Ilustrasi bank digital di Indonesia. Infografis: Deva Satria/TrenAsia
Perbankan

Pembobolan Rekening ARTO Jadi Sinyal Urgensi Keamanan Siber di Bank Digital

  • Polda Metro Jaya beberapa waktu ke belakang menerima laporan adanya pembobolan terhadap 112 rekening nasabah di PT Bank Jago Tbk (ARTO) yang dikenal sebagai salah satu pemain di industri perbankan digital dalam negeri.

Perbankan

Idham Nur Indrajaya

JAKARTA – Polda Metro Jaya beberapa waktu ke belakang menerima laporan adanya pembobolan terhadap 112 rekening nasabah di PT Bank Jago Tbk (ARTO) yang dikenal sebagai salah satu pemain di industri perbankan digital dalam negeri. 

Dari hasil penyelidikan terhadap laporan tersebut, diketahui bahwa seorang mantan karyawan Bank Jago membobol 112 rekening nasabah dengan nilai total mencapai Rp1,39 miliar. 

Polda Metro Jaya mengungkapkan bahwa mantan karyawan bank digital tersebut sebelumnya bertugas sebagai contact center specialist.

Direktur Reskrimsus Polda Metro Jaya, Ade Safri Simanjuntak, menjelaskan bahwa tersangka IA diduga membobol rekening yang telah diblokir berdasarkan permintaan aparat penegak hukum (APH) karena terindikasi menerima dana hasil tindak pidana.

“Untuk membuka blokir rekening tersebut, tersangka awalnya memerintahkan agent command center untuk mengajukan permohonan buka blokir dan kemudian menyetujui permintaan tersebut karena kewenangan tersebut memang merupakan tanggung jawab tersangka sebagai contact center specialist Bank Jago,” jelas Ade Safri Simanjuntak dalam keterangannya, dikutip Kamis, 11 Juli 2024.

Setelah blokir rekening dibuka, dana yang ada di dalamnya kemudian dipindahkan ke rekening penampung yang sudah disiapkan oleh tersangka.

Dari aksinya tersebut, IA telah melakukan 112 kali persetujuan pembukaan blokir rekening Bank Jago dengan total dana yang dipindahkan sebesar Rp 1.397.280.711.

Tindakan ini dikategorikan sebagai Tindak Pidana Pencucian Uang (TPPU) berdasarkan Pasal 30 ayat (1) jo Pasal 46 ayat (1) dan/atau Pasal 32 ayat (1) jo Pasal 48 ayat (1) Undang-Undang Nomor 19 Tahun 2016 tentang Perubahan atas Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik dan/atau Pasal 81 Undang-Undang Nomor 3 Tahun 2011 tentang Transfer Dana dan/atau Pasal 3, Pasal 4, dan Pasal 5 Undang-Undang Nomor 8 Tahun 2010 tentang Pencegahan dan Pemberantasan Tindak Pidana Pencucian Uang.

Upaya OJK dalam Mitigasi Serangan Siber di Perbankan

Kepala Eksekutif Pengawas Perbankan Otoritas Jasa Keuangan (OJK), Dian Ediana Rae, menegaskan pentingnya keamanan siber di sektor perbankan. 

Dian menyatakan bahwa OJK telah menetapkan standar manajemen risiko penggunaan sistem IT di bank sejak lama dan telah mengeluarkan Peraturan OJK (POJK) Nomor 29 Tahun 2022 mengenai ketahanan dan keamanan siber bagi bank umum.

Menurut Dian, POJK tersebut memberikan panduan yang sangat detail terkait pengukuran digital maturity dan tahapan pengujian ketahanan siber. 

“POJK ini memuat detail mengenai apa yang dimaksud dengan digital maturity dan bagaimana bank melakukan tahapan-tahapan pengujian ketahanan siber,” ujar Dian dalam konferensi pers Rapat Dewan Komisioner (RDK) OJK beberapa waktu lalu. 

Namun, Dian juga mengingatkan bahwa meskipun standar telah ditetapkan, hal tersebut tidak menjamin bank akan sepenuhnya bebas dari serangan siber. 

Ia menjelaskan bahwa serangan siber semakin meningkat dan bank menjadi salah satu target favorit selain lembaga pemerintah. 

"Bank itu salah satu favoritnya (serangan siber) di samping lembaga pemerintah,” katanya.

Untuk itu, OJK terus mendorong bank agar lebih memperhatikan ketahanan siber mereka. Dian mengungkapkan bahwa OJK telah menyampaikan isu ini kepada seluruh bank agar melakukan langkah-langkah untuk meninjau dan memperbarui sistem IT yang ada. 

"Setiap bank harus memastikan bahwa mereka menggunakan sistem IT yang paling mutakhir dan perlindungan yang maksimal terhadap kemungkinan serangan," tegasnya.

Dian juga menyoroti pentingnya waktu pemulihan jika terjadi serangan siber. Menurutnya, OJK menetapkan target waktu pemulihan yang sangat singkat, yakni 1-2 jam untuk layanan utama yang diperlukan nasabah. 

"Jika terjadi serangan, recovery time untuk memulihkan sistem harus singkat, kalau perlu 1-2 jam sudah harus selesai untuk pelayanan utama nasabah," ujarnya.

