Oleh Eko B. Supriyanto, Pimpinan Redaksi Infobank Media Group
PARA “pembegal” digital terus beraksi. Sektor perbankan yang pertama “digangsir” para “penggangsir” digital. Kini, ketika bank sudah sedikit “siap”, para “tuyul” rekening ini meneruskan aksinya di pasar modal. Perusahan sekuritas satu per satu mulai diretas para cyber heist ini. Kondisinya sudah darurat. Selain karena sistem keamanan siber (cyber) yang belum mumpuni, kesadaran akan keamanan siber belum terlihat, dan cenderung ditutup-tutupi.
Hari-hari ini ada 93 perusahaan sekuritas yang “deg-degan” akan serangan siber ini. Pasar modal memang terus berkembang. Jumlah perusahaan yang melantai di bursa pun terus bertambah, dan tentu juga jumlah investornya. Menurut catatan Biro Riset Infobank (birI), mengambil data dari Bursa Efek Indonesia (BEI), terdapat sebanyak 17 juta investor yang melantai di bursa tahun ini. Ada kenaikan sekitar 2 juta investor jika dibandingkan dengan akhir 2024 lalu. Kenaikan jumlah investor yang 11 persen itu, selain karena investasi saham dinilai menjanjikan, juga dipicu oleh kemudahan transaksi saham secara online.
Namun, jika mencermati geliat pasar modal Indonesia belakangan ini, ada sebuah paradoks yang mencemaskan. Di satu sisi, teknologi digital telah mendemokratisasi akses investasi, membawa gelombang investor ritel baru yang menyegarkan. Para investor muda pun seperti sedang mengikuti tren investasi di saham yang terus meningkat. Kondisi ini diperkirakan akan terus berkembang sejalan dengan kemudahan transaksi dan berkembangnya pasar modal.
Tapi, di lain sisi, di balik kemudahan dan kecepatan transaksi yang ditawarkan oleh platform online dan mobile trading itu tersembunyi sebuah lubang hitam bahaya yang kian menganga. Rentetan peristiwa kejahatan siber (cybercrime) pada sektor sekuritas sepanjang 2025, sebagaimana terdata, bukanlah insiden yang terisolasi. Ini adalah gejala akut dari sebuah sistem yang belum sepenuhnya siap menghadapi kompleksitas ancaman di era digital.
Data yang bermunculan ibarat puncak gunung es. Yang tampak di permukaan sudah cukup merisaukan. Namun, yang tenggelam di bawahnya mungkin lebih besar lagi. Simak beberapa kasus. Satu, kasus Trimegah Sekuritas dan Panca Global Sekuritas menyoroti kerentanan yang fundamental: rekening dana nasabah (RDN). RDN adalah urat nadi transaksi, penghubung dunia perbankan dengan pasar modal. Eksploitasi terhadapnya menunjukkan bahwa pelaku kejahatan telah berhasil menembus lapisan keamanan dan memanipulasi proses transfer dana.
Nah, yang patut dikritisi di sini adalah efektivitas protokol keamanan yang diterapkan. Bagaimana mungkin dana dalam jumlah besar dapat dialihkan tanpa adanya mekanisme double-check atau multi-factor authentication yang ketat? Pernyataan pihak BCA dalam kasus Panca Global yang “membantah” adanya kebocoran dari sisi mereka justru mengindikasikan sebuah polemik: adanya potensi gap koordinasi dan lemahnya integrasi sistem antara sekuritas dan bank kustodian. Ini adalah kegagalan sistemis, bukan sekadar kelalaian individu.
Dua, maraknya kasus account takeover di perusahaan sekuritas besar seperti Mirae Asset dan Sinarmas menunjukkan bahwa ancaman tidak selalu datang dari hacking sistem yang canggih, tapi sering kali dari social engineering yang menargetkan psikologi pengguna. Pelaku memanfaatkan kelengahan nasabah melalui phishing, iming-iming investasi bodong, atau malware yang mencuri kredensial.
Jelas, fenomena ini menempatkan perusahaan sekuritas pada posisi dilematis. Di satu sisi, harus mempermudah akses bagi nasabah. Namun, di lain sisi, mereka juga harus memasang berbagai lapisan keamanan yang kadang dianggap merepotkan. Pertanyaannya, sudah cukup proaktifkah perusahaan sekuritas mengedukasi nasabah terkait keamanan siber? Jangan-jangan, mereka justru menempatkan tanggung jawab itu sepenuhnya pada nasabah dengan pernyataan force majeure di dalam terms and conditions?
