Strategi Membangun Pertahanan terhadap Serangan Siber bagi Pelaku Industri Sistem Pembayaran

Isu keamanan siber kembali memunculkan kekhawatiran bagi banyak pihak setelah Pusat Data Nasional (PDN) yang dikelola oleh salah satu instansi pemerintah Indonesia menjadi sasaran serangan ransomware. Ransomware merupakan jenis malware yang mengancam untuk merusak atau memblokir akses ke data atau sistem penting hingga tebusan dibayar.

Kasus ini tidak hanya menyoroti risiko kebocoran data dan gangguan layanan, tetapi juga mengingatkan industri terhadap urgensi menanggapi isu keamanan siber dengan serius, termasuk di industri sistem pembayaran. Industri ini saat ini sedang mengalami pertumbuhan pesat seiring dengan adopsi inovasi pembayaran digital di Indonesia, yang dapat meningkatkan risiko keamanan siber.

Diketahui menurut Bank Indonesia (BI), nilai transaksi QRIS mencapai Rp 229,96 Triliun pada tahun 2023 dengan 45,78 juta pengguna aktif. Global Payment Report tahun 2024 juga menunjukkan bahwa dompet digital telah menjadi pilihan utama untuk pembayaran online pada tahun 2023, dan diperkirakan akan mendominasi baik pada transaksi Point of Sales (POS) maupun transaksi online di tahun 2027.

Risk in Focus 2024 oleh The Institute of Internal Auditor juga menyebutkan bahwa tiga risiko tertinggi di dunia saat ini adalah keamanan siber, human capital dan kontinuitas bisnis. Laporan tersebut menggarisbawahi pentingnya untuk mengatasi tantangan keamanan siber yang semakin kompleks, yang semakin diperparah dengan lonjakan serangan siber yang mengancam sektor keuangan.

Transformasi digital saat ini ini tidak hanya membawa manfaat signifikan bagi masyarakat, tetapi juga meningkatkan ancaman serangan siber yang perlu diwaspadai. Oleh karena itu, pelaku industri sistem pembayaran perlu mengambil langkah sungguh-sungguh untuk mengurangi risiko tersebut. Artikel ini akan mengulas beberapa upaya yang dapat dilakukan pelaku industri dalam memperkuat pertahanannya demi memerangi serangan siber dan meningkatkan perlindungan nasabah.

Upaya Membangun Pertahanan terhadap Serangan Siber

Keamanan siber bukan lagi sekedar masalah teknis, tetapi juga menjadi fokus utama dalam menjaga kepercayaan publik dan melindungi data nasabah dari potensi risiko kebocoran atau penyalahgunaan. Pelindungan data yang efektif tidak hanya melibatkan implementasi teknologi canggih, tetapi juga kesadaran akan ancaman yang semakin kompleks serta kesiapan untuk merespons dan memulihkan sistem dengan cepat setelah terjadinya insiden keamanan.

Di samping itu, membangun pertahanan yang kuat terhadap serangan siber tidak hanya menjadi tanggung jawab sektor keuangan semata, melainkan juga sebuah kewajiban bagi semua pihak terlibat. Perlindungan terhadap infrastruktur digital dan data sensitif bukan lagi sekadar pilihan, melainkan suatu keharusan untuk menjaga stabilitas ekonomi dan keuangan global di era digital ini.

Untuk itu, setidaknya ada 3 cara membangun pertahanan terhadap serangan siber yang bisa diterapkan pelaku industri sistem pembayaran berikut ini:

1. Membangun Budaya Keamanan Siber

Peningkatan kesadaran terhadap ancaman siber baik untuk karyawan maupun pelanggan perlu diterapkan melalui program edukasi yang terencana. Dengan pemahaman yang lebih baik tentang praktik keamanan seperti pelindungan data pribadi, cara menjaga perangkat kerja hingga cara mengenali serangan siber, individu dapat menjadi lebih waspada dan mengurangi risiko terhadap serangan.

Selain itu, pelaksanaan cyber security drill secara berkala merupakan langkah proaktif untuk menguji respons dan kesiapsiagaan dalam menghadapi serangan siber. Melalui simulasi ini, organisasi dapat mengidentifikasi kelemahan dalam sistem keamanan mereka dan melakukan perbaikan yang diperlukan untuk memperkuat pertahanan mereka.

Terakhir, penilaian rutin terhadap risiko keamanan siber dan penerapan Cyber Security Maturity Model membantu organisasi mengevaluasi tingkat kematangan keamanan mereka secara sistematis. Dengan pendekatan ini, organisasi dapat mengidentifikasi area yang memerlukan perhatian lebih besar untuk meningkatkan ketahanan mereka terhadap ancaman siber yang semakin kompleks dan berbahaya.

