Baru-baru ini, dunia keamanan siber dihebohkan dengan insiden peretasan akun Komisi Sekuritas dan Bursa Amerika Serikat (Security Exchange Commission/SEC) di platform media sosial X, yang sebelumnya dikenal sebagai Twitter. Meskipun tidak sama persis, SEC ini bisa disetarakan dengan Otoritas Jasa Keuangan (OJK) di Indonesia yang tugasnya mengawasi pasar modal.
Pada 9 Januari 2024, peretas menyebarluaskan informasi palsu yang mengklaim persetujuan SEC atas dana perdagangan bursa (Exchange Traded Fund/ETFs) Bitcoin untuk dicatatkan di semua bursa sekuritas nasional Amerika Serikat (AS) yang terdaftar. Persetujuan SEC terhadap ETF Bitcoin ini sebenarnya dirilis secara resmi pada 10 Januari 2024, namun insiden peretasan media sosial SEC terlanjur mengakibatkan gejolak pasar. Meskipun informasi palsu tersebut hanya berlangsung sekitar 30 menit, dampaknya menyesatkan investor dan pengamat pasar, seperti yang ditunjukkan oleh lonjakan harga Bitcoin yang signifikan.
Menanggapi intrusi siber ini, Ketua SEC Gary Gensler melalui akun pribadi X-nya, menyatakan unggahan tersebut tidak sah dan menolak persetujuan produk perdagangan bursa Bitcoin. Bersamaan dengan itu, Kantor Inspektur Jenderal SEC menginisiasi penyelidikan komprehensif bersama Biro Investigasi Federal (FBI) demi mengungkap detail dari pelanggaran keamanan tersebut.
Pentingnya menjaga keamanan siber di sektor keuangan
Akar masalah terletak pada keamanan siber di SEC. Pada 2016, SEC pernah mengalami serangan siber yang mengakibatkan peretas bisa mengakses database korporasi. Ini mengakibatkan peretas memperoleh keuntungan dari informasi rahasia. Insiden ini seharusnya menjadi pelajaran bagi SEC mengenai perlunya peningkatan keamanan siber dalam sistem keuangan dan menghindari risiko terpaparnya data sensitif dalam aktivitas perdagangan di bursa saham.
Sebelum kejadian peretasan media sosial X terjadi, SEC juga sudah dikritik karena tidak sepenuhnya memenuhi standar keamanan siber AS. Kesalahan kritis dalam kasus peretasan ini adalah ketiadaan otentikasi dua faktor pada akun X SEC yang akhirnya dieksploitasi oleh para peretas. Terjadi serangan penggantian SIM (SIM swapping), yakni ketika nomor telepon yang terkait dengan akun X SEC dikendalikan oleh pihak ketiga yang tidak teridentifikasi .
Meskipun sampai saat ini belum ada bukti sistem di SEC lainnya bisa diakses oleh peretas selain media sosial X, dampak dari peretasan X dan cuitan palsu mengenai persetujuan ETF Bitcoin telah menyebabkan harga Bitcoin tanggal 9 Januari 2024 langsung melonjak hingga US$47,000-an (sekitar Rp742,35 juta) dari harga sebelumnya yang $46,000-an (Rp727,03 juta, sebelum anjlok ke $45,000-an (sekitar Rp711,22 juta) setelah cuitan palsu tersebut terkuak.
Insiden ini bisa menurunkan kepercayaan publik tentang keamanan siber SEC, mengingat reputasi SEC yang memiliki sejarah kurang baik terkait hal ini.
Ironisnya, kejadian ini bertepatan dengan implementasi regulasi baru SEC yang mengharuskan perusahaan publik yang terdaftar di bursa AS untuk mengungkapkan insiden siber yang pernah mereka alami.
Namun, SEC sendiri abai dengan standar keamanan siber yang seharusnya diimplementasikan sehingga memicu terjadinya insiden peretasan akun X mereka. Pelanggaran ini memicu reaksi politik yang menuntut pertanggungjawaban dan penyelidikan menyeluruh atas praktik keamanan siber SEC.
Strategi keamanan siber yang bisa diterapkan di Indonesia
Peretasan akun X milik SEC ini menjadi pengingat penting tentang kerentanan platform digital. Berikut adalah strategi kunci yang dapat diterapkan oleh institusi keuangan di Indonesia untuk mencegah insiden serupa yang terjadi di SEC:
1. Penerapan keamanan siber yang komprehensif. Hal ini bisa dilakukan dengan mengintegrasikan berbagai langkah keamanan yang meliputi penggunaan otentikasi multifaktor (MFA) yang kuat, seperti Fast Identity Online (FIDO), yang merupakan protokol otentikasi untuk memastikan keandalan pengakses sistem.
