mengakibatkan sebuah bank besar di London harus berhenti beroperasi selama dua hari, hingga pada teknik menyandera data.

Serangan Cyber Mengganggu Kelancaran dan Keamanan Transaksi Keuangan

Serangan ransomware kemarin telah melumpuhkan beberapa mesin ATM di beberapa negara hingga pada pusat instalasi nuklir di Rusia. Oleh karena itu, infrastruktur teknologi informasi pada perusahaan perbankan dan asuransi perlu di tingkatkan keamanannya.

Tahun lalu 2,5 juta pound (sekitar Rp. 40 milyar) telah dicuri dari sebuah bank kecil Inggris yang bernama Tesco Bank. Identitas pencuri masih belum diketahui. Bank-bank Inggris lainnya termasuk HSBC dan Royal Bank of Scotland telah mengalami serangan cyber dalam dua tahun terakhir yang telah menurunkan layanan online mereka.

Sebuah survei dari ahli keamanan dan risiko cyber oleh perusahaan asuransi AIG menemukan bahwa industri jasa keuangan telah diidentifikasi sebagai yang paling mungkin mengalami serangan secara sistemik.

Serangan cyber global juga menargetkan bank terbesar Prancis BNP Paribas (BNPP.PA), salah satu lembaga keuangan terbesar yang diketahui terkena dampak ransomware yang dimulai di Rusia dan Ukraina sebelum menyebar ke seluruh dunia.

Dari rangkaian serangan tersebut, dapat diartikan bahwa keamanan sistem keuangan perbankan selama ini belum cukup kuat. Ini dapat terjadi mungkin karena keengganan pihak perbankan dalam menggunakan pencadangan offline yang berlokasi terpisah dari bisnis mereka (fasilitas disaster recovery data center pihak ketiga).

Terutama bagi penyedia layanan perbankan digital atau fintech. Keamanan transaksi keuangan para layanan perbankan digital yang sering mengandalkan public-cloud merupakan sasaran empuk bagi para penjahat cyber. Hal ini dapat dicegah dengan arsitektur infrastruktur IT yang dapat meningkatkan keamanan secara keseluruhan.

Selain itu, edukasi keamanan cyber pada karyawan perlu dilakukan secara rutin. Ini untuk mencegah karyawan membuka ‘lampiran jahat’ pada sebuah e-mail yang dapat menyebabkan masuknya serangan cyber yang dikendalikan oleh para hacker.

Perbankan Membutuhkan Solusi Pencadangan Khusus

Untuk meningkatkan keamanan transaksi keuangan, tidak cukup hanya sampai pada sertifikasi saja. Pencadangan semakin dibutuhkan oleh perbankan untuk menghadapi serangan cyber yang semakin canggih. Solusi pencadangan terbaik yang disarankan oleh para ahli adalah dengan memiliki cadangan pada sebuah data center yang benar-benar terpisah dari sistem IT perbankan.

Selama ini, kebanyakan pihak perbankan mengadakan solusi pencadangan mereka sendiri. Sayangnya, jika sistem pencadangan masih terhubung baik secara jaringan maupun dikelola oleh pihak internal, maka hal ini sudah terbukti tidak efektif.

Belajar dari kasus jebolnya sistem informasi perbankan pada beberapa bank besar di dunia telah membuktikan teori tersebut. Praktik pencadangan terbaik dengan pola 3-2-1 perlu diterapkan. Ini berarti perbankan harus memiliki pencadangan offline yang sama sekali terpisah dari sistem dan karyawan mereka.

Selain itu, teknologi backup saat ini harus di dukung dengan pembelajaran terhadap pola perilaku diluar kebiasaan. Seperti pada serangan ransomware yang memiliki tingkat ‘kehalusan’ pada sistem. Ini menyebabkan ransomware dapat tertanam lebih lama pada sistem utama hingga akhirnya disadari oleh team IT perusahaan.

Pengenalan pola perilaku pada solusi pencadangan dapat mencegah sistem informasi perbankan terjangkit malware dimasa depan. Tanpa teknologi pengenalan perilaku malware, maka file cadangan yang terinfeksi dapat menyebabkan sistem perbankan lumpuh lagi di kemudian hari.

