Celah Siber Masih Terbuka, Pengamat Dorong Industri BPD Perkuat Sistem IT

Poin Penting

• Lemahnya kontrol akses, monitoring belum real-time, dan pengawasan vendor jadi titik rawan industri BPD meski sudah diatur OJK dan BI
• Regulasi setara untuk semua bank, namun BPD kerap tertinggal dari sisi anggaran, SDM, dan infrastruktur keamanan
• Bank wajib mengganti kerugian jika lalai, serta segera aktifkan crisis management dan transparansi untuk jaga kepercayaan.

Jakarta – Pengamat Perbankan dan Praktisi Sistem Pembayaran Arianto Muditomo, menilai celah tata kelola teknologi informasi (TI) dan ketahanan siber masih menjadi titik rawan dalam industri perbankan, termasuk di bank pembangunan daerah (BPD), menyusul gangguan layanan digital yang melanda Bank Jambi. 

Menurutnya, meski regulasi telah mengatur secara ketat, implementasi di lapangan dinilai belum sepenuhnya matang.

Ia menjelaskan, dalam perspektif tata kelola sebagaimana diatur dalam Otoritas Jasa Keuangan (OJK) melalui POJK 11/POJK.03/2022 dan SEOJK 29/SEOJK.03/2022, terdapat sejumlah celah yang kerap dimanfaatkan dalam insiden siber.

“Celah yang paling sering dimanfaatkan adalah lemahnya pengawasan akses (privileged access management), kurangnya segregasi tugas antara pengembang dan operator sistem, monitoring transaksi yang belum real-time, serta pengujian keamanan yang tidak rutin dan independent,” ujar Arianto, saat dihubungi Infobanknews, Senin, 23 Februari 2026.

Selain itu, kegagalan dalam pengelolaan risiko pihak ketiga, khususnya vendor TI, serta kurang disiplin dalam penerapan incident response framework juga menjadi titik rawan.

Lebih lanjut, regulasi dari Bank Indonesia (BI) melalui PBI 2/2024 tentang Keamanan Sistem Informasi dan Ketahanan Siber, sebenarnya telah menekankan pentingnya tata kelola (governance), pengendalian preventif, serta rencana pemulihan (recovery plan).

“Jika aspek ini tidak matang, maka serangan akan lebih mudah menembus lapisan pertahanan bank,” ujarnya.

Baca juga: Ombudsman Dukung Bank Jambi Tingkatkan Layanan Digital dan Perlindungan Nasabah

Standar Setara, Implementasi Berbeda

Secara regulasi, Arianto menegaskan tidak ada perbedaan standar antara bank nasional dan bank daerah. Seluruh bank wajib mematuhi POJK terkait TI dan keamanan siber, serta ketentuan BI mengenai ketahanan sistem pembayaran.

Namun dalam praktiknya, bank daerah kerap menghadapi keterbatasan anggaran, sumber daya manusia (SDM) keamanan siber, serta tingkat kematangan tata kelola TI dibandingkan bank nasional besar yang telah memiliki Security Operation Center (SOC) 24 jam dan investasi keamanan berlapis.

“Artinya, kewajiban regulasinya setara. Tetapi tingkat kematangan implementasi atau cyber maturity level bisa berbeda. Ini yang sering menjadi celah dalam konteks risiko operasional dan reputasi,” ujarnya.

Tanggung Jawab Ganti Rugi

Terkait perlindungan nasabah, Arianto merujuk pada prinsip perlindungan konsumen dalam POJK Perlindungan Konsumen Sektor Jasa Keuangan serta kewajiban pengendalian risiko TI dalam POJK 11/2022.

Menurut dia, bank bertanggung jawab mengganti kerugian apabila terbukti kerugian terjadi akibat kelemahan sistem, kelalaian pengamanan, atau kegagalan pengendalian internal.

Namun, apabila investigasi forensik membuktikan adanya kelalaian nasabah—misalnya secara sadar memberikan kode OTP—maka tanggung jawab dapat bersifat proporsional.

“Proses investigasi, pembuktian transaksi, dan penyelesaian pengaduan wajib dilakukan secara transparan dan terdokumentasi sesuai standar regulator,” kata Arianto.

Baca juga: Dana Nasabah Dibobol, Bank Jambi Pastikan Ganti Kerugian Nasabah

Langkah Mendesak Manajemen

Ia menekankan, manajemen bank yang tengah menghadapi gangguan sistem harus segera mengaktifkan crisis management protocol sesuai kerangka incident response dalam POJK TI dan SEOJK keamanan siber.

Langkah tersebut meliputi isolasi sistem terdampak, audit forensik independen, pelaporan kepada OJK, serta koordinasi dengan BI apabila menyangkut sistem pembayaran. 

Selain itu, bank wajib memastikan rencana kesinambungan bisnis (Business Continuity Plan/BCP) dan Disaster Recovery Plan (DRP) berjalan efektif.

Dari sisi komunikasi, Arianto menilai transparansi menjadi kunci menjaga kepercayaan publik. Bank perlu membuka kanal pengaduan khusus dan menyampaikan komitmen penggantian dana jika terbukti terjadi kesalahan sistem.

“Kecepatan respons dan transparansi yang konsisten dengan prinsip tata kelola menjadi kunci utama menjaga trust,” ujarnya.

Perlu Penguatan Pengawasan Berbasis Risiko

Secara normatif, Arianto menilai regulasi yang ada sudah komprehensif dan berlaku setara bagi seluruh bank. Karena itu, yang lebih mendesak bukan pembentukan aturan baru, melainkan penguatan implementasi serta pengawasan kepatuhan, termasuk penilaian tingkat kematangan keamanan siber secara berkala.

Ia menambahkan, regulator dapat mempertimbangkan pendekatan risk-based supervision yang lebih ketat bagi bank dengan tingkat kematangan rendah, seperti kewajiban minimum investasi keamanan TI, keharusan memiliki SOC terintegrasi, atau pengembangan shared security framework antar-BPD.

“Pendekatannya bukan diskriminatif, melainkan berbasis profil risiko sebagaimana prinsip manajemen risiko dalam POJK dan PBI yang berlaku,” pungkasnya. (*)

Editor: Galih Pratama