FIDO lebih disukai daripada otentikasi berbasis SMS yang rentan terhadap penggantian SIM. Alih-alih menggunakan kata sandi, ia menggunakan kunci khusus seperti sidik jari, USB stick, atau perangkat yang bisa terhubung melalui Bluetooth atau Near Field Communication (NFC) yang hanya pengakses yang memilikinya. Ini membuatnya sangat sulit bagi peretas untuk masuk, karena mereka tidak bisa menyalin atau mencuri kunci unik pengakses.
Di samping itu, institusi keuangan seharusnya juga menerapkan kebijakan kata sandi yang kuat, unik, dan diperbarui secara teratur. Penting juga bagi institusi keuangan secara rutin memperbarui perangkat lunak dan sistem untuk menghadapi kerentanan. Institusi keuangan juga harus memisahkan penggunaan nomor telepon dari akun media sosial dan sistem online untuk mengurangi risiko penggantian SIM.
2. Penyusunan dan implementasi rencana strategis dengan mengembangkan Rencana Respon Insiden (IRP), Rencana Pemulihan Bencana (DRP), dan Rencana Kontinuitas Bisnis (BCP) yang efektif.
Lebih dari sekadar tindakan keamanan individu, pencegahan peretasan ini menekankan pentingnya perencanaan strategis keamanan siber. IRP yang komprehensif merinci protokol penanganan insiden keamanan siber. Sementara, DRP berfokus pada pemulihan data dan sistem secara cepat pascaserangan dan BCP yang menjamin operasional fungsi kritis selama dan setelah gangguan.
Melakukan tes penetrasi dan penilaian kerentanan secara teratur dapat membantu institusi keuangan mengidentifikasi dan mengatasi kelemahan keamanan. Mengintegrasikan rencana strategis ini dengan praktik keamanan siber yang kuat dapat membentuk pertahanan menyeluruh, meningkatkan ketahanan terhadap ancaman siber dan meminimalkan dampak insiden.
3. Pengelolaan risiko dan kepatuhan.Audit keamanan siber secara rutin harus menjadi aktivitas wajib bagi setiap institusi keuangan.
Penting bagi institusi keuangan untuk melakukan audit keamanan siber secara teratur untuk memastikan kepatuhan terhadap standar internasional, serta mengelola risiko yang berasal dari vendor dan pihak ketiga. Kepatuhan ini termasuk pada peraturan terkait perlindungan data dan privasi.
Institusi keuangan juga dapat memanfaatkan audit rutin untuk memastikan mereka selaras dengan praktik dan standar terbaik. Hal ini termasuk menilai keamanan siber vendor secara menyeluruh dan memastikan mereka memenuhi standar yang ditetapkan.
4. Pelatihan kesadaran keamanan siber untuk karyawan. Kesalahan manusia tetap menjadi salah satu kerentanan keamanan siber terbesar.
Keamanan siber bukan hanya hal teknis, namun juga budaya. Institusi harus berinvestasi dalam pendidikan karyawan yang berkelanjutan dan membangun kesadaran keamanan siber. Institusi keuangan perlu mengadakan pelatihan reguler bagi karyawan tentang praktik terbaik keamanan siber, termasuk identifikasi upaya phishing, penanganan informasi sensitif yang aman, dan pentingnya kata sandi yang kuat.
Terkait dengan pengelolaan platform daring, institusi keuangan harus punya mekanisme untuk memantau platform dari aktivitas tidak sah, mengamankan akun dengan langkah otentikasi yang kuat, dan melatih staf yang bertanggung jawab untuk mengelola platform ini dalam praktik keamanan terbaik.
5. Kolaborasi dan transparansi. Keamanan siber merupakan tantangan kolektif. Institusi keungan harus secara aktif terlibat dalam berbagi informasi dan kolaborasi dengan institusi lainnya, badan regulator, dan komunitas keamanan siber. Kolaborasi ini dapat membangun pemahaman dan mitigasi yang lebih baik terhadap ancaman yang muncul.
Dalam kejadian serangan siber, komunikasi transparan dan tepat waktu dengan pemangku kepentingan sangat penting. Institusi keuangan harus memiliki rencana komunikasi yang mencakup memberitahukan pihak yang terdampak, menyebarkan informasi yang akurat, dan memberikan pembaruan tentang tindakan pemulihan.
Kasus di AS sepatutnya menjadi pelajaran bagi institusi keuangan di seluruh dunia, termasuk Indonesia, untuk memperkuat keamanan sibernya. Dengan begitu cepat dan sensitifnya perputaran uang dan aset digital terhadap sentimen di pasar, informasi yang menyesatkan bisa membawa kerugian besar bagi banyak pihak.