Oleh: Achmad Deni Daruri, President Director Center for Banking Crisis

Mengingat kondisi ekonomi saat ini yang menurun akibat Covid-19, pencurian informasi oleh orang dalam merupakan peningkatan risiko yang dihadapi semua lembaga keuangan. Mengapa? Karena orang dalam memiliki akses ke informasi pelanggan dan mungkin tergoda untuk mengangkut atau menjual karena alasan ekonomi atau dendam, terutama jika mereka diberhentikan dari lembaga keuangan. Mereka juga memiliki pengetahuan yang mendalam tentang kebijakan dan prosedur keamanan informasi dan mengetahui apa saja kekuatan dan kerentanan lembaga tersebut.

Seiring teknologi terus berkembang dengan cepat, pada tahun 2021 masyarakat akan melihat lebih banyak bank mulai mengadopsi kecerdasan buatan yang disandingkan dengan pembelajaran mesin untuk menawarkan fitur keamanan yang ditingkatkan kepada pelanggan mereka. Selain itu, karena kesalahpahaman dan mitos tentang keamanan cloud juga akan semakin hilang, adopsi teknologi cloud juga akan meningkat. 

Phisher adalah salah satu penipu yang sibuk seperti biasanya, kata John LaCour, CISSP, Direktur Solusi AntiPhishing di MarkMonitor dan analis kontributor untuk Laporan Tren Aktivitas Phishing Anti-Phishing Working Group (APWG). "Phisher sepertinya tidak ada habisnya," kata LaCour. Sementara jumlah URL unik menurun hampir sepertiga awal tahun ini karena aktivitas Rock Phish yang lebih rendah, jumlah serangan sebenarnya yang diukur dengan kombinasi nama domain merek dan phishing meningkat 11 persen. "Ini menunjukkan bahwa phishing tradisional sekuat sebelumnya dan terus meningkat," LaCour menyimpulkan.

Perekonomian yang buruk? Tidak masalah bagi regulator perbankan. Bahkan jika institusi terpengaruh oleh pinjaman atau investasi yang buruk dan bank berurusan dengan akibatnya, regulator masih akan memeriksa program bank untuk kepatuhan - dan perbankan sebaiknya bersiap, kata David Schneier, Direktur Layanan Profesional di Icons, Inc ., Sebuah firma penilai risiko yang berbasis di Princeton, NJ. "Tidak banyak ruang untuk melakukan manuver atau memodifikasi apa yang perlu dilakukan," kata Schneier, yang menghabiskan sebagian besar waktunya bekerja dengan lembaga perbankan dalam upaya kepatuhan mereka.  Juga di bagian atas daftar untuk semua institusi haruslah Peraturan pencurian ID, yang mencakup dasar-dasar pencegahan pencurian identitas dan program kesadaran. "Ini akan memberikan pengamanan penting untuk memastikan bahwa aktivitas yang berpotensi penipuan sedang diidentifikasi dan dikelola." Schneier dari Icons membuat prediksi akhir bahwa "perampokan kuno" akan meningkat selama masa-masa sulit ini. "Perbedaan antara apa yang kita hadapi sekarang dengan 80 tahun yang lalu adalah bahwa pada tahun 1927 ada pelarian di bank untuk mengeluarkan uang Anda, ancamannya sekarang adalah penarikan uang di bank untuk mengeluarkan uang orang lain."

