Peran OJK dalam Memperkuat Keamanan Siber Perbankan Nasional

Di tengah pesatnya transformasi digital perbankan, keamanan siber tidak lagi sekadar isu teknis, melainkan fondasi utama kepercayaan publik terhadap sistem keuangan nasional. Meningkatnya penggunaan layanan perbankan digital dan sistem pembayaran real-time turut membuka celah risiko baru, sebagaimana terlihat dari insiden peretasan yang menimbulkan kerugian besar dan mengguncang stabilitas operasional bank daerah. Dalam situasi inilah peran regulator menjadi sangat krusial, tidak hanya sebagai pengawas kepatuhan, tetapi juga sebagai pengarah strategi ketahanan siber industri perbankan. Melalui kebijakan, pengawasan, dan pendekatan berbasis risiko, OJK hadir untuk memastikan keamanan siber perbankan nasional mampu menghadapi ancaman yang semakin kompleks dan dinamis. 

Ancaman Keamanan Siber dalam Perbankan Nasional

Transformasi digital telah mengubah cara bank beroperasi dan melayani nasabah. Sistem pembayaran real-time, pemanfaatan API perbankan terbuka, integrasi dengan berbagai pihak ketiga, serta adopsi teknologi cloud memang meningkatkan efisiensi dan kecepatan layanan. Namun, di balik kemajuan tersebut, permukaan serangan (attack surface) perbankan juga semakin luas, sehingga risiko keamanan siber menjadi jauh lebih kompleks dibandingkan era perbankan konvensional.

Dalam praktiknya, bank kini harus berhadapan dengan berbagai bentuk ancaman yang tidak hanya bersifat teknis, tetapi juga melibatkan faktor manusia dan tata kelola. Ancaman-ancaman ini sering kali saling berkaitan dan dapat dimanfaatkan secara berlapis oleh pelaku kejahatan siber untuk menembus sistem perbankan, terutama jika kontrol keamanan tidak diterapkan secara konsisten dan menyeluruh, seperti:

• Fraud berbasis siber (transfer ilegal, account takeover)
• Serangan malware dan ransomware
• Penyalahgunaan kredensial nasabah
• Insider threat dan human error
• Kelemahan pengelolaan vendor dan pihak ketiga

Insiden peretasan layanan BI Fast yang berdampak pada sejumlah Bank Pembangunan Daerah (BPD) dan menimbulkan kerugian sekitar Rp 200 miliar menjadi pengingat kuat bahwa keamanan siber perbankan nasional bukan lagi isu teknis semata, melainkan risiko sistemik. Kasus ini menunjukkan bahwa serangan siber tidak hanya menyasar bank besar, tetapi juga bank skala menengah dan daerah, terutama ketika pengelolaan keamanan siber, pengawasan transaksi, dan kesiapan respons insiden belum berada pada tingkat kematangan yang memadai dalam ekosistem yang terhubung dengan sistem pembayaran nasional di bawah koordinasi Bank Indonesia.

Baca juga: Bagaimana PADG 24/2024 Mengubah Lanskap Keamanan Siber Nasional

Respons OJK atas Insiden Peretasan BPD

Menanggapi insiden peretasan yang menimpa sejumlah Bank Pembangunan Daerah (BPD), Otoritas Jasa Keuangan mengambil langkah cepat dan tegas dengan menjalankan crash program pemeriksaan terhadap seluruh BPD di Indonesia. Kepala Eksekutif Pengawas Perbankan OJK, Dian Ediana Rae, menegaskan bahwa pemeriksaan ini difokuskan pada ketahanan dan keamanan siber bank, termasuk kesiapan pengendalian internal, pemantauan transaksi, serta kemampuan bank dalam mendeteksi dan merespons insiden siber secara efektif.

Langkah ini menunjukkan bahwa OJK memandang insiden siber sebagai early warning yang harus ditindaklanjuti secara menyeluruh dan sistemik, bukan sebagai kejadian terpisah. Bank-bank diminta memastikan bahwa penguatan keamanan siber benar-benar diterapkan dalam operasional sehari-hari, bukan hanya terdokumentasi dalam kebijakan dan prosedur. Melalui crash program ini, OJK menegaskan komitmennya dalam menjaga keamanan siber perbankan nasional sebagai bagian tak terpisahkan dari upaya menjaga stabilitas sistem keuangan dan kepercayaan masyarakat.

Kerja Sama OJK dengan Regulator Sistem Pembayaran

Keamanan siber perbankan nasional tidak dapat dijaga secara parsial oleh satu otoritas saja, mengingat ekosistem keuangan digital bersifat saling terhubung dan terintegrasi. Oleh karena itu, Otoritas Jasa Keuangan memperkuat kerja sama dengan regulator sistem pembayaran, khususnya Bank Indonesia, guna mencegah terulangnya insiden siber yang berpotensi menimbulkan dampak sistemik. 

