Bank-bank di Asia perlu meningkatkan standar keamanan di tengah serangan siber
Bank perlu lebih dari sekedar perlindungan kata sandi dan pemeriksaan identitas statik
Setelah Singapura dipukul dengan serangan siber terbesar hingga saat ini dalam bentuk pelanggaran data SingHealth di mana informasi pribadi hampir 1,5 juta orang termasuk Perdana Menteri Lee Hsien Loong diakses secara ilegal, diskusi bergeser ke jenis data mana yang layak mendapatkan tingkat perlindungan terkuat. Tetapi sementara data kesehatan telah menjadi target utama bagi para hackers, kondisi bank-bank Asia masih tetap sangat rentan, terutama karena teknologi digital terus berkembang dengan cepat.
Ketika bank-bank di kawasan itu mengejar ketinggalan dengan negara-negara lain di dunia, mereka menyadari bahwa menjaga keamanan data adalah hal yang sulit dan membutuhkan upaya khusus dalam hal pengembangan dan strategi. Chief Identity Officer ThreatMetrix, Alisdair Faulkner mengatakan saat ini kita sekarang hidup di dunia pasca-pelanggaran di mana identitas digital telah dikompromikan dalam skala besar. Menurutnya, organisasi Perbankan, Layanan Keuangan, dan Asuransi harus menghadapi kenyataan bahwa ID pengguna, kata sandi, dan informasi pengenal pribadi lainnya bisa tersebar secara luas untuk penjahat siber yang mampu mencuri identitas untuk membuat akun palsu.
"Serangan phishing modern ditargetkan dengan sangat baik, bisa sulit dideteksi, dan bertujuan untuk memberikan izin luas kepada individu jahat atas data pengguna, perangkat pengguna, dan layanan online," kata Vice-President for Sales of Asia-Pacific and Japan (APJ) Bitglass, David Shephard. “Hari-hari skema phishing yang dasar telah berlalu. Saat ini serangan bergantung pada bentuk infiltrasi canggih yang lebih baik menyamarkan niat jahat, sehingga lebih banyak orang rentan terhadap serangan yang mengaburkan niat mereka. Bank-bank Asia mencatat hal ini."
Setelah serangan itu, Monetary Authority of Singapore (MAS) mendesak lembaga keuangan untuk menghindari ketergantungan pada informasi yang dicuri dari serangan SingHealth yang mencakup, nama, nomor NRIC, alamat, jenis kelamin, ras dan tanggal lahir, untuk memverifikasi identitas pelanggan.
Dalam langkah terbarunya untuk mencegah kecanggihan ancaman siber yang semakin meningkat, MAS telah mengusulkan untuk membuat langkah-langkah keamanan siber di bawah Pedoman Manajemen Risiko Teknologi yang mengikat secara hukum sebagai bagian dari standar kebersihan dasar untuk keamanan siber.
"Menaikkan langkah-langkah ini ke dalam persyaratan yang mengikat secara hukum membutuhkan institusi keuangan untuk fokus dan memastikan langkah-langkah ini diterapkan dengan baik," kata juru bicara MAS. “Ini akan menjadi persyaratan dasar wajib bagi institusi keuangan yang akan membantu meningkatkan keamanan sistem dan jaringan mereka, dan memastikan sektor keuangan Singapura terus menjadi tangguh dunia maya."
Negara yang telah mengalami sejumlah pelanggaran dalam beberapa tahun terakhir ini berencana untuk mencegah dan mengurangi serangan siber dengan Rancangan Undang-Undang (RUU) Siber Singapura yang baru. Senior Director FTI Consulting, Gino Bello mengatakan sebagian besar bank lokal dan internasional cukup canggih dengan postur ketahanan siber mereka, mengingat mereka sangat diatur dan akan diklasifikasikan sebagai Critical Information Infrastructure begitu RUU Siber Singapura berhasil disahkan.
"Pelajaran utama yang bisa diambil bank adalah respons SingHealth, dalam hal waktu dan komunikasi dengan para pemangku kepentingan utama dan masyarakat, dipersiapkan dan dilaksanakan dengan baik," kata Bello. "Organisasi harus memprioritaskan inisiatif seperti pemeriksaan Cyber Health Checks, Cyber Risk Reviews, table top trainings dan atau simulasi yang akan melayani mereka dengan baik dari sudut pandang kesiapsiagaan ketika serangan terjadi. Menggabungkan langkah-langkah proaktif ini dengan teknologi serta memastikan postur ketahanan siber yang memperkuat pertahanan selama serangan."
Teknologi yang ketat
Dengan adanya serangan siber di seluruh wilayah, bank telah mencoba untuk menempatkan lapisan perlindungan tambahan seperti kata sandi dan pemeriksaan identitas statis lainnya. Namun, analis berpendapat hal ini hampir tidak berguna dan ada kebutuhan untuk beralih ke bentuk keamanan yang lebih cerdas. Bank dapat mengambil manfaat lebih dari menambah intelijen perangkat dengan analisis lokasi, identitas, dan ancaman dari miliaran transaksi online di seluruh dunia.