Ia mengamati bahwa dengan banyaknya jalur digital masuk dan keluar dari lembaga keuangan, pemalsuan dokumen keuangan semakin mudah, sehingga kemungkinan penipuan menjadi lebih besar. Dan kemudian ada prospek untuk menargetkan pelanggan ATM yang tidak menaruh curiga.  Lembaga harus mulai mengurangi kejahatan ATM dan meningkatnya ancaman kejahatan fisik melalui pendekatan dua arah. Pertama dan terpenting adalah pendidikan. Semua lembaga keuangan memiliki pamflet dan program yang dirancang untuk mendidik pelanggan / anggotanya mengenai keamanan ATM (misalnya menutup pintu yang terkunci di belakang nasabah, menghitung uang nasbah setelah meninggalkan area tersebut, dll.) Dan mereka perlu memastikan bahwa hal ini dibuka di depan audiens mereka lagi, kata Schneier. Kedua, pencegah fisik seperti kamera video, penerangan yang cukup, penempatan yang tidak tertutup, kaca spion (untuk melihat ke belakang) dan pintu terkunci yang berfungsi. Ingatkan nasabah saat berkendara melalui ATM untuk selalu memastikan bahwa mobil di depan mereka telah melewati jalur, tidak meletakkan mobil di tempat parkir (tetap di persneling dan menginjak rem) serta memeriksa tampilan samping dan belakang cermin sebelum memulai transaksi.

Mengenai perampokan di jendela kasir, sudah ada pelatihan yang tersedia yang memberikan panduan yang jelas tentang langkah-langkah yang harus diambil, kata Schneier. Tapi lembaga keuangan perlu lebih agresif dalam melakukan latihan dan mungkin meningkatkan frekuensinya. Penting juga bagi mereka untuk berpikir lebih dari sekadar melatih para teller. "Di satu institusi baru-baru ini, seorang non-bisnis sedang mendiskusikan bagaimana mereka sering melewati lobi dan tidak akan tahu apa yang harus dilakukan jika mereka menemui hambatan," kata Schneier. "Mempertimbangkan bahwa semua yang diperlukan jika satu orang bereaksi secara tidak tepat untuk membuat hal-hal di luar kendali, ini adalah pertimbangan penting.

Semua karyawan bank perlu tahu apa yang harus dilakukan." "Fokus Corporate One pada pengelolaan risiko berkembang jauh sebelum masalah ini dimulai," kata Joe Ghammashi, Chief Risk Officer di serikat kredit korporat senilai  5,16 miliar dolar. Ini didukung oleh portofolio investasi yang terdiversifikasi dari credit union. Pekerjaan Corporate One selama tiga tahun terakhir adalah pada program manajemen risiko perusahaan juga telah membuahkan hasil. "Kami mengintegrasikan pemilik bisnis kami ke dalam proses tata kelola teknologi informasi (TI) dan membawa TI keluar dari silo ke lingkungan mitra bisnisnya”. Ketika datang untuk melawan ancaman orang dalam, lembaga keuangan termasuk dalam tipe A atau B seperti kebanyakan manusia, kata Sai Huda, Ketua dan CEO Pelatih Kepatuhan, sebuah perusahaan kepatuhan berbasis San Diego, CA yang didukung oleh tiga dari negara 10 bank teratas (Wells Fargo, Bank of America dan Citigroup).

Lembaga keuangan Tipe A melihat keamanan informasi sebagai item penting misi. "Di institusi Tipe A, keamanan dimulai dari atas dengan dewan direksi. Mereka sangat agresif dalam mematuhi sepenuhnya persyaratan regulasi dan kebijakan keamanan informasi," kata Huda. Hal ini terutama diperlukan dalam lingkungan saat ini di mana penipuan sedang meningkat, dan pencurian informasi oleh orang dalam memiliki kemungkinan berisiko tinggi. Lembaga Tipe A berfokus pada orang dalam dan menanyakan siapa yang memiliki akses ke apa, mengapa? Mereka juga fokus pada karyawan yang diberhentikan. "Apakah mereka pergi dengan membawa informasi rahasia?"

Di sisi lain adalah lembaga keuangan Tipe B yang memiliki pendekatan yang santai dan santai terhadap keamanan informasi. "Mereka melihatnya sebagai sesuatu yang diminta oleh regulator, jadi mereka melakukannya. Mereka tidak proaktif. Tidak ada berita adalah kabar baik. Jika tidak ada berita tentang pelanggaran apa pun, maka semuanya harus baik-baik saja dengan keamanan informasi," kata Huda. Kegagalan terbesar dalam era Covid-19 adalah pada sector keuangan yang lebih mempercayai orang dalam dimana mereka lebih fokus pada orang luar!