Kesiapan Perbankan Dalam Menghadapi Serangan Cyber

Sebuah survei terhadap eksekutif keamanan di 275 bank global oleh Accenture mengungkapkan bahwa :

  • 78% yakin dengan strategi keamanan cyber mereka secara keseluruhan.
  • Lebih dari separuh (51%) mengatakan bahwa mereka dapat mengidentifikasi penyebab pelanggaran tersebut.
  • 51% mengatakan bahwa mereka dapat mengukur dampaknya.
  • 50% mengatakan bahwa mereka dapat mengelola risiko keuangan yang diakibatkan oleh peristiwa keamanan cyber.

Namun di atas serangan phishing setiap hari, malware dan penetrasi, bank menghadapi rata-rata 85 serangan pada pertahanan cyber mereka selama 12 bulan sebelumnya. 36% serangan ini berhasil mencuri beberapa data. Ini terjadi karena kelambanan dalam mendeteksi serangan tersebut.

Hampir setengah (48%) eksekutif yang di survei menganggap pelanggaran internal memiliki dampak terbesar.

52% mengatakan bahwa mereka tidak yakin dengan kemampuan organisasinya untuk mendeteksi pelanggaran melalui pemantauan internal.

Survei tersebut mengidentifikasi pentingnya meningkatkan kesadaran staf mengenai risiko keamanan. 99% responden menyatakan bahwa banyak pelanggaran keamanan disebabkan oleh karyawan mereka.

Ini bukan berarti karyawan bank banyak yang jahat, akan tetapi karena ketidaktahuan mereka dalam membuka lampiran file di e-mail, sehingga dapat menyebakan sistem terkena ransomware. Dan bahkan yang lebih mengerikan lagi jika terkena Not Petya, yang tidak meminta uang tebusan, melainkan hanya menyebabkan sistem lumpuh total.

Tips untuk Memperkuat Keamanan Aplikasi Fintech

Dengan kemajuan teknologi, dunia bergerak menuju sistem ekonomi tanpa uang. Internet telah memfasilitasi orang-orang dengan fasilitas e-banking. Statistik baru-baru ini mengungkapkan fakta bahwa telah terjadi peningkatan yang luar biasa dalam jumlah pengguna yang memilih perbankan internet.

Menurut sebuah penelitian, ditemukan bahwa sekitar 35% ponsel tetap tidak terenkripsi. Dalam survei yang sama, diamati bahwa sekitar 43% pengguna tidak menggunakan kata kunci, PIN atau pola kunci untuk mengunci perangkat mobile mereka.

Ini merupakan masalah keamanan yang besar. Sebagian besar orang memiliki data sensitif dan informasi pribadi yang tersimpan di perangkat mereka.

Seiring data informasi perbankan yang aman mulai ditransmisikan setiap hari, ancaman pelanggaran keamanan menjadi nyata. Sejumlah kasus telah dilaporkan di masa lalu mengenai hacking kartu debit atau kartu kredit dan diam-diam mentransfer uang ke rekening seseorang.

Namun meski ada beberapa kekurangannya, perbankan digital telah menjadi semakin populer karena dapat menyederhanakan berbagai tugas. Ini adalah salah satu cara paling mudah untuk menerima atau mentransfer uang, membayar tagihan online, memeriksa saldo akun Anda, mendapatkan pinjaman cepat dari bank dan sebagainya.

Jika anda mengembangkan aplikasi fintech untuk fasilitas perbankan, langkah-langkah berikut dapat diterapkan untuk memperkuat keamanan.

1. Otentikasi

Penambahan Prosedur Otentikasi Multi-Factor

Anda sadar bahwa saat ini informasi berbasis internet sangat sensitif dan teknologi telah sampai ke tingkat yang lebih tinggi berikutnya. Para hacker telah cukup pintar untuk menerobos sistem keamanan transaksi keuangan. Kemudian mereka mulai menggali informasi rahasia dengan cara hacking dan phishing. Karena itu, kita harus lebih pintar dari mereka untuk menghentikan gangguan tersebut.

