Risiko Siber dan Kestabilan Sistem Keuangan
Risiko Siber dan Kestabilan Sistem Keuangan
Saat ini digitalisasi transaksi perbankan (digital banking) sudah merupakan suatu keharusan. Dan memang sudah terbukti kalau digitalisasi transaksi perbankan banyak memberikan keuntungan, baik dari sisi kecepatan, kemudahan, ketepatan dan tentu saja efisiensi. Inklusi finansial pun dapat meningkat dengan bantuan digitalisasi. Namun dibalik semua itu, ada risiko yang siap mengancam perbankan.
Dampak risikonya pun tidak kalah dahsyat dengan risiko-risiko perbankan lainnya seperti risiko kredit, risiko pasar dan risiko likuiditas. Risiko itu adalah risiko siber (cyber risk).
Risiko siber dapat didefinisikan sebagai risiko operasional terhadap aset informasi dan teknologi yang dapat mempengaruhi kerahasiaan, ketersediaan, atau integritas informasi atau sistem informasi (Cebula dan Young, 2010).
Risiko siber itu sejatinya merupakan bagian dari risiko operasional dan bila terkena akan berdampak pada bank atau nasabah bank itu sendiri. Namun dalam skala yang lebih luas (sistemik), risiko siber dapat menimbulkan gonjangan atau instabilitas sistem keuangan.
Dana Moneter Internasional (IMF) juga telah mewanti-wanti ancaman risiko siber itu. Tertuang dalam Global Financial Stability Review keluaran Oktober 2018, IMF menyebutkan bahwa salah satu sumber ancaman dan kerentanan baru (new sources of risk and vulnerabilities) yang dapat mengancam kestabilan sistem keuangan adalah risiko siber. Kajian IMF itu setidaknya menguatkan 2 hasil survei sebelumnya, yakni survei The Depository Trust & Clearing Corporation /DTCC Systemic Risk Barometer (2017Q1) yang menempatkan risiko siber di urutan pertama. Sementara itu, survei yang dilakukan Bank Sentral Inggris (2017H1) menempatkan risiko siber di urutan kedua.
Tidak ketinggalan pula hasil riset PwC Indonesia yang bertajuk Global Economic Crime and Fraud Survei PwC 2018. Riset PwC itu mengingatkan ancaman keamanan siber mempunyai risiko besar terhadap bisnis perbankan digital dalam dua tiga tahun ke depan.
Munculnya risiko siber itu sebenarnya tak lepas dari kemajuan teknologi informasi yang sangat pesat disertai dengan inovasi yang tiada henti. Dan celakanya, sektor keuangan menjadi target utama dari serangan siber (cyber attacks), baik karena motif keuntungan finansial maupun akses terhadap kerahasian data. Hal ini tentu tidak mengherankan. Pasalnya, sektor keuangan, terutama perbankan memiliki ketergantungan yang sangat tinggi pada teknologi informasi. Kondisi inilah yang menjadikan perbankan menjadi rentan terhadap serangan siber.
Sementara itu, kondisi terkini menunjukkan serangan siber yang ditujukan institusi perbankan makin hari makin banyak saja dan canggih (sophisticated). Serangan siber ke sektor finansial (perbankan) menjadi favorit bagi cyber attackers. Ini terlihat dari survei Verizon (2016) yang memperlihatkan bahwa industri keuangan di 2015 paling banyak menderita kerugian akibat serangan siber. Bahkan, the World Economic Forum Global Risk Perception Survey 2018 melansir estimasi kerugian dari serangan siber bisa mencapai USD 8 triliun selama lima tahun ke depan.
Transmisi risiko sistemik
Menurut the US Office of Financial Research (2017), risiko siber dapat menyulut risiko sistemik yang berujung pada stabilitas sistem keuangan melalui tiga jalur. Pertama, risiko siber dapat mengganggu kegiatan operasional institusi keuangan yang menyediakan jasa-jasa kritikal. Peran yang dimainkan institusi keuangan itu tidak dapat digantikan dengan mudah bila mereka mengalami gangguan (lack of availability). Sebagai contoh, peran sebagai penyedia infrastruktur pasar keuangan (Financial Market Infrastructure/FMI) seperti payment system, central securities depositories, custodians, central counterparties, securities settlement systems, dan messaging system.
