Di tempat yang sama, Sekretaris Jenderal (Sekjen) Perhimpunan Bank-Bank Nasional Indonesia (Perbanas) sekaligus Komisaris PT Bank Jago Tbk, Anika Faisal, mengakui bank memiliki risiko tinggi dalam konteks keamanan siber. Keamanan siber tak sekedar teknologi, tapi juga terkait dengan SDM. Serangan siber di Indonesia setidaknya terjadi sejak 2020 dengan berbagai bentuk seperti malware, phishing, password attack, Ddos, Cross-site scripting, insider threat, dan MiTM.
“Paling banyak 35 persen serangan malware, berupa virus dari luar yang masuk, kemudian password attack 23 persen,” ujarnya.
Oleh karena itu selain menyiapkan teknologi yang mumpuni untuk menangkal serangan siber, Anika mengatakan bank harus memberi pengetahuan dan pemahaman kepada pekerjanya untuk lebih berhati-hati. Boleh jadi serangan itu muncul salah satunya dari sikap karyawan yang kurang berhati-hati dalam menjalankan menjaga kerahasiaan seperti username dan password.
Ketua Asosiasi Konsultan Hukum Teknologi Informasi (AKHTI) sekaligus Partner Technology, Media and Telecomunications (TMT) Assegaf Hamzah & Partners, Zacky Zainal Husein mengatakan SE OJK No.29/SEOJK.03/2022 salah satunya memandatkan bank untuk membuat unit/fungsi yang khusus menangani ketahanan dan keamanan siber.
Tugas tim/fungsi tersebut meliputi 2 hal yakni menilai (self assessment) tingkat risiko keamanan siber dan pengujian keamanan siber. Tim tersebut bersifat independen terhadap fungsi pengelolaan Teknologi Informasi, anggota tim memiliki SDM dengan kompetensi yang sesuai dan memadai, tim tersebut juga sebagai koordinator tim tanggap insiden.
Pembentukan tim khusus itu mirip dengan data protection officer (DPO) sebagaimana diatur UU No.27 tahun 2022 tentang Pelindungan Data Pribadi yang bertugas memastikan kepatuhan dan memberikan masukan atas dampak pelindungan (self assessment). Tapi DPO hanya untuk pengendali/prosesor data yang melakukan pelayanan publik, mengolah data pribadi dalam skala besar, dan mengolah data pribadi spesifik dan terkait tindak pidana.
“Bank perlu mencermati adanya 2 ketentuan tersebut yakni unit keamanan dan ketahanan siber juga DPO,” pungkasnya.