Hanya menyediakan lapisan proteksi password tidak akan menyelesaikan masalah. Sangat penting untuk memverifikasi nasabah. Anda harus memiliki beberapa alat canggih seperti deteksi biometrik dan sebagainya untuk dapat membantu upaya ini.

Otentikasi multi faktor menjadi lebih penting akhir-akhir ini. Aktivitas perbankan apa pun yang dilakukan, apakah itu membuka akun baru atau dalam transaksi keuangan apa pun. Ini dikenal sebagai proses KYC (Know Your Customer) oleh bank dan telah menjadi prosedur wajib. Aplikasi Fintech harus kuat dalam memeriksa unggahan dokumen pelanggan.

2. Kepatuhan

Menaati Aturan Peraturan Perbankan yang ketat

Salah satu metode terbaik untuk membangun aplikasi fintech yang dapat dipercaya adalah dengan mematuhi peraturan yang berlaku. Ini harus diikuti untuk menghindari denda dari regulator. Seringkali kita telah melihat beberapa kasus di mana lembaga keuangan terkena denda karena melanggar kepatuhan.

3. Pemberitahuan Transaksi

Menawarkan Peringatan Terkait dengan Transaksi

Saat ini sebagian besar bank memberi pelanggan pesan peringatan setiap kali ada transaksi atau penarikan uang dari rekening mereka. Pesan tersebut berbunyi bahwa jumlah tertentu telah ditarik dari akun Anda. Jika bukan Anda maka segera hubungi cabangnya.

Hal ini menimbulkan peringatan kepada pelanggan dan jika merasakan sesuatu yang salah, maka nasabah dapat segera melaporkannya di cabang tersebut.

Begitu pula jika transaksi dilakukan melalui kartu debit atau kartu kredit, maka mereka juga menerima SMS atau email. Pemberitahuan ini memungkinkan pelanggan mengetahui apakah rincian akun telah disalah gunakan dan dapat segera bertindak.

4. Alat Deteksi

Penggunaan Perangkat Lunak Lanjutan untuk mendeteksi Aktivitas Mencurigakan

Dengan memiliki perangkat lunak yang memiliki kemampuan untuk mengidentifikasi lokasi masuk dan aktivitas online perbankan yang mencurigakan, keamanan transaksi keuangan dapat lebih terjaga.

Aplikasi perbankan akan memastikan perilaku abnormal ini untuk penyelidikan lebih lanjut. Bank akan segera mengirim email, SMS atau menghubungi pelanggan untuk menginformasikan nasabah tentang praktik tak lazim tersebut.

5. Enkripsi

Enkripsi End-to-End

Enkripsi end-to-end adalah langkah penting untuk meningkatkan keamanan transaksi keuangan. Ini menawarkan tingkat keamanan yang sangat terlindungi dan memastikan bahwa data aman dan sehat.

Selain dari cara-cara diatas dalam meningkatkan keamanan transaksi keuangan, secara berkala lakukan audit sistem informasi dan lakukan uji coba penetrasi (penetration testing). Penyelenggara transaksi keuangan juga dapat bekerjasama dengan penyedia jasa outsourcing IT untuk memantau dan menjaga aktivitas jaringan diluar jam kerja.

Keamanan Perbankan di Masa Depan

Masa depan keamanan perbankan terletak pada pengembangan dan penerapan fungsi keamanan kognitif tingkat lanjut. Sistem ini dapat memanfaatkan tidak hanya data, tapi juga makna, pengetahuan, arus proses dan perkembangan aktivitas dengan sangat cepat. Keamanan kognitif dapat menempatkan bank di depan pelaku ancaman dalam hal kecepatan, kolaborasi dan akses ke struktur data.

Teknologi kognitif memungkinkan analis keamanan untuk mengumpulkan informasi dengan cepat dan memberikan dukungan yang mereka butuhkan untuk menggagalkan serangan sebelum kerusakan dilakukan. Bank harus memastikan sistem mereka lebih dari sekadar patuh, merasa nyaman dengan teknologi cloud dan menerapkan komputasi kognitif untuk mengikuti lanskap ancaman yang berkembang.

Pada akhirnya, keamanan transaksi keuangan dapat meningkat walaupun serangan cyber tiada hentinya. Semoga bermanfaat 😉

– FlyingEagle –