Mohamad Miftah

Direktur Penelitian, Departemen Penelitian dan

Keamanan Siber di Pengaturan Perbankan
Otoritas Jasa Keuangan

Industri Perbankan Disampaikan dalam Virtual Forum

“When Security Becomes a High Priority”
Webinar Katadata X DELL

Jakarta, 12 Januari 2022

AGENDA
KONDISI KEAMANAN SIBER
GLOBAL & NASIONAL

KERANGKA KEBIJAKAN
KEAMANAN SIBER DI INDUSTRI
PERBANKAN
KONDISI KEAMANAN
SIBER GLOBAL &
NASIONAL

3
 PERKEMBANGAN INDUSTRI KEUANGAN DIGITAL 4
di ASEAN dan kejahatan siber
SEA internet economies, by GMV ($B)
160
146
140

120 Di tengah proyeksi

100 kenaikan ekonomi
dan keuangan digital,
US$ billion

ancaman keamanan
80 70

siber menimbulkan
56 57
60
47
risiko besar bagi
40 40
40 35
27 30
21
17
13 11 15 16
20
16
21 bisnis perbankan
20 11 14 12
7 9
digital di beberapa
0
Indonesia Malaysia Philippines Singapore Thailand Vietnam tahun mendatang….
2019 2020 2021 2025

Digital financial services revenue (US$B)

10 9
9 8,6 8,6
8
7
US$ billion

6
4,7
5 4 3,8
4 2,9
3 2,4
1,5 1,7
2 1
1 0,5
0
Indonesia Malaysia Philippines Singapore Thailand Vietnam

2019 2025

Sumber: : Euromonitor; GlobalData; Google, Bain dan Temasek (2021 Sumber: : PwC Indonesia Banking Survey (February dan Juli 2018)
 Insiden siber di sektor jasa keuangan 5

Cyber risks are the "new threat to financial stability“ – International Monetary Fund (2020)
Estimasi total kerugian rata-rata tahunan yang dialami sektor jasa
$100 Miliar keuangan secara global yang disebabkan oleh serangan siber (IMF)
• Ransomware attack terhadap Banco Estado di Chile
mengakibatkan bank harus menutup operasional kantor
• Serangan malware pada sistem SWIFT City secara nasional selama 1 hari
Union Bank mengakibatkan kerugian sebesar • Scam terhadap email system Norfund (investment fund)
$2 juta di Norwegia mengakibatkan kerugian sebesar $10 juta
• Malware pada sistem kartu kredit bank Cosmos • Data breach atas lebih dari 200.000 kartu kredit dari bank
Bank mengakibatkan kerugian sebesar $13,5 besar di Asia Tenggara (Singapura, Malaysia, Filipina,
juta Thailand, Vietnam, Indonesia)

2018 2019 2020 2021

• Data breach terhadap 3 Bank terbesar di Iran • Ransomware attack terhadap CAN Insurance, salah satu
(Mellat, Tejarat, Sarmayeh), 15 juta kartu debit insurtech terbesar di Amerika yang mengganggu
dipublikasikan di sosial media operasional perusahaan selama 3 hari
• Bank Metro UK menjadi bank besar pertama • Data breach terhadap 10.000 data American Express
yang menerima serangan siber atas 2-factor yang dipublikasikan online
authentication
Sumber: BIS (2019) and Carnegie – Timeline of Cyber Incidents Involving FI (2021), IMF
 Statistik serangan siber global 6

Serangan siber pada top 10

Attacks on Top 10 Industries Globally industri di tahun 2020 terjadi di
Media
Kesehatan
Pemerintahan
23% sektor Keuangan. Manufaktur di
peringkat kedua (17,7%) dan sektor
Energi di peringkat ketiga (10,2%)
Retail
Energi
Serangan siber pada
Serangan siber
Manufaktur
Keuangan 28 %
industri keuangan
adalah server access 10 % berupa
0% 5% 10% 15% 20% 25% attack ransomware

Top Attack Types (2020 v 2019)