Selain itu, OJK juga terus meningkatkan kewaspadaan melalui program pelatihan dan kesadaran digital atau digital awareness. Dian menambahkan bahwa penilaian dan pengujian penetrasi secara berkala juga dilakukan untuk memastikan sistem tetap aman. "Program pelatihan dan kesadaran digital terus dilakukan, penilaian dan pengujian penetrasi juga dilakukan secara berkala," jelasnya.

OJK juga memiliki peran penting dalam pengawasan IT di bank. Dian menyatakan bahwa ahli IT dari OJK siap membantu bank dalam menangani persoalan-persoalan terkait keamanan siber dan rutin melakukan assessment terhadap profil risiko IT bank. 

"Ahli IT OJK siap membantu bank dan rutin melakukan assessment terhadap profil risiko IT bank," katanya.

Dian menambahkan bahwa OJK juga sedang menambah kekuatan expert IT melalui perekrutan tenaga tambahan untuk memastikan bahwa tidak akan terjadi hal-hal yang tidak diinginkan pada sistem cyber. "Kami sedang terus menambah kekuatan expert IT melalui perekrutan tenaga tambahan untuk memastikan keamanan sistem cyber," tambahnya.

Dengan berbagai langkah tersebut, OJK berharap bisa meningkatkan ketahanan siber di sektor perbankan dan mengurangi risiko serangan siber yang dapat merugikan nasabah dan stabilitas sistem keuangan. 

"Kami berharap dapat meningkatkan ketahanan siber di sektor perbankan dan mengurangi risiko serangan yang merugikan," pungkas Dian.

Langkah Bank Digital untuk Lindungi Data Nasabah

Terkait dengan adanya pembobolan terhadap 112 rekening nasabahnya, Marchelo, Corporate Communication Bank Jago, menyatakan bahwa keamanan dana dan data nasabah merupakan prioritas utama bagi perusahaan. 

"Kami menerapkan proses manajemen risiko dan strategi anti-fraud sebagai langkah mitigasi atas tindakan penyimpangan yang dilakukan pihak internal maupun eksternal," ujar Marchelo melalui pernyataan resmi kepada awak media, Kamis, 11 Juli 2024.

Sama halnya dengan Bank Jago, PT Krom Bank Indonesia Tbk (BBSI) pun menyiapkan mitigasi-mitigasi yang perlu dicanangkan dalam rangka menjaga data nasabah.

Presiden Direktur BBSI, Anton Hermawan, memaparkan berbagai strategi yang telah diterapkan oleh bank ini untuk mengamankan data dan sistem mereka.

Anton Hermawan menjelaskan, keamanan di bank dibagi menjadi dua aspek utama: aspek standar dan aspek kerentanan institusi. Menurutnya, aspek standar mencakup berbagai tindakan dasar yang dilakukan untuk melindungi data bank. 

"Keamanan bank akan sangat kita jaga melalui atribusi data. Mengenai bagaimana cara kita memanajemen data, data backupnya ada di mana, dan bagaimana cara menaikkannya kembali jika ada masalah," ungkap Anton dalam acara diskusi bersama media beberapa waktu lalu.

BBSI telah mengadopsi teknologi cloud untuk penyimpanan data, dengan menggunakan layanan dari Amazon Web Services (AWS). 

"Di Krom, kita sudah menggunakan data di cloud. Cloud-nya ada di AWS. Dari situ, berarti keamanan kita sudah ada yang menjaga dan mengurus dengan baik," jelas Anton. 

Penggunaan teknologi cloud ini dinilai mampu meningkatkan tingkat keamanan data, sekaligus memberikan kemudahan dalam manajemen dan pemulihan data.

Selain itu, BBSI juga menerapkan berbagai langkah proteksi untuk penggunaan aplikasi. Anton menyebutkan adanya enkripsi data dan penggunaan password sebagai bagian dari protokol keamanan standar. 

"Kita tentu saja ada enkripsi data, ada password, dan sebagainya. Itu yang standar semua," tambahnya.

Anton menyoroti bahwa banyak institusi di Indonesia yang rentan terhadap serangan ini akibat kebocoran atau celah yang ada pada perangkat pengguna atau karyawan. 

"Satu hal yang sangat kami perhatikan sekarang itu adalah bagaimana caranya kita mengamankan akses pengguna tersebut oleh pihak luar, dan akses dari pengguna atau karyawan kami ke dalam sistem kami," ujarnya.

Untuk mengatasi tantangan ini, BBSI telah mengambil langkah-langkah penting dalam mengamankan akses perangkat yang digunakan oleh karyawan mereka. Anton menjelaskan bahwa bank ini sangat memperhatikan bagaimana karyawan dapat mengakses perangkat mereka, baik itu laptop maupun PC, serta apa yang bisa mereka akses dari luar. 

"Bagaimana caranya mengakses file-file yang tidak seharusnya diakses, dan sebagainya itu kita sangat jaga," tegasnya.

Selain itu, BBSI juga aktif melakukan sosialisasi mengenai keamanan kepada karyawan mereka. Menurut Anton, penting bagi karyawan untuk sadar akan kelemahan yang ada pada perangkat mereka. "Itulah sebabnya kita juga melakukan pengetesan dan sebagainya," jelasnya.

Untuk memastikan standar keamanan yang tinggi, BBSI mengadopsi standar ISO 27001 dalam sistem manajemen keamanan informasi mereka. "Jadi, semuanya diatur. Bahkan akses pintu pun, akses fisik kita atur," kata Anton.