Sinergi ini menjadi krusial karena gangguan pada sistem pembayaran dapat dengan cepat merambat ke sektor perbankan dan memengaruhi stabilitas keuangan secara luas. Dalam praktiknya, kolaborasi antara OJK dan Bank Indonesia mencakup berbagai aspek strategis yang bertujuan memperkuat ketahanan sistem keuangan digital secara menyeluruh, antara lain:

• Sinkronisasi kebijakan pengawasan teknologi informasi
• Pertukaran informasi terkait ancaman dan insiden siber
• Penyelarasan standar keamanan sistem pembayaran

Pendekatan kolaboratif ini memastikan bahwa setiap celah risiko dapat diidentifikasi dan ditangani secara lebih cepat dan terkoordinasi. Dengan ekosistem yang semakin terhubung, penguatan keamanan di satu titik saja tidak cukup; dibutuhkan standar dan pengawasan yang selaras agar keamanan siber perbankan nasional dapat terjaga secara berkelanjutan.

Kerangka Regulasi OJK untuk Keamanan Siber Perbankan

Dalam memperkuat keamanan siber perbankan nasional, Otoritas Jasa Keuangan tidak hanya mengandalkan pengawasan insidental atau respons setelah insiden terjadi. OJK membangun kerangka regulasi yang komprehensif dan saling melengkapi untuk mengatur penerapan teknologi informasi sekaligus ketahanan dan keamanan siber di sektor perbankan. Melalui pendekatan ini, bank didorong untuk memandang keamanan siber sebagai bagian dari tata kelola dan manajemen risiko strategis, bukan semata-mata fungsi teknis di unit IT.

Salah satu fondasi utama kerangka tersebut adalah POJK Nomor 11/POJK.03/2022 tentang Penyelenggaraan Teknologi Informasi, yang mengatur bagaimana bank harus mengelola teknologi informasi secara aman, akuntabel, dan terintegrasi dengan manajemen risiko. Regulasi ini menegaskan bahwa pemanfaatan TI harus didukung oleh tata kelola yang jelas, pengendalian risiko yang memadai, serta pengamanan sistem dan data yang konsisten, termasuk dalam pengelolaan risiko pihak ketiga. Prinsip-prinsip utama yang ditekankan dalam POJK ini meliputi:

• Tata kelola teknologi informasi yang kuat dan akuntabel
• Manajemen risiko TI yang terintegrasi dengan manajemen risiko bank
• Pengamanan sistem informasi dan data nasabah
• Pengelolaan risiko penyedia layanan dan pihak ketiga

Kerangka ini kemudian diperkuat dengan SEOJK Nomor 29/SEOJK.03/2022 tentang Ketahanan dan Keamanan Siber, yang secara lebih spesifik mengatur kesiapan bank dalam menghadapi ancaman siber yang terus berkembang. SEOJK ini menekankan pentingnya pendekatan yang proaktif dan berkelanjutan, mulai dari identifikasi risiko, kesiapan menghadapi insiden, hingga kemampuan bank untuk pulih dengan cepat ketika gangguan terjadi. Fokus pengaturannya mencakup:

• Identifikasi dan mitigasi risiko siber secara berkelanjutan
• Kesiapan bank dalam menghadapi dan menangani insiden siber
• Pembentukan serta penguatan tim tanggap insiden siber
• Pelaksanaan uji ketahanan dan simulasi insiden secara berkala

Dengan menggabungkan pengaturan tata kelola teknologi informasi dan ketahanan siber dalam satu kerangka yang utuh, OJK menegaskan bahwa keamanan siber bukan sekadar isu teknis, melainkan risiko strategis yang harus dikelola setara dengan risiko kredit, likuiditas, dan operasional demi menjaga stabilitas serta kepercayaan terhadap sistem perbankan nasional.

Surat Pembinaan dan Pengendalian Transaksi Anomali

Selain menerbitkan regulasi formal, Otoritas Jasa Keuangan juga mengambil langkah operasional dengan mengirimkan surat pembinaan kepada bank-bank, khususnya terkait pengendalian transaksi anomali yang berpotensi mengarah pada fraud. Melalui surat ini, OJK menegaskan pentingnya kewaspadaan tinggi dalam memantau aktivitas transaksi yang tidak lazim, terutama di tengah meningkatnya risiko kejahatan siber pada sistem pembayaran dan layanan perbankan digital. Dalam implementasinya, bank diminta untuk memperkuat kontrol internal dengan menerapkan langkah-langkah konkret berikut:

• Meningkatkan pemantauan terhadap transaksi mencurigakan dan tidak wajar
• Melakukan penghentian sementara transaksi untuk keperluan klarifikasi
• Tidak mengeksekusi perintah transaksi yang berpotensi fraud sebelum dilakukan verifikasi menyeluruh

Pendekatan ini menunjukkan bahwa OJK menempatkan perlindungan nasabah dan pencegahan kerugian finansial sebagai prioritas utama dalam pengawasan keamanan siber. Dengan mendorong bank untuk bersikap lebih berhati-hati dan responsif terhadap indikasi anomali, OJK berupaya meminimalkan dampak insiden siber sejak tahap awal sebelum berkembang menjadi kerugian yang lebih besar dan bersifat sistemik.