2. Disiplin Eksekusi Penanganan Serangan

Disiplin eksekusi dalam merespon dan memulihkan diri dari serangan siber krusial bagi keberhasilan suatu perusahaan dalam menghadapi ancaman keamanan siber. Pada aspek teknis, langkah-langkah seperti mengisolasi atau memutuskan koneksi dari jaringan internet untuk mencegah penyebaran lebih luas, tidak mematikan atau me-restart sistem atau perangkat, pemeriksaan backup data serta identifikasi jenis ransomware harus segera dilakukan untuk memulihkan sistem yang terkena dampak.

Sementara pada aspek non teknis, aktivasi tim Respon Insiden Keamanan Siber (CSIRT) sangat penting dilakukan untuk menangani serangan dengan cepat dan efektif. Komunikasi krisis yang terbuka kepada seluruh pihak terkait juga merupakan langkah penting, dimana kejelasan dan transparansi informasi dari perusahaan kepada publik adalah kunci untuk memelihara kepercayaan di tengah serangan. Langkah non teknis ini perlu dijalankan secara pararel demi memperkuat upaya mitigasi yang dilakukan perusahaan.

Setelah serangan, fokus beralih ke langkah pemulihan yang meliputi pemulihan dari sistem backup yang terpercaya dan analisis mendalam untuk memahami sumber dan dampak serangan tersebut. Hasil dari analisis pasca-insiden digunakan untuk memperbarui kebijakan keamanan serta meningkatkan kesiagaan melalui audit keamanan berkala dan evaluasi efektivitas langkah-langkah keamanan. Dengan pendekatan yang terintegrasi dan berkelanjutan ini, perusahaan diharapkan dapat lebih siap menghadapi serangan siber di masa depan dan mengurangi dampak yang mungkin timbul.

3. Kolaborasi Berbasis GRC (Governance, Risk, and Compliance)

Kolaborasi lintas pemangku kepentingan berbasis GRC melibatkan regulator seperti BI, Otoritas Jasa Keuangan (OJK) dan Pemerintah bersama komunitas sistem pembayaran termasuk Penyedia Jasa Pembayaran (PJP), Penyelenggara Infrastruktur Sistem Pembayaran (PIP), vendor, hingga prinsipal. Ini memungkinkan pelaku industri berbagi informasi tentang ancaman dan serangan siber, yang dapat memperkuat keamanan kolektif dengan respons yang lebih cepat dan efektif.

Di samping itu, kepatuhan terhadap regulasi dan standar mutu baik nasional maupun internasional penting diterapkan untuk mempertahankan integritas serta kepercayaan dalam sistem pembayaran dan sektor keuangan secara keseluruhan. Standar kepatuhan ini di antaranya meliputi PCI DSS, PCI PIN, ISO 27001, NIST Cybersecurity Framework, GDPR, PBI, serta POJK yang dapat memastikan praktik keamanan ketat diterapkan oleh semua pihak yang terlibat dalam ekosistem sistem pembayaran.

Kerja sama antara komunitas sistem pembayaran dan regulator juga dapat mendorong pengembangan teknologi keamanan inovatif demi menghadapi tantangan serangan siber yang efektif di masa depan. Langkah ini tidak hanya memperkuat ketahanan sistem pembayaran, tetapi juga memastikan perlindungan data nasabah dan integritas transaksi keuangan yang lebih kuat.

Dalam membangun pertahanan terhadap serangan siber, penting untuk membangun budaya sadar keamanan siber dan melakukan edukasi jangka panjang baik kepada karyawan maupun masyarakat. Upaya ini diperkuat dengan disiplin eksekusi terhadap strategi keamanan yang telah disusun demi mengurangi risiko dan meningkatkan keandalan layanan. Di samping itu, kolaborasi lintas pemangku kepentingan berbasis GRC sangatlah penting untuk menciptakan ekosistem keuangan digital yang aman dan dapat dipercaya bagi masyarakat luas.

Keamanan siber bukan menjadi tanggung jawab satu pihak, tetapi merupakan tanggung jawab bersama. Risiko keamanan transaksi digital terus meningkat seiring dengan berkembangnya inovasi sistem pembayaran nasional, sehingga ke depannya diharapkan pelaku industri dapat terus menerapkan upaya keamanan siber yang serius dan berkelanjutan dalam menghadapi ancaman yang terus berkembang.