Serangan siber terhadap FMI tersebut memiliki daya rusak yang luas. Pasalnya, FMI itu memiliki interkoneksi yang tinggi dengan berbagai institusi keuangan. FMI menyelesaikan transaksi keuangan melalui transfer sejumlah nilai uang tertentu dan melibatkan banyak institusi keuangan, orang, proses dan teknologi. Bisa dibayangkan kerusakan atau gangguan yang ditimbulkan seumpanya The Society for Worldwide Interbank Financial Telecommunication/SWIFT (salah satu contoh dari FMI) yang merupakan messaging network system yang digunakan bank-bank secara global untuk mengirimkan instruksi pembayaran yang bernilai triliunan dolar setiap hari, mengalami gangguan atau di-hack oleh perilaku kejahatan siber. Bangladesh Bank pernah mengalami hal itu di 2016 dan menderita kerugian sebesar USD 81 juta.
Kedua, risiko siber dapat mengurangi tingkat keyakinan terhadap industri keuangan (loss of confidence). Industri keuangan, terutama perbankan, dibangun atas pondasi kepercayaan. Maka itu, bila risiko siber menyerang institusi perbankan maka dapat berdampak pada tingkat kepercayaan nasabah pada perbankan itu. Terkikisnya pondasi kepercayaan akan mendorong timbulnya penarikan dana masyarakat (bank run), kekeringan likuiditas dan yang paling parah adalah terjadinya gagal bayar.
Sebagai contoh pada Maret 2018 lalu, salah satu bank nasional setidaknya mencatat ada 141 nasabah yang menjadi korban kejahatan siber, dengan total kerugian mencapai Rp 260 juta. Akibatnya, bank tersebut langsung melakukan upaya penyelesaian sekaligus memperkuat sistem keamanan bank terutama dari sisi ATM. Nilai kerugian tersebut sepertinya kecil, namun bila permasalahan itu tidak tertangani dengan cepat, maka tentu akan banyak nasabah tidak percaya pada bank tersebut dan lalu menarik dananya.
Ketiga, risiko siber merusak integritas data (loss of data integrity). Integritas data merupakan hal yang sangat krusial bagi institusi keuangan. Ini karena integritas data dapat memastikan keakuratan, konsistensi, dan kualitas tinggi dari sebuah data sehingga memberikan jaminan keabsahan data itu sendiri. Proses data yang sifatnya seketika (just in-time basis) banyak digunakan oleh institusi keuangan dalam bertransaksi diberbagai pasar keuangan. Bila integritas data memburuk, maka informasi yang dihasilkan menjadi tidak kredibel sehingga pada ujungnya akan mengganggu aktivitas pasar.
Upaya Pencengahan
Melihat dampaknya yang sistemik dan berpotensi menimbulkan instabilitas sistem keuangan, maka upaya yang harus dilakukan adalah dengan membangun keamanan dan ketahanan siber. Seluruh pelaku industri dan pemangku kebijakan harus saling bersinergi dalam menangani risiko siber tersebut.
Bank Indonesia sendiri selaku otoritas di sistem pembayaran telah merespon hal itu, terutama pada saat Gubernur Bank Indonesia memaparkan 5 Visi Sistem Pembayaran Indonesia (SPI) 2025 tanggal 27 Mei 2019. Visi itu merupakan respon atas perkembangan digitalisasi yang merubah lanskap risiko secara signifikan yaitu meningkatnya ancaman siber, persaingan monopolistik, dan shadow banking yang dapat mengurangi efektivitas pengendalian moneter, stabilitas sistem keuangan dan kelancaran sistem keuangan.
Namun yang terpenting bahwa dalam mengatasi risiko siber, tidak hanya pada aspek preventifnya saja, namun pada aspek paska terjadinya serangan siber. Seberapa cepat proses perbaikan kerusakan yang terjadi dan pencengahan agar kejadian tersebut tidak terulang kembali.
*) Telah dimuat di Harian Investor Daily, 25 Juni 2019