Penguatan Manajemen Risiko untuk Pencegahan Fraud

Dalam upaya mencegah penyalahgunaan sistem perbankan untuk tindak pidana fraud, Otoritas Jasa Keuangan mengingatkan bank untuk memperkuat manajemen risiko secara menyeluruh, tidak hanya dari sisi teknologi, tetapi juga proses dan sumber daya manusia. Penguatan ini diperlukan agar bank mampu mendeteksi potensi kecurangan sejak dini, membatasi dampak kerugian, serta menjaga kepercayaan nasabah di tengah meningkatnya risiko kejahatan siber.

• Penyempurnaan Fraud Detection System
  Bank didorong untuk meningkatkan kemampuan sistem deteksi fraud agar mampu mengidentifikasi pola transaksi tidak wajar secara real-time, termasuk transaksi yang menyimpang dari kebiasaan nasabah atau menunjukkan indikasi penyalahgunaan akun. Sistem yang adaptif dan berbasis analitik menjadi kunci untuk merespons ancaman dengan cepat dan akurat.
• Penguatan Know Your Customer (KYC)
  Penerapan KYC yang kuat membantu bank memahami profil dan perilaku nasabah secara lebih mendalam, sehingga memudahkan identifikasi risiko dan pencegahan penyalahgunaan rekening. KYC yang efektif juga menjadi fondasi penting dalam memutus mata rantai fraud yang memanfaatkan identitas palsu atau rekening penampung.
• Evaluasi Berkala Profil dan Limit Transaksi
  OJK mendorong bank untuk melakukan analisis dan evaluasi berkala terhadap profil risiko serta limit transaksi nasabah. Penyesuaian limit yang selaras dengan pola aktivitas nasabah dapat membantu menekan potensi kerugian ketika terjadi penyalahgunaan akun atau transaksi tidak sah.
• Manajemen Risiko Pihak Ketiga
  Vendor dan mitra teknologi kerap menjadi titik lemah dalam rantai keamanan perbankan. Oleh karena itu, bank perlu memperkuat pengelolaan risiko pihak ketiga melalui penilaian, pengawasan, dan pengendalian yang konsisten guna memastikan bahwa standar keamanan siber diterapkan secara setara di seluruh ekosistem.
• Penguatan Tim Tanggap Insiden Siber
  Bank diharapkan memiliki tim tanggap insiden siber yang khusus dan kompeten, dilengkapi dengan prosedur yang jelas untuk merespons insiden secara cepat, terkoordinasi, dan efektif. Kesiapan tim ini sangat menentukan kemampuan bank dalam meminimalkan dampak insiden dan memulihkan layanan dengan cepat.
• Pelatihan dan Security Awareness
  Faktor manusia masih menjadi salah satu penyebab utama insiden keamanan siber. Oleh karena itu, pelatihan dan sosialisasi keamanan siber secara rutin kepada seluruh pegawai menjadi keharusan agar kesadaran, kewaspadaan, dan perilaku aman dapat terbangun secara konsisten di lingkungan perbankan.

Melalui penguatan manajemen risiko yang terstruktur dan berlapis ini, OJK mendorong bank untuk tidak hanya bereaksi terhadap insiden fraud, tetapi juga membangun sistem pencegahan yang kokoh dan berkelanjutan demi menjaga keamanan siber perbankan nasional.

Pendekatan Risk Based Supervision (RBS)

Dalam menjalankan fungsi pengawasannya, Otoritas Jasa Keuangan menerapkan pendekatan Risk Based Supervision (RBS) atau pengawasan berbasis risiko. Pendekatan ini dirancang agar pengawasan tidak dilakukan secara seragam, melainkan disesuaikan dengan profil, skala usaha, kompleksitas, dan tingkat risiko masing-masing bank. Dengan RBS, OJK dapat mengalokasikan fokus dan sumber daya pengawasan secara lebih efektif, terutama pada bank atau area operasional yang memiliki potensi risiko lebih tinggi.