Other ASEAN Data Breach Cost
RAT

Server Access $123 M 21.6 TB

Ransomware Keuntungan dan data yang
diperoleh Pelaku Ransomware
0% 10% 20% 30% 40% 50% $2.6 M REvil
2019 2020

Sumber: IBM Security X-Force (2021)

 INSIDEN SERANGAN SIBER INDONESIA 7

Serangan Siber di Indonesia

Serangan Siber berdasarkan Sektor (2021)

Transportasi 10,1%
2018 2019 2020
Telekomunikasi 10,4% 232,4 juta 290,3 juta 495,3 juta
Penegakan Hukum 10,1%

Pemerintah 45,5% 927 juta Anomali Trafik/Serangan Siber

(Januari – September 2021)

Keuangan 21,8% Jumlah serangan siber di Indonesia (2021)

mengalami peningkatan hampir 2 kali lipat
BUMN Lainnya 2,1%

Kategori Anomali Trafik/Serangan Siber terbanyak (2021)

Sektor keuangan menempati posisi kedua sebagai
Ransomware (malware dengan
target serangan siber, setelah pada tahun 2020 berada di Malware
tebusan)
posisi pertama. Meskipun menduduki posisi kedua, secara Denial of Service
umum, gangguan dan kerugian yang ditimbulkan dari
Trojan Activity Data Leaks
serangan siber di sektor keuangan masih menempati
posisi tertinggi.
Sumber: BSSN
KEBIJAKAN OJK UNTUK
MENDUKUNG KEAMANAN
SIBER PERBANKAN

8
 Regulasi TERKAIT keamanan siber di perbankan 9
indonesia
BANK UMUM BPR/BPRS

POJK & SEOJK Manajemen Risiko Teknologi Informasi POJK & SEOJK Standar Penyelenggaraan Teknologi Informasi bagi BPR/BPRS

PENERAPAN MR TEKNOLOGI INFORMASI

RUANG LINGKUP PENYELENGGARAAN TEKNOLOGI INFORMASI
Kecukupan
Pengawasan Kebijakan, Proses Sistem
Aktif Direksi Standar, dan Manajemen Pengendalian dan
Audit Intern atas
dan Dewan Prosedur Risiko WEWENANG DAN TANGGUNG JAWAB TERKAIT
Penggunaan Penyelenggaraan
Komisaris terkait TI PENYELENGGARAAN TEKNOLOGI INFORMASI
TI TI

PENYELENGGARAAN TI KEBIJAKAN DAN PROSEDUR PENYELENGGARAAN TEKNOLOGI

Pusat Data (Data Center)
dan Pusat Pemulihan
Bencana (Disaster
Recovery Center)
INFORMASI
Penyelenggaraan
Penyediaan Jasa
Transaksi TI oleh
Pihak Penyedia Jasa TI oleh Bank
PENYELENGGARAAN TEKNOLOGI INFORMASI BEKERJASAMA
DENGAN PENYEDIA JASA

LAYANAN PERBANKAN ELEKTRONIK*

PENGAMANAN PENYELENGGARAAN TEKNOLOGI INFORMASI,
Rencana Penerbitan Prinsip Pengendalian
Data dan Layanan TERMASUK KERAHASIAAN DATA PRIBADI NASABAH
Produk Elektronik

PELAPORAN
FUNGSI AUDIT INTERN PENYELENGGARA TEKNOLOGI INFORMASI
Laporan Pemohonan Persetujuan dan
Laporan TI Insidentil Laporan Realisasi
 MANAJEMEN RISIKO TEKNOLOGI INFORMASI - 10
Pengamanan Data & Informasi

Authentication

AUTHENTICATION

AUTHORIZATION
INTERNET BANKING

MOBILE BANKING

CORE BANKING
OPEN API
SYSTEM

POJK No.12/POJK.03/2018 tentang Penyelenggaraan Layanan Perbankan Digital oleh Bank

Umum
• Pasal 11 : Dalam melakukan verifikasi atas informasi dan dokumen pendukung nasabah atau
calon nasabah Bank wajib menerapkan paling sedikit 2 faktor keaslian (2 factor authentication)
• Pasal 15 ayat (5) : Bank wajib menerapkan paling sedikit 2 (dua) faktor keaslian (two factor
authentication) untuk verifikasi transaksi keuangan pada layanan transaksional