“Selain firewall 'tradisional', ‘air gapping’, penambalan tepat waktu, otentikasi multi-faktor, meningkatkan teknologi cloud ketika mereka mampu, investasi pada orang dan pelatihan, teknologi yang kami lihat dimanfaatkan dengan baik oleh sektor keuangan adalah AI dan analitik data,”kata Bello. “Melalui investasi besar dalam AI dan analitik ini, organisasi lebih mampu memantau, memprediksi, dan mendeteksi serangan, apakah itu kebocoran data besar atau pencurian kekayaan intelektual, pekerjaan dalam oleh karyawan tepercaya, penolakan atau layanan terdistribusi, penipuan, penyuapan dan korupsi, pencucian uang, atau ancaman persisten tingkat lanjut."
Dalam hal lapisan pertahanan tambahan untuk mencegah akses tidak sah, pembagian eksternal berisiko, dan pelanggaran mahal, bank dapat menggunakan Cloud Access Security Brokers (CASB). Shephard mengatakan CASB dapat terus melindungi data di era cloud. Menurutnya, CASB dibangun untuk mempertahankan informasi sensitif dalam aplikasi apa pun, serta perangkat apa pun di mana saja.
“Persyaratan khusus untuk infrastruktur TI perbankan juga berlaku: self-service network harus diisolasi dari keseluruhan jaringan bank serta lingkungan penerbitan kartu. Mereka biasanya harus diisolasi. Semua organisasi harus mengambil pendekatan yang mirip dengan keamanan dengan mengadopsi konsep berlapis. Pendekatan ini harus mempertimbangkan risiko dari dua vektor serangan yang berbeda: online, yang berarti serangan dunia maya terhadap lingkungan operasional dan offline, yang berarti serangan terhadap lingkungan,” kata Director of Corporate Security and Fraud Management Diebold Nixdorf, Bernd Redecker.
Terlepas dari semua rekomendasi dari para pemimpin teknologi terkemuka, bank harus menyadari bahwa tidak ada solusi tunggal untuk menghentikan peretas dan penipu. Faulkner mengatakan ada kebutuhan untuk strategi jangka panjang yang mempertimbangkan semua skenario, yangmemungkinkan lembaga perbankan, layanan keuangan dan asuransi untuk memastikan bahwa mereka aman terhadap pelanggaran data dan mengadopsi solusi untuk mengotentikasi identitas dengan benar ketika berhadapan dengan pelanggan dan mitra online.
Sementara itu, Vice President of Solution Engineers, Asia Pacific and Japan CyberArk, Jeffrey Kok mencatat a bank perlu melihat aset yang ingin mereka lindungi dalam menentukan teknologi keamanan yang tepat untuk mengurangi serangan. "Bank-bank memiliki kekritisan keamanan akses istimewa yang disoroti kepada mereka, serta cara berpikir yang berbeda tentang serangan," katanya.
“Cara paling efektif dalamngembangkan strategi pertahanan yang kuat adalah menempatkan diri mereka pada posisi peretas dan memikirkan jalan yang akan mereka ambil untuk mencapai apa yang mereka inginkan. Bank harus berasumsi bahwa penyerang sudah ada di dalam, sehingga mereka mengadopsi keamanan akses istimewa sebagai lapisan kunci pertahanan untuk melumpuhkan penyusup yang telah berhasil melanggar batas agar tidak dapat bergerak secara lateral dalam mendapatkan akses informasi sensitif atau aset penting,” kata Kok menambahkan.
Kesenjangan kebijakan
Regional Vice President, Banking - Asia Pacific Diebold Nixdorf, Jaivinder Singh Gill mengatakan sementara bank dan lembaga pemerintah berbagi target serangan yang sama yaitu informasi, bank memiliki aset kedua: uang tunai. Saat ini, persyaratan kepatuhan berlaku di kedua sektor, tetapi kebijakan harus spesifik untuk tiap aset.
Selain itu, bank diharapkan mematuhi standar global, seperti tingkat penanganan kartu saat memproses data pemegang kartu. Gill mengatakan semua lembaga keuangan yang menerima, memproses, menyimpan, atau mengirimkan informasi kartu harus mematuhi Payment Industry Data Security Standard (PCI DSS). Di Singapura, standar MAS, serta standar internasional seperti kepatuhan EMV, bekerja bersama untuk memastikan perlindungan pengguna.
Shephard mencatat Singapura sedang beralih ke perbankan terbuka dan memanfaatkan teknologi cloud di sektor jasa keuangan. Menurutnya, daripada bertujuan untuk tingkat perlindungan minimum, organisasi harus berusaha untuk melebihi persyaratan peraturan dan menggunakan teknologi keamanan siber terbaru. Ini akan membantu bertahan melawan phishing, malware, ancaman orang dalam, dan ancaman lainnya.
Pada akhirnya, penting bagi bank untuk memastikan bahwa orang-orang yang berinteraksi dengan teknologi dan alat bisa melakukannya secara efektif dan dengan cara terbaik yang mereka dapat lakukan. Kok mengatakan proses, teknologi, dan alat paling canggih tidak berguna jika karyawan tidak dididik tentang praktik terbaik keamanan siber. Baginya, orang adalah bagian terpenting dari pertahanan keamanan dan kontrol ofensif.