Ilustrasi: serangan siber. Foto: istimewa)
Poin Penting
Jakarta – Pengamat Perbankan dan Praktisi Sistem Pembayaran Arianto Muditomo, menilai celah tata kelola teknologi informasi (TI) dan ketahanan siber masih menjadi titik rawan dalam industri perbankan, termasuk di bank pembangunan daerah (BPD), menyusul gangguan layanan digital yang melanda Bank Jambi.
Menurutnya, meski regulasi telah mengatur secara ketat, implementasi di lapangan dinilai belum sepenuhnya matang.
Ia menjelaskan, dalam perspektif tata kelola sebagaimana diatur dalam Otoritas Jasa Keuangan (OJK) melalui POJK 11/POJK.03/2022 dan SEOJK 29/SEOJK.03/2022, terdapat sejumlah celah yang kerap dimanfaatkan dalam insiden siber.
“Celah yang paling sering dimanfaatkan adalah lemahnya pengawasan akses (privileged access management), kurangnya segregasi tugas antara pengembang dan operator sistem, monitoring transaksi yang belum real-time, serta pengujian keamanan yang tidak rutin dan independent,” ujar Arianto, saat dihubungi Infobanknews, Senin, 23 Februari 2026.
Selain itu, kegagalan dalam pengelolaan risiko pihak ketiga, khususnya vendor TI, serta kurang disiplin dalam penerapan incident response framework juga menjadi titik rawan.
Lebih lanjut, regulasi dari Bank Indonesia (BI) melalui PBI 2/2024 tentang Keamanan Sistem Informasi dan Ketahanan Siber, sebenarnya telah menekankan pentingnya tata kelola (governance), pengendalian preventif, serta rencana pemulihan (recovery plan).
“Jika aspek ini tidak matang, maka serangan akan lebih mudah menembus lapisan pertahanan bank,” ujarnya.
Baca juga: Ombudsman Dukung Bank Jambi Tingkatkan Layanan Digital dan Perlindungan Nasabah
Secara regulasi, Arianto menegaskan tidak ada perbedaan standar antara bank nasional dan bank daerah. Seluruh bank wajib mematuhi POJK terkait TI dan keamanan siber, serta ketentuan BI mengenai ketahanan sistem pembayaran.
Namun dalam praktiknya, bank daerah kerap menghadapi keterbatasan anggaran, sumber daya manusia (SDM) keamanan siber, serta tingkat kematangan tata kelola TI dibandingkan bank nasional besar yang telah memiliki Security Operation Center (SOC) 24 jam dan investasi keamanan berlapis.
“Artinya, kewajiban regulasinya setara. Tetapi tingkat kematangan implementasi atau cyber maturity level bisa berbeda. Ini yang sering menjadi celah dalam konteks risiko operasional dan reputasi,” ujarnya.
Terkait perlindungan nasabah, Arianto merujuk pada prinsip perlindungan konsumen dalam POJK Perlindungan Konsumen Sektor Jasa Keuangan serta kewajiban pengendalian risiko TI dalam POJK 11/2022.
Menurut dia, bank bertanggung jawab mengganti kerugian apabila terbukti kerugian terjadi akibat kelemahan sistem, kelalaian pengamanan, atau kegagalan pengendalian internal.
Namun, apabila investigasi forensik membuktikan adanya kelalaian nasabah—misalnya secara sadar memberikan kode OTP—maka tanggung jawab dapat bersifat proporsional.
“Proses investigasi, pembuktian transaksi, dan penyelesaian pengaduan wajib dilakukan secara transparan dan terdokumentasi sesuai standar regulator,” kata Arianto.
Baca juga: Dana Nasabah Dibobol, Bank Jambi Pastikan Ganti Kerugian Nasabah
Ia menekankan, manajemen bank yang tengah menghadapi gangguan sistem harus segera mengaktifkan crisis management protocol sesuai kerangka incident response dalam POJK TI dan SEOJK keamanan siber.
Langkah tersebut meliputi isolasi sistem terdampak, audit forensik independen, pelaporan kepada OJK, serta koordinasi dengan BI apabila menyangkut sistem pembayaran.
Selain itu, bank wajib memastikan rencana kesinambungan bisnis (Business Continuity Plan/BCP) dan Disaster Recovery Plan (DRP) berjalan efektif.
Dari sisi komunikasi, Arianto menilai transparansi menjadi kunci menjaga kepercayaan publik. Bank perlu membuka kanal pengaduan khusus dan menyampaikan komitmen penggantian dana jika terbukti terjadi kesalahan sistem.
“Kecepatan respons dan transparansi yang konsisten dengan prinsip tata kelola menjadi kunci utama menjaga trust,” ujarnya.
Secara normatif, Arianto menilai regulasi yang ada sudah komprehensif dan berlaku setara bagi seluruh bank. Karena itu, yang lebih mendesak bukan pembentukan aturan baru, melainkan penguatan implementasi serta pengawasan kepatuhan, termasuk penilaian tingkat kematangan keamanan siber secara berkala.
Ia menambahkan, regulator dapat mempertimbangkan pendekatan risk-based supervision yang lebih ketat bagi bank dengan tingkat kematangan rendah, seperti kewajiban minimum investasi keamanan TI, keharusan memiliki SOC terintegrasi, atau pengembangan shared security framework antar-BPD.
“Pendekatannya bukan diskriminatif, melainkan berbasis profil risiko sebagaimana prinsip manajemen risiko dalam POJK dan PBI yang berlaku,” pungkasnya. (*)
Editor: Galih Pratama
Poin Penting Purbaya Yudhi Sadewa memperpanjang penempatan dana pemerintah Rp200 triliun di bank BUMN hingga… Read More
Poin Penting Allianz Life Indonesia, HSBC Indonesia, dan AllianzGI Indonesia meluncurkan Smartwealth Dollar Equity Global… Read More
Poin Penting Menag Nasaruddin Umar melaporkan penggunaan jet pribadi ke KPK sebagai bentuk transparansi dan… Read More
Poin Penting IHSG menguat 1,50 persen ke level 8.396,08 pada Senin (23/2/2026), dengan 468 saham… Read More
Poin Penting KPK menyatakan Menag Nasaruddin Umar bebas sanksi pidana karena melaporkan dugaan gratifikasi jet… Read More
Poin Penting E-wallet berkembang optimal melalui kolaborasi lintas platform dan bukan sekadar transformasi menjadi super… Read More