Mengungkap Celah Keamanan Siber di Perusahaan Sekuritas

Liputan6.com, Jakarta Keamanan siber perusahaan sekuritas yang menjadi salah satu pemain kunci di pasar modal Indonesia tengah disorot. Lembaga konsultan keamanan siber ITSEC Asia menekankan, kerentanan itu terlihat dari kejadian yang dialami empat perusahaan sekuritas beberapa waktu lalu. Masing-masing perusahaan tersebut mengalami kejadian terkait kejahatan siber pada Mei, Juni, Juli, dan September lalu.

ITSEC Asia melalui whitepaper berjudul 2025: Cyberattacks on RDN Accounts in Indonesia menyebut para penjahat siber acap menyasar API milik sekuritas yang terhubung ke Rekening Dana Nasabah (RDN).

"Pelaku berfokus pada pintu belakang fitur API yang menghubungkan broker dengan infrastruktur kliring dan settlement guna menyelundupkan data Know Your Customer (KYC), memonitor dana yang tersedia, dan melakukan transfer secara tidak sah ke rekening dormant," tulis ITSEC Asia, Senin (6/10/2025).

Menurut lembaga itu, para pelaku serangan siber biasanya berupaya menembus API terlebih dulu, sebelum mencuri data KYC, melakukan otorisasi palsu, lalu menyalurkan dana secara ilegal dengan jumlah tertentu ke rekening dormant. Hal itu dapat terjadi karena beberapa hal, di antaranya eksposur single vendor, lemahnya pengelolaan API, penampungan data KYC yang masih terkonsentrasi, akun RDN yang lama menganggur sehingga sulit terdeteksi, serta kemampuan deteksi aktivitas anomali yang tidak real-time.

"Semua insiden RDN pada 2025 menunjukkan serangan di era modern ini menggunakan kemampuan intrusi, pencurian data, penipuan keuangan menjadi operasi multi-stage yang dapat mengancam seluruh segmen pasar. Untuk memperbaikinya butuh aksi terkoordinasi mulai dari keamanan API yang lebih baik, perlindungan KYC diperkuat, deteksi perilaku real-time, dan pendekatan rantai suplai terhadap risiko yang dihadapi vendor," tulis ITSEC Asia dalam kesimpulan risetnya.

ITSEC Asia turut memberikan rekomendasi agar perusahaan sekuritas bisa segera mengatasi kejahatan siber yang terjadi.

Dalam jangka pendek, lembaga ini mengusulkan sekuritas untuk membekukan sementara transfer keluar RDN, simpan semua log (API, database, SIEM, firewall), lakukan rotasi kredensial dan terapkan sistem MFA (multi factor authentification) untuk semua akun vendor, serta koordinasi dengan bank untuk memblokir akun dormant yang dicurigai.

Setelah itu, sekuritas bisa melakukan audit vendor, melindungi data KYC dengan enkripsi, serta menerapkan analisis perilaku untuk mendeteksi pola-pola mencurigakan.

Dalam jangka panjang, perusahaan sekuritas disarankan mengurangi ketergantungan pada vendor tunggal, dan rutin menggelar simulasi serangan. Penguatan kolaborasi antara sekuritas dengan regulator dan bank juga disarankan ITSEC Asia untuk dilakukan.

Otoritas Jasa Keuangan (OJK) menyoroti peningkatan signifikan serangan siber di Indonesia yang melonjak setelah pandemi COVID-19.

Plt Kepala Departemen Pengawasan Konglomerasi Keuangan OJK, Yudi Permana, mengungkapkan sepanjang 2024 tercatat 330,5 juta serangan siber, dengan sektor keuangan berada di posisi keempat sebagai target utama.

“Sejak COVID-19 terasa sekali bagaimana insiden siber meningkat, karena ada kebutuhan masyarakat untuk bertransaksi digital,” ungkap Yudi dalam acara INFOBANK CONNECT: Financial Inclusion 5.0 Membangun Sistem Perlindungan Data Melalui Teknologi Digital di Jakarta, 24 September 2025.

Menurut Yudi, OJK telah menerbitkan sejumlah kebijakan untuk mendukung transformasi digital di sektor perbankan. Namun, perkembangan ancaman siber berjalan lebih cepat dibanding kesadaran masyarakat mengenai keamanan digital. 

“Oleh karena itu, OJK mengharapkan perbankan untuk selalu mengedukasi nasabahnya. Karena pemahaman soal serangan siber dan perlindungan data ini masih menjadi titik terlemah,” ujarnya.

Selain edukasi bagi nasabah, Yudi juga menekankan perlunya meningkatkan pemahaman karyawan bank terkait ancaman siber. Ia menilai, banyak serangan justru masuk melalui sistem internal maupun akibat minimnya pengetahuan pegawai mengenai pentingnya keamanan data.

Dalam kesempatan yang sama, Head of Enterprise IT Architecture, Data Management & Service Quality Group PT Bank Central Asia, Lily Wongso, menekankan pentingnya sistem backup data sebagai langkah pencegahan sekaligus pemulihan dari potensi serangan. 

Lily menuturkan, BCA secara rutin melakukan exercise tahunan pada aplikasi-aplikasi vital, terutama yang terkait fungsi bisnis. Hal ini sejalan dengan ketentuan Peraturan OJK (POJK) 11/2022 serta SEOJK 29/2022 mengenai penyelenggaraan teknologi informasi, tata kelola, dan manajemen risiko siber.

Meski telah membangun sistem pertahanan berlapis, Lily mengakui tidak ada perbankan yang benar-benar kebal dari risiko kebocoran data. Ia menyebut, insiden tersebut dapat menimbulkan kerugian finansial hingga merusak reputasi institusi.