Perbankan harus segera menyiagakan diri terhadap risiko operasional
yang kemungkinan akan datang lewat peranti lunak asing atau palsu yang
digunakan. Perbankan di Eropa sudah merasakan dampaknya.
Risiko operasional perbankan makin bertambah. Selain potensi
serangan dari internal bank melalui praktik curang dan pihak eksternal yang
lazimnya terjadi yaitu serangan para pembobol kartu, kini perbankan juga tengah
diancam oleh para peretas dari dunia maya.
Di tengah berkembangnya transaksi pembayaran lewat saluran
elektronik dan Internet, ancaman ini tentu akan membuat bisnis bank makin
berisiko. Adalah Kaspersky Lab, produsen anti virus dari Rusia, yang bulan lalu, melaporkan adanya serangan
peretas dunia maya (hacker) terhadap
perbankan dunia yang sampai saat ini masih aktif. Kelompok penjahat dunia maya
itu diperkirakan sudah menyerang lebih dari 100 bank.
Laporan itu berawal pada kejadian pada akhir 2013 lalu,ketika
sebuah mesin ATM di Kiev, Ukraina mengeluarkan uang secara otomatis dalam waktu
yang acak. Tidak ada proses masuknya kartu atau menyentuh tombol, uang tersebut
keluar secara tiba-tiba dan diambil oleh orang yang kebetulan melintas di sana.
Perusahaan Kaspersky Lab yang berbasis di Rusia lalu menemukan
bahwa mesin ATM tersebut bermasalah. Komputer internal yang di gunakan oleh
karyawan untuk memproses transfer harian dan melakukan pembukuan telah ditembus
oleh malware yang memungkinkan para
peretas untuk merekam setiap gerakan karyawan. Perangkat lunak yang tertanam
berbulan-bulan di dalam komputer karyawan tadi mengirimkan kembali rekaman
video dan gambar ke para hacker
tentang bagaimana aktivitas bank dalam keseharian. Kemudian kelompok hacker tadi menyamar sebagai petugas
bank yang tidak hanya mampu menyalakan mesin ATM uang, tetapi juga mentransfer
jutaan dollar dari bank Rusia, Jepang, Swiss, Amerika Serikat dan Belanda ke
rekening-rekening palsu mereka di berbagai negara.
Dalam laporan yang diterbitkan pada Senin, tengah bulan lalu
dan dirillis oleh The New York Times, Kapersky Lab mengatakan bahwa serangan
ini telah merebak di lebih dari 100 bank dan lembaga keuangan di 30 negara. Tak
pelak ini menjadi salah satu pencurian bank yang terbesar yang pernah ada tanpa
adanya tanda-tanda perampokan.
Perusahaan keamanan siber yang berbasis di Moskow mengatakan
bahwa karena perjanjian soal menjaga rahasia dengan bank-bank yang terkena
dampak kejahatan itu, mereka tidak menyebutkan nama-nama bank tersebut. Tapi
pemerintah Amerika Serikat dan FBI telah memiliki nama-nama tersebut untuk di
invetarisir kerugian-kerugian yang terjadi.
Kapersky Lab sendiri telah melihat bukti bahwa lembaga-lembaga
keuangan telah merugi 300 juta dollar AS dan ini bisa saja bertambah tiga kali
lipat. Bahkan menurut hitung-hitungan pembuat anti virus itu, total dana yang
sudah dicuri mencapai total 1 miliar dollar AS (Rp12 triliun). Sebagian besar
target berada di Rusia, tapi juga ada di Jepang, Amerika Serikat dan Eropa.
Meski demikian, sampai saat ini belum ada bank yang mengaku
telah mengalami pencurian. Seorang penyidik Interpol menyatakan bahwa tim
spesial penyidik kejahatan digital yang berbasis di Singapura telah
mengkoordinasikan penyelidikan dengan menggunakan hukum di negara-negara yang
terkena dampak. Petinggi Kasparsky Amerika Utara di Bostoh, Chris Dogget,
mengatakan bahwa nama malware itu
adalah "Carbanak Cybergang". Malware
canggih ini sementara masih menyerang perusahaan jasa keuangan. "Ini
mungkin serangan paling canggih di dunia sampai saat ini dalam hal taktik,
metode yang digunakan dalam operasi yang tetap terjaga rahasianya,”ungkap
Dogget.
Sebuah kelompok cybersecurity
menyatakan sudah menyebarkan data mengenai serangan ini kepada para anggotanya.
Pusat Informasi dan Analisis Jasa Keuangan pun mengaku sudah mendapatkan
imbauan dari penegak hukum untuk lebih waspada.
