Menyerang Bank dari Dalam

Perbankan harus segera menyiagakan diri terhadap risiko operasional yang kemungkinan akan datang lewat peranti lunak asing atau palsu yang digunakan. Perbankan di Eropa sudah merasakan dampaknya.

Risiko operasional perbankan makin bertambah. Selain potensi serangan dari internal bank melalui praktik curang dan pihak eksternal yang lazimnya terjadi yaitu serangan para pembobol kartu, kini perbankan juga tengah diancam oleh para peretas dari dunia maya.

Di tengah berkembangnya transaksi pembayaran lewat saluran elektronik dan Internet, ancaman ini tentu akan membuat bisnis bank makin berisiko. Adalah Kaspersky Lab, produsen anti virus dari Rusia,  yang bulan lalu, melaporkan adanya serangan peretas dunia maya (hacker) terhadap perbankan dunia yang sampai saat ini masih aktif. Kelompok penjahat dunia maya itu diperkirakan sudah menyerang lebih dari 100 bank.

Laporan itu berawal pada kejadian pada akhir 2013 lalu,ketika sebuah mesin ATM di Kiev, Ukraina mengeluarkan uang secara otomatis dalam waktu yang acak. Tidak ada proses masuknya kartu atau menyentuh tombol, uang tersebut keluar secara tiba-tiba dan diambil oleh orang yang kebetulan melintas di sana.

Perusahaan Kaspersky Lab yang berbasis di Rusia lalu menemukan bahwa mesin ATM tersebut bermasalah. Komputer internal yang di gunakan oleh karyawan untuk memproses transfer harian dan melakukan pembukuan telah ditembus oleh malware yang memungkinkan para peretas untuk merekam setiap gerakan karyawan. Perangkat lunak yang tertanam berbulan-bulan di dalam komputer karyawan tadi mengirimkan kembali rekaman video dan gambar ke para hacker tentang bagaimana aktivitas bank dalam keseharian. Kemudian kelompok hacker tadi menyamar sebagai petugas bank yang tidak hanya mampu menyalakan mesin ATM uang, tetapi juga mentransfer jutaan dollar dari bank Rusia, Jepang, Swiss, Amerika Serikat dan Belanda ke rekening-rekening palsu mereka di berbagai negara.

Dalam laporan yang diterbitkan pada Senin, tengah bulan lalu dan dirillis oleh The New York Times, Kapersky Lab mengatakan bahwa serangan ini telah merebak di lebih dari 100 bank dan lembaga keuangan di 30 negara. Tak pelak ini menjadi salah satu pencurian bank yang terbesar yang pernah ada tanpa adanya tanda-tanda perampokan.

Perusahaan keamanan siber yang berbasis di Moskow mengatakan bahwa karena perjanjian soal menjaga rahasia dengan bank-bank yang terkena dampak kejahatan itu, mereka tidak menyebutkan nama-nama bank tersebut. Tapi pemerintah Amerika Serikat dan FBI telah memiliki nama-nama tersebut untuk di invetarisir kerugian-kerugian yang terjadi.

Kapersky Lab sendiri telah melihat bukti bahwa lembaga-lembaga keuangan telah merugi 300 juta dollar AS dan ini bisa saja bertambah tiga kali lipat. Bahkan menurut hitung-hitungan pembuat anti virus itu, total dana yang sudah dicuri mencapai total 1 miliar dollar AS (Rp12 triliun). Sebagian besar target berada di Rusia, tapi juga ada di Jepang, Amerika Serikat dan Eropa.

Meski demikian, sampai saat ini belum ada bank yang mengaku telah mengalami pencurian. Seorang penyidik Interpol menyatakan bahwa tim spesial penyidik kejahatan digital yang berbasis di Singapura telah mengkoordinasikan penyelidikan dengan menggunakan hukum di negara-negara yang terkena dampak. Petinggi Kasparsky Amerika Utara di Bostoh, Chris Dogget, mengatakan bahwa nama malware itu adalah "Carbanak Cybergang". Malware canggih ini sementara masih menyerang perusahaan jasa keuangan. "Ini mungkin serangan paling canggih di dunia sampai saat ini dalam hal taktik, metode yang digunakan dalam operasi yang tetap terjaga rahasianya,”ungkap Dogget.

Sebuah kelompok cybersecurity menyatakan sudah menyebarkan data mengenai serangan ini kepada para anggotanya. Pusat Informasi dan Analisis Jasa Keuangan pun mengaku sudah mendapatkan imbauan dari penegak hukum untuk lebih waspada.

