(+62-21) 750 2976 [email protected]
Ancaman pelanggaran data terus meningkat. Jumlah insiden keamanan siber di AS yang dilacak pada tahun 2017 mencapai rekor tertinggi baru sebesar 1,579%. Jumlah ini meningkat 48% selama tahun 2016. 8,5% dari pelanggaran data yang dilaporkan pada tahun 2017 melibatkan sektor keuangan, berdampak organisasi seperti bank, fintech, serikat kredit dan perusahaan kartu kredit.

Sektor keuangan global selalu menjadi target utama untuk serangan siber karena nilai luar biasa dari informasi yang sering diakses oleh organisasi ini. Perusahaan jasa keuangan terpukul oleh insiden serangan siber yang mengejutkan 300 kali lebih sering daripada bisnis di industri lain. Lantas, apa dampaknya bagi bisnis perbankan dan fintech ?

Dampak Insiden Keamanan Siber Pada Lembaga Keuangan

Serangan-serangan tertentu yang berdampak pada sektor keuangan, termasuk serangan Distributed Denial of Service (DDoS), terus meningkat dalam ukuran dan frekuensi. Rekayasa sosial, termasuk spearphishing, adalah bentuk lain dari serangan yang semakin sering digunakan oleh penjahat siber untuk menyusup ke organisasi keuangan.

Spearphishing adalah email yang ditargetkan pada individu atau departemen tertentu dalam organisasi yang tampaknya berasal dari sumber tepercaya. Sebenarnya kriminal di dunia maya mencoba mencuri informasi rahasia.

Pada tahun 2016 dan 2017, penjahat siber menargetkan 100 bank di 30 negara melalui kampanye spearphishing. Serangan yang dijuluki “Carbanak” ini, mencuri sekitar $ 1,3 miliar selama periode 18 bulan. Kampanye ini, yang mendorong karyawan tingkat tinggi untuk mengunduh malware yang menyusup ke jaringan bank. Hal ini menggarisbawahi ancaman kritis yang ditimbulkan pada sektor keuangan dengan spearphishing dan bentuk-bentuk lain dari serangan rekayasa sosial.

Biaya tinggi dari insiden keamanan siber

Laporan terbaru dari Ponemon Institute dan IBM menemukan bahwa biaya total rata-rata dari pelanggaran data di AS mencapai rekor tertinggi $ 7,35 juta pada tahun 2017 di semua industri. Biaya ini naik 5% dari 2016.

Sementara angka tersebut sudah mengkhawatirkan, biaya pelanggaran di sektor keuangan dapat secara eksponensial lebih tinggi. Misalnya, sementara biaya rata-rata untuk bisnis AS per satu data yang hilang atau dicuri dalam pelanggaran adalah $ 225 di semua industri pada tahun 2017, biaya untuk organisasi keuangan adalah $ 336 – meningkat sebesar 49%.

Jenis serangan spesifik yang sering digunakan untuk menargetkan entitas keuangan kemungkinan berkontribusi terhadap biaya yang lebih tinggi. Misalnya, serangan malware menguras biaya rata-rata sekitar $ 825.000.

Untuk serangan DDoS, yang secara khusus menargetkan layanan perbankan online, biayanya meroket hingga rata-rata sekitar $ 1,8 juta. Lebih buruk lagi, serangan DDoS berdampak pada sumber daya perbankan dan fintech yang dihadapi oleh pelanggan lebih parah daripada di sektor lain.

Biaya ini dapat menjadi lebih signifikan ketika insiden keamanan siber berdampak pada kesetiaan dan kepercayaan merek. Hal ini pada gilirannya dapat menyebabkan kaburnya pelanggan.

Perusahaan yang mengalami kurang dari 1% pelanggan yang lari (“churn”) memiliki total biaya rata-rata pelanggaran data sebesar $ 5,3 juta. Sedangkan mereka yang mengalami “churn” lebih dari 4% memiliki biaya total rata-rata $ 10,1 juta. Hal ini harus diperhatikan terutama untuk perbankan dan fintech, karena mereka mengalami tingkat “churn” tertinggi dibanding industri apa pun setelah terjadinya pelanggaran data.

Akibatnya, satu dari setiap lima lembaga keuangan menyebut kepercayaan atau reputasi merek yang rusak sebagai perhatian utama terkait dengan insiden pelanggaran data.

Bahaya nyata dari kehilangan pelanggan

Survei 2016 tentang pencurian identitas dan korban penipuan menemukan bahwa:

  • 12,3% responden meninggalkan serikat kredit mereka
  • 28% meninggalkan bank mereka
  • 22,4% meninggalkan perusahaan kartu kredit mereka

Hal ini sebagai akibat dari aktivitas tidak sah di akun mereka.

Bahaya kehilangan pelanggan untuk lembaga keuangan yang mengalami insiden keamanan siber sangat nyata. Oleh karena itu perlindungan terhadap ancaman siber harus menjadi prioritas utama – sebagaimana mestinya bagi perusahaan di semua industri.