Tiga, serangan yang dialami NH Korindo Sekuritas dan Mandiri Sekuritas membawa ancaman ke level yang berbeda. Ini bukan lagi menargetkan dana individu, melainkan melumpuhkan jantung operasional perusahaan. Ransomware yang membuat sistem tidak bisa beroperasi adalah pukulan telak terhadap reputasi dan kelangsungan usaha. Bayangkan, dalam hitungan jam, seluruh aktivitas trading terhenti. Kepercayaan publik, yang merupakan modal utama industri jasa keuangan, langsung tercabik.
Kejadian-kejadian itu mempertanyakan kesiapan business continuity plan (BCP) dan disaster recovery center (DRC) yang dimiliki perusahaan sekuritas. Seberapa tangguh infrastruktur IT mereka? Apakah investasi dalam teknologi cybersecurity sudah menjadi prioritas anggaran, atau masih dipandang sebagai biaya tambahan semata?
Itu sebabnya mitigasi risiko penting, agar para “pembegal” tak makin “brutal” menggangsir perusahaan sekuritas dan tentu memperburuk reputasi – tak hanya perusahaan sekuritas tapi juga perbankan yang menyimpan rekening dana nasabah.
Itulah pentingnya melakukan mitigasi risiko kejahatan siber (cybercrime) di industri sekuritas tidak bisa lagi dilakukan secara parsial oleh masing-masing perusahaan, tapi harus secara kolaboratif. Menurut Infobank Institute, paling tidak diperlukan tiga pilar utama dalam pendekatan kolaboratif.
Satu, regulator (OJK dan BEI). Regulator dengan regulasinya harus bergerak lebih cepat daripada kejahatan siber itu sendiri. OJK perlu menerbitkan pedoman teknis cybersecurity yang lebih spesifik, wajib, dan disertai dengan audit berkala yang ketat. Penguatan standar proteksi untuk RDN dan kewajiban memiliki DRC yang teruji harus menjadi syarat utama. Sanksi untuk pelanggaran harus dibuat sedemikian rupa agar ada efek jera (deterrent effect).
Dua, perusahaan sekuritas setidaknya melakukan investasi dalam teknologi keamanan siber (next-gen firewall, intrusion detection system, SIEM). Itu bukan lagi pilihan, melainkan keharusan. Selain itu, yang tak kalah penting adalah edukasi nasabah, pelatihan internal, dan transparansi komunikasi. Misalnya, ketika terjadi insiden, lakukan komunikasi secara cepat, jujur, dan transparan kepada nasabah dan regulator. Ini adalah kunci untuk mempertahankan kepercayaan.
Tiga, setiap investor harus menyadari bahwa mereka adalah garis pertahanan pertama. Mengamankan perangkat, tidak menggunakan kata sandi yang mudah ditebak, waspada terhadap tautan mencurigakan, dan mengaktifkan semua fitur keamanan yang disediakan oleh sekuritas adalah tanggung jawab individu yang tidak bisa diabaikan.
Harus diakui, gelombang kejahatan siber di industri sekuritas pada 2025 bukan sekadar sebuah wake-up call, tapi sudah masuk level “darurat”. Satu per satu perusahaan sekuritas diretas dan “digangsir” oleh para cyber heist ini.
Hal ini bukan hanya ujian kredibilitas untuk seluruh ekosistem pasar modal Indonesia, tapi sudah masuk kondisi darurat. Maka dari itu, semua pelaku bursa tidak bisa lagi berpangku tangan dan menganggapnya sebagai risiko biasa. Yang diperlukan sekarang adalah sebuah lompatan paradigma: dari sekadar mengadopsi teknologi, menjadi membangun ketangguhan digital (digital resilience) yang menyeluruh.
Sebab, kepercayaan investor adalah fondasi yang rapuh. Sekali hancur karena kelalaian kita dalam menjaga keamanan, akan sangat sulit dan mahal untuk memulihkannya kembali. Masa depan pasar modal Indonesia yang inklusif dan modern tergantung pada bagaimana kita menjawab tantangan yang genting ini. Apalagi, serangan siber terhadap perusahaan sekuritas sudah dalam status darurat. (*)
