Poin Penting
- Industri keuangan dinilai tak cukup hanya fokus pada keamanan siber, tetapi harus membangun ketahanan atau cyber resilience.
- Adopsi cloud dan meningkatnya risiko pihak ketiga menciptakan tantangan baru bagi sektor jasa keuangan.
- Serangan siber dinilai dapat memicu krisis kepercayaan nasabah hingga risiko sistemik di industri keuangan.
Jakarta – Industri jasa keuangan dinilai harus mengubah pendekatan dalam menghadapi ancaman siber. Jika sebelumnya fokus utama hanya pada keamanan sistem atau cybersecurity, kini sektor keuangan didorong membangun ketahanan siber atau cyber resilience agar mampu bertahan dan pulih cepat saat serangan terjadi.
Hal tersebut disampaikan Ketua Audit Committee Institute of Internal Auditors Indonesia, Agustinus Nicholas Tobing, dalam paparan mengenai strategi ketahanan siber di industri jasa keuangan.
Menurut Agustinus, ancaman siber di sektor keuangan terus meningkat seiring pesatnya digitalisasi, penggunaan ruang penyimpanan online (cloud storage/cloud), hingga keterlibatan vendor pihak ketiga.
Baca juga: ISACA: Strategi Keamanan Siber Harus Selaras dengan Risiko dan Kebutuhan Bisnis
Agustinus mengatakan sektor keuangan selalu menjadi target utama serangan siber karena berkaitan langsung dengan kepercayaan publik.
Ia mencontohkan sejumlah kasus besar, mulai dari peretasan platform kripto hingga serangan ransomware yang dipicu kebocoran satu kredensial VPN.
“Begitu nasabah itu merasa tidak aman, akan ada penurunan trust. Nah, kalau penurunan trust itu risikonya sistemik atau contagion,” ujarnya, dalam webinar tentang “Strategi Meningkatkan Keamanan Ketahanan Siber di Sektor Jasa Keuangan” yang digelar Otoritas Jasa Keuangan (OJK), Kamis, 21 Mei 2026.
Ia menilai regulator kini tidak hanya menuntut kepatuhan administratif, tetapi juga meminta bukti bahwa institusi keuangan benar-benar mampu mengelola dan memitigasi risiko siber.
Karena itu, berbagai aturan seperti POJK 11 dan SEOJK 29 dinilai menjadi kewajiban yang harus dijalankan secara nyata, bukan sekadar formalitas di atas kertas.
Baca juga: OJK: Ancaman Siber Kini Menjadi Risiko Strategis Sektor Jasa Keuangan
Dalam paparannya, Agustinus menyoroti perubahan paradigma dari sekadar “security” menuju “resilience”.
Menurutnya, pendekatan lama terlalu fokus pada pemasangan kontrol keamanan dan asumsi bahwa serangan bisa dicegah sepenuhnya. Padahal, ancaman siber terus berkembang dan pelaku serangan semakin canggih.
“Resiliensi itu outcome, security adalah caranya,” katanya.
Ia menjelaskan perusahaan kini harus memiliki kemampuan mendeteksi, merespons, hingga memulihkan sistem dengan cepat ketika serangan terjadi.
Konsep tersebut mencakup pengujian berkelanjutan, simulasi serangan siber, hingga pengukuran indikator seperti Mean Time to Detect (MTTD), Mean Time to Respond (MTTR), Recovery Time Objective (RTO), dan Recovery Point Objective (RPO).
Cloud jadi Simpul Risiko Baru
Agustinus juga menyoroti tren adopsi cloud di sektor jasa keuangan yang dinilai membawa manfaat besar sekaligus risiko baru.
Menurutnya, cloud menawarkan efisiensi, fleksibilitas, hingga kemampuan pemulihan sistem yang lebih cepat melalui konsep active-active data center dan immutable backup.
Namun, ia mengingatkan cloud bukan jaminan otomatis terhadap ketahanan siber.
“Cloud itu cuma enabler resiliensi jika dilakukan dengan benar,” tegasnya.
Baca juga: Cara Orkestrasi Sistem Bisnis di Era AI dan Hybrid Cloud
Ia mengingatkan risiko salah konfigurasi atau misconfiguration tetap menjadi ancaman besar jika tata kelola dan pengawasan tidak dilakukan dengan baik.
Dalam model cloud, lanjutnya, tanggung jawab keamanan dibagi antara penyedia layanan cloud dan pengguna. Karena itu, perusahaan keuangan tetap wajib memahami pengelolaan data, pengaturan akses, hingga kebijakan penyimpanan data sesuai regulasi.
Internal Audit Harus Pahami Siber dan Cloud
Agustinus juga menekankan pentingnya peningkatan kompetensi auditor internal dalam memahami risiko siber dan teknologi cloud.
Ia memperkenalkan framework IIA Cybersecurity Topical Requirement (TR) yang dirilis pada Februari 2024 sebagai baseline audit keamanan siber.
Framework tersebut mencakup tiga pilar utama, yakni tata kelola (governance), manajemen risiko (risk management), dan kontrol (controls).
Baca juga: BSSN Tegaskan Blueprint Nasional Keamanan Siber Bisa Diadopsi Seluruh Industri
Menurutnya, auditor internal kini tidak cukup hanya memahami aspek akuntansi atau kepatuhan, tetapi juga harus menguasai teknologi seperti cloud, kecerdasan buatan atau artificial intelligence (AI), hingga praktik keamanan siber modern.
“Internal audit itu bukan cuma basic accounting. Saya akuntan, tapi saya ngerti cloud,” ujarnya.
Ia pun mendorong industri jasa keuangan untuk terus melakukan simulasi serangan siber, pengujian disaster recovery, serta membangun kolaborasi lintas divisi agar mampu menghadapi ancaman digital yang semakin kompleks. (*)