Melalui pendekatan RBS, OJK memiliki kerangka kerja yang memungkinkan pengawasan dilakukan secara berkelanjutan dan terarah, dengan tujuan menjaga stabilitas dan kesehatan perbankan nasional, antara lain:

• Menilai profil risiko bank secara proporsional sesuai karakteristiknya
• Memfokuskan pengawasan pada area dan aktivitas berisiko tinggi
• Melakukan evaluasi berkelanjutan terhadap tingkat kesehatan bank

Dalam konteks ini, risiko operasional, termasuk risiko teknologi informasi dan keamanan siber, menjadi bagian integral dari penilaian tingkat kesehatan bank yang dilakukan setiap semester. Hal ini menegaskan bahwa keamanan siber tidak dipandang sebagai isu teknis semata, tetapi sebagai faktor penting yang secara langsung memengaruhi ketahanan, keberlangsungan, dan kepercayaan terhadap sistem perbankan nasional.

Pengawasan Onsite dan Offsite oleh OJK

Dalam memastikan penerapan keamanan siber dan manajemen risiko perbankan berjalan efektif, Otoritas Jasa Keuangan menjalankan pengawasan melalui dua mekanisme utama yang saling melengkapi, yaitu pengawasan tidak langsung (offsite) dan pemeriksaan langsung (onsite). Pengawasan offsite dilakukan melalui analisis laporan berkala, data operasional, serta berbagai indikator risiko yang disampaikan bank kepada OJK, termasuk indikator risiko operasional dan teknologi informasi. Melalui mekanisme ini, OJK dapat memantau tren risiko, mendeteksi potensi permasalahan sejak dini, dan menentukan area yang memerlukan perhatian lebih lanjut.

Pengawasan tersebut kemudian diperkuat dengan pemeriksaan onsite, yaitu pemeriksaan langsung di lokasi bank untuk memastikan kepatuhan terhadap regulasi serta menilai efektivitas pengendalian internal dan praktik manajemen risiko, termasuk keamanan siber. Seluruh kegiatan pengawasan ini direncanakan secara sistematis dengan mempertimbangkan tingkat urgensi risiko, skala dan kompleksitas usaha bank, serta ketersediaan sumber daya pengawas. Pendekatan yang terintegrasi ini memastikan bahwa penguatan keamanan siber perbankan nasional dilakukan secara terarah, proporsional, dan efektif, sejalan dengan upaya menjaga stabilitas dan kepercayaan terhadap sistem keuangan nasional.

Dampak Strategis Peran OJK bagi Keamanan Siber Perbankan Nasional

Peran aktif Otoritas Jasa Keuangan dalam memperkuat keamanan siber perbankan nasional memberikan dampak strategis yang melampaui aspek kepatuhan semata. Melalui regulasi, pengawasan, dan pendekatan berbasis risiko, OJK mendorong bank untuk membangun ketahanan sistem yang lebih kuat dalam menghadapi ancaman siber yang semakin kompleks. Dampak ini tidak hanya dirasakan oleh industri perbankan, tetapi juga oleh sistem keuangan nasional secara keseluruhan, yang menjadi lebih stabil dan resilien terhadap gangguan operasional dan risiko sistemik. Secara konkret, peran OJK dalam keamanan siber perbankan nasional menghasilkan berbagai manfaat strategis, antara lain:

• Meningkatkan ketahanan sistem keuangan nasional terhadap gangguan dan serangan siber
• Melindungi dana dan data nasabah dari risiko penyalahgunaan dan kebocoran
• Menjaga kepercayaan publik terhadap industri perbankan sebagai fondasi stabilitas keuangan
• Mendorong bank untuk berinvestasi pada keamanan siber secara berkelanjutan

Lebih dari itu, langkah-langkah OJK turut mendorong perubahan budaya di sektor perbankan, dari pendekatan yang berfokus pada pemenuhan regulasi menjadi manajemen risiko siber yang lebih matang, adaptif, dan berorientasi jangka panjang, sejalan dengan dinamika ancaman digital yang terus berkembang.

Baca juga: Dampak Ancaman Siber terhadap Pertumbuhan Layanan Perbankan Digital

Kesimpulan

Insiden peretasan yang menimpa sejumlah BPD menjadi pelajaran penting bagi seluruh industri perbankan nasional. Di tengah kompleksitas ancaman digital, peran OJK dalam memperkuat keamanan siber perbankan nasional sangatlah krusial. Melalui crash program pemeriksaan, kerangka regulasi yang kuat, pengawasan berbasis risiko, serta kolaborasi lintas regulator, OJK menunjukkan komitmen nyata dalam menjaga stabilitas dan kepercayaan sistem keuangan Indonesia. Ke depan, tantangan keamanan siber akan semakin dinamis. Oleh karena itu, sinergi antara regulator, bank, dan seluruh pemangku kepentingan menjadi kunci utama untuk memastikan bahwa keamanan siber bukan hanya kewajiban, tetapi fondasi utama perbankan nasional yang tangguh dan berkelanjutan.