Sasaran Empuk

Bukan tidak mungkin perangkat lunak yang mampu merekam kegiatan pegawai bank juga sudah tersebar ke Indonesia. Sebuah riset yang dinamakan Malware Study 2013 menemukan bahwa program-program yang berisi virus komputer itu masuk melalui pintu peranti lunak palsu yang di-install ke dalam komputer. Studi itu meneliti secara acak sebanyak 216 hard disk drive (HDD) dan pemutar DVD yang terpasang dalam komputer dan laptop di beberapa negara. Penelitian dilakukan di beberapa negara Asia Tenggar yaitu Indonesia, Malaysia, Filipina, Thailand dan Vietnam dengan cara membeli komputer secara acak di toko-toko. Menariknya , hampir separo dari komputer dan laptop itu dibeli di Indonesia.

Penelitian itu menyimpulkan bahwa sebanyak 59,09 persen sampel HDD yang didapatkan di Indonesia terinfeksi oleh malware. Ironisnya lagi, 100 persen dari sampel DVD yang diambil terinfeksi oleh malware.

Studi yang dilakukan oleh tim dari Microsoft Security Forensics lebih jauh juga mengungkap bahwa banyak komputer di Indonesia yang menggunakan sistem operasi Windows bajakan. Akan tetapi banyak konsumen yang tidak tahu bahwa di dalam sistem operasi itu tertanam malware.

Fenomena itu tentu membuat Indonesia menjadi sasaran empuk pembobolan dana seperti yang dilakukan oleh para peretas dunia maya di Rusia dan beberapa negara lainnya seperti yang dilaporkan oleh Kapersky.

Sebelumnya, bank-bank di Indonesia juga sempat dibobol oleh peretas meskipun caranya lebih sederhana. Seperti yang menimpa BCA pada tahun 2001, ketika layanan Internet banking-nya dibobol dengan modus membuat situs asli tapi palsu.

Hal itu berawal dari ide untuk membuat situs yang mirip dengan BCA dengan menjebak orang-orang yang salah mengetikkan nama situs tersebut. Kemudian si penipu membeli domain-domain internet dengan harga sekitar 20 dollar AS yang menggunakan nama dengan kemungkinan orang-orang salah mengetikkan dan tampilan yang sama persis dengan situs Internet banking BCA.

Mitigasi Risiko

Otoritas sejatinya sudah mewanti-wanti sejak awal agar bank terus meningkatkan kehati-hatiannya dalam mengelola risiko operasional. Risiko itu muncul disebabkan ketidakcukupan dan atau tidak berfungsinya proses internal, kesalahan manusia, kegagalan sistem, atau adanya problem eksternal yang mempengaruhi operasional bank.

Dalam banyak kasus, risiko operasonal menimbulkan kerugian keuangan secara langsung maupun tidak langsung dan kerugian potensial atas hilangnya kesempatan memperoleh keuntungan. Besarnya potensi kerugian dari risiko operasional tersebut mendorong regulator menginisiasi aturan yang memaksa bank untuk mengukur dan men-disclose risiko yang dihadapinya. Basel II yang telah diadopsi di Indonesia mewajibkan bank untuk memasukkan risiko operasional sebagai salah satu komponen didalam perhitungan kecukupan modal suatu bank.

Sejalan dengan itu, Peraturan Bank Indonesia (PBI) No 11/25/PBI/2009 tentang Penerapan Manajemen Risiko bagi Bank Umum, yang menjadi dasar penerapan manajemen risiko operasional, mensyaratkan penerapan manajemen risiko yang mencakup pilar-pilar pengawasan aktif Dewan Komisaris dan Direksi, kecukupan kebijakan, prosedur dan penetapan limit, kecukupan proses identifikasi, pengukuran, pemantauan, dan pengendalian risiko serta sistem informasi manajemen risiko dan sistem pengendalian internal. Pengelolaan eksposur risiko operasional mencakup pengelolaan eksposur risiko hukum, reputasi, kepatuhan, dan stratejik yang terdapat pada setiap proses bisnis dan aktivitas operasional.

Perbankan juga diwajibkan untuk memiliki strategi antifraud sebagai bagian dari sistem pengendalian internal. Ada empat elemen antipembobolan yang harus dipenuhi oleh perbankan.

Ketentuan tersebut diatur dalam Surat Edaran Bank Indonesia No.13/28/DPNP pada 9 Desember 2011 tentang Penerapan Strategi Anti Fraud bagi Bank Umum. Aturan itu sendiri mengacu kepada Peraturan Bank Indonesia (PBI) No.5/8/PBI/2003 tanggal 19 Mei 2003 tentang Penerapan Manajemen Risiko bagi Bank Umum.

Landasan penerbitan aturan itu karena terungkapnya berbagai kasus fraud di sektor perbankan yang merugikan nasabah dan bank, sehingga perlu diatur ketentuan mengenai penerapan strategi anti-fraud.“Ini mengarahkan bank dalam melakukan pengendalian fraud melalui upaya yang tak hanya untuk pencegahan, tetapi juga untuk mendeteksi dan melakukan investigasi serta memperbaiki sistem sebagai bagian dari strategi yang bersifat integral dalam mengendalikan fraud,” kata keterangan otoritas.