POJK No.38/POJK.03/2016 tentang Penerapan Manajemen Risiko Dalam Penggunaan TI oleh Bank Umum
• Pasal 11 : Dalam melakukan pengembangan dan pengadaan TI, Bank wajib melakukan langkah pengendalian untuk memastikan
sistem dan data terjaga kerahasiaan dan integrasi serta mendukung pencapaian tujuan Bank.
• Pasal 13 : Bank wajib menyediakan jaringan komunikasi yang memenuhi prinsip kerahasiaan (confidentiality), integritas (integrity),
dan ketersediaan (availability).
 Antisipasi oleh regulator dalam memperkuat keamanan siber 11

AKSELERASI CETAK BIRU

TRANSFORMASI TRANSFORMASI
DIGITAL
DIGITALISASI
DIGITAL
PERBANKAN Risiko Siber

PERBANKAN Implementasi transformasi digitalisasi perbankan perlu dilakukan untuk memenuhi ekspektasi
stakeholders serta menyesuaikan perkembangan ekonomi digital yang pesat, namun demikian juga
dapat meningkatkan kerentanan Bank terhadap insiden siber.
dalam Roadmap
Pengembangan Perbankan
Indonesia
(RP2I)

Cybersecurity
merupakan salah satu
sub-pilar Manajemen
Risiko dalam Cetak
Biru Transformasi
Digital Perbankan
Kerangka keamanan siber bank umum 12

CYBER SECURITY MANAGEMENT

Gambaran dan panduan bagi bank dalam mengelola risiko
keamanan siber berupa aspek-aspek manajemen risiko
keamanan siber yang telah disesuaikan dengan kerangka
manajemen risiko bagi bank umum.
Cyber
Security
Bank CYBER SECURITY EXERCISE
Pelaksanaan pengujian sistem ketahanan dan
Umum keamanan bank secara terukur untuk memastikan
kecukupan pertahanan bank dalam menghadapi
ancaman dan serangan siber.

CYBER SECURITY REPORTING

kerangka pelaporan terkait keamanan siber berupa
laporan insiden siber dan laporan penerapan manajemen
risiko siber secara lengkap, akurat, kini, dan utuh.

Consultative Paper berisi standar minimal yang harus

dipenuhi oleh Bank dalam menerapkan manajemen
risiko keamanan siber.
 GAMBARAN UMUM CONSULTATIVE PAPER MR KEAMANAN SIBER 13

• NIST Framework for Improving Cybersecurity

• NIST Risk Management Framework
• Federal Financial Institutions Examination Council
(FFIEC) – Cybersecurity Assessment Tool
• ISO 27032 Guidelines for Cybersecurity
• FSB – Cyber Incident Response and Recovery

Manajemen • Gambaran umum ancaman keamanan siber, termasuk

Risiko GAMBARAN bentuk ancaman dan dampak dari kejadian risiko
Keamanan UMUM keamanan siber
Siber • Tata kelola keamanan siber serta peningkatan
kesadaran dan edukasi pengguna dan pelanggan
• Kerangka dan proses penilaian risiko keamanan siber

• Pengujian ketahanan keamanan siber

• Skema pelaporan bank umum kepada OJK, mencakup
laporan penilaian sendiri (self assessment) dan Laporan
Insiden Siber
 14

ASPEK MANAJEMEN
RISIKO KEAMANAN
SIBER
 Kolaborasi antar lembaga terkait keamanan siber 15

REGULATOR ANTAR BANK PENYEDIA JASA APARAT PENEGAK

TELEKOMUNIKASI HUKUM

Koordinasi pengaturan dan Edukasi dan Sosialisasi

pengawasan Internalisasi budaya dan
Harmonisasi kebijakan keamanan peningkatan awareness keamanan
siber di sektor jasa keuangan siber di seluruh lapisan organisasi

Information sharing Incident handling

Pertukaran informasi antar Kolaborasi antar Lembaga dalam
Lembaga jasa keuangan penanganan insiden siber
TERIMA
KASIH