Sasaran Empuk
Bukan tidak mungkin perangkat lunak yang mampu merekam
kegiatan pegawai bank juga sudah tersebar ke Indonesia. Sebuah riset yang
dinamakan Malware Study 2013 menemukan bahwa program-program yang berisi virus
komputer itu masuk melalui pintu peranti lunak palsu yang di-install ke dalam komputer. Studi itu
meneliti secara acak sebanyak 216 hard
disk drive (HDD) dan pemutar DVD yang terpasang dalam komputer dan laptop
di beberapa negara. Penelitian dilakukan di beberapa negara Asia Tenggar yaitu
Indonesia, Malaysia, Filipina, Thailand dan Vietnam dengan cara membeli
komputer secara acak di toko-toko. Menariknya , hampir separo dari komputer dan
laptop itu dibeli di Indonesia.
Penelitian itu menyimpulkan bahwa sebanyak 59,09 persen
sampel HDD yang didapatkan di Indonesia terinfeksi oleh malware. Ironisnya lagi, 100 persen dari sampel DVD yang diambil
terinfeksi oleh malware.
Studi yang dilakukan oleh tim dari Microsoft Security
Forensics lebih jauh juga mengungkap bahwa banyak komputer di Indonesia yang
menggunakan sistem operasi Windows bajakan. Akan tetapi banyak konsumen yang
tidak tahu bahwa di dalam sistem operasi itu tertanam malware.
Fenomena itu tentu membuat Indonesia menjadi sasaran empuk pembobolan
dana seperti yang dilakukan oleh para peretas dunia maya di Rusia dan beberapa
negara lainnya seperti yang dilaporkan oleh Kapersky.
Sebelumnya, bank-bank di Indonesia juga sempat dibobol oleh
peretas meskipun caranya lebih sederhana. Seperti yang menimpa BCA pada tahun
2001, ketika layanan Internet banking-nya dibobol dengan modus membuat situs
asli tapi palsu.
Hal itu berawal dari ide untuk membuat situs yang mirip
dengan BCA dengan menjebak orang-orang yang salah mengetikkan nama situs
tersebut. Kemudian si penipu membeli domain-domain internet dengan harga
sekitar 20 dollar AS yang menggunakan nama dengan kemungkinan orang-orang salah
mengetikkan dan tampilan yang sama persis dengan situs Internet banking BCA.
Mitigasi Risiko
Otoritas sejatinya sudah mewanti-wanti sejak awal agar bank
terus meningkatkan kehati-hatiannya dalam mengelola risiko operasional. Risiko itu
muncul disebabkan ketidakcukupan dan atau tidak berfungsinya proses internal,
kesalahan manusia, kegagalan sistem, atau adanya problem eksternal yang
mempengaruhi operasional bank.
Dalam banyak kasus, risiko operasonal menimbulkan kerugian
keuangan secara langsung maupun tidak langsung dan kerugian potensial atas
hilangnya kesempatan memperoleh keuntungan. Besarnya potensi kerugian dari
risiko operasional tersebut mendorong regulator menginisiasi aturan yang memaksa
bank untuk mengukur dan men-disclose
risiko yang dihadapinya. Basel II yang telah diadopsi di Indonesia mewajibkan
bank untuk memasukkan risiko operasional sebagai salah satu komponen didalam
perhitungan kecukupan modal suatu bank.
Sejalan dengan itu, Peraturan Bank Indonesia (PBI) No
11/25/PBI/2009 tentang Penerapan Manajemen Risiko bagi Bank Umum, yang menjadi
dasar penerapan manajemen risiko operasional, mensyaratkan penerapan manajemen
risiko yang mencakup pilar-pilar pengawasan aktif Dewan Komisaris dan Direksi,
kecukupan kebijakan, prosedur dan penetapan limit, kecukupan proses
identifikasi, pengukuran, pemantauan, dan pengendalian risiko serta sistem
informasi manajemen risiko dan sistem pengendalian internal. Pengelolaan
eksposur risiko operasional mencakup pengelolaan eksposur risiko hukum,
reputasi, kepatuhan, dan stratejik yang terdapat pada setiap proses bisnis dan
aktivitas operasional.
Perbankan juga diwajibkan untuk memiliki strategi antifraud
sebagai bagian dari sistem pengendalian internal. Ada empat elemen
antipembobolan yang harus dipenuhi oleh perbankan.
Ketentuan tersebut diatur dalam Surat Edaran Bank Indonesia
No.13/28/DPNP pada 9 Desember 2011 tentang Penerapan Strategi Anti Fraud bagi
Bank Umum. Aturan itu sendiri mengacu kepada Peraturan Bank Indonesia (PBI)
No.5/8/PBI/2003 tanggal 19 Mei 2003 tentang Penerapan Manajemen Risiko bagi
Bank Umum.
Landasan penerbitan aturan itu karena terungkapnya berbagai
kasus fraud di sektor perbankan yang merugikan nasabah dan bank, sehingga perlu
diatur ketentuan mengenai penerapan strategi anti-fraud.“Ini mengarahkan bank dalam melakukan pengendalian fraud melalui upaya yang tak hanya untuk
pencegahan, tetapi juga untuk mendeteksi dan melakukan investigasi serta
memperbaiki sistem sebagai bagian dari strategi yang bersifat integral dalam
mengendalikan fraud,” kata keterangan
otoritas.
Tidak ada komentar:
Posting Komentar