Strategi untuk menjaga bisnis dari insiden keamanan siber

Karena jumlah dan keparahan dari ancaman siber meningkat setiap hari, hal ini meningkatkan kesadaran akan risiko-risiko di antara lembaga-lembaga keuangan.

Beberapa organisasi keuangan telah melaporkan bahwa hanya mendengar tentang insiden keamanan siber yang berdampak pada entitas lain di sektor ini telah mempengaruhi mereka untuk berinvestasi lebih banyak dalam keamanan mereka sendiri.

Pentingnya investasi untuk keamanan siber

Alasan utama lainnya yang dikutip untuk meningkatkan investasi keamanan siber termasuk manajemen tingkat atas yang ingin meningkatkan pertahanan, mengalami serangan cyber dan permintaan pelanggan. Selain itu, investasi dalam membangun data center cadangan yang lebih kuat sebagai pertahanan terakhir juga sangat diperlukan.

Meskipun tidak ada satu ukuran cocok untuk semua pendekatan dalam meningkatkan keamanan siber pada perbankan dan fintech, setiap perusahaan dapat mengikuti praktik terbaik secara umum yang dapat disesuaikan agar sesuai dengan kebutuhan uniknya.

Penerapan yang lebih luas dari praktik-praktik ini diperlukan, karena 75% dari bisnis yang disurvei pada tahun 2016 menunjukkan bahwa mereka tidak memiliki rencana tanggapan insiden keamanan siber. Selain itu, 66% responden menyatakan bahwa mereka tidak yakin dengan kemampuan organisasi mereka untuk pulih dari serangan.

Angka-angka tersebut mengkhawatirkan, dan sejujurnya tidak ada alasan bagi perusahaan mana pun untuk tidak memiliki rencana respon pelanggaran data di tempat, terlepas dari sektor di mana ia beroperasi.

Pencadangan menurut praktik terbaik

Selain implementasi pencegahan pelanggaran data, semakin banyak perusahaan fintech dan asuransi yang mempertimbangkan untuk menggunakan layanan Disaster Recovery as a Services. Ini dapat membantu mengurangi paparan risiko dengan mengimbangi biaya terkait pemulihan setelah terjadinya insiden keamanan siber.

Perusahaan yang tidak memiliki pencadangan yang baik sering menderita kerugian yang sangat besar, bahkan jika tidak ada serangan siber sekalipun. Contohnya downtime. Untuk ukuran bisnis di Indonesia, bahkan insiden downtime pun dapat mengambil waktu hampir 12 jam untuk pulih. Bagaimana jika serangan siber mulai marak di Indonesia ?.

Perusahaan keuangan juga harus menerapkan strategi untuk mengurangi hilangnya pelanggan setelah pelanggaran. Misalnya, menawarkan sumber daya pelanggan untuk membantu menyelesaikan masalah yang berasal dari serangan siber. Ini termasuk seperti penawaran perlindungan identitas yang mencakup layanan resolusi. Pengembalian investasi untuk jenis penawaran ini cukup signifikan, karena mereka harus menjaga kepercayaan pelanggan sambil mengurangi churn pelanggan.

Selain itu, survei konsumen baru-baru ini menemukan bahwa 50% responden lebih memilih untuk membeli layanan perlindungan identitas dari lembaga keuangan yang menjadi mitra mereka. Ini disebabkan karena mereka sering mempercayai organisasi ini dengan informasi sensitif mereka.

Beberapa penyedia perlindungan identitas memungkinkan platform mereka diberi label putih. Lembaga keuangan dapat menawarkan layanan ini untuk meningkatkan persepsi merek positif merek mereka, sambil melindungi pelanggan dan karyawan mereka terhadap penipuan.

Jangan lupa bahwa karyawan mungkin adalah titik terlemah

Sementara organisasi keuangan mulai menerapkan praktik-praktik terbaik keamanan siber yang lebih baik berkaitan dengan sistem teknologi mereka atau sumber daya lainnya, mereka sering gagal untuk berinvestasi dalam basis karyawan mereka. Hal ini sangat berpotensi menjadi ancaman terbesar.

Peretasan, skimming, dan serangan phising menyebabkan lebih dari setengah dari semua pelanggaran data yang memengaruhi entitas keuangan. Banyak di antaranya merupakan hasil langsung dari upaya spearphishing yang menargetkan tim manajemen.

Internal Revenue Service melihat peningkatan 400% dalam penipuan jenis phishing pada tahun 2016. Penyebab pelanggaran data teratas lainnya termasuk via email atau paparan Internet, serta kesalahan karyawan.

Lembaga keuangan harus mengatasi ancaman siber yang ditimbulkan oleh karyawan mereka sendiri. Berikan informasi dan edukasi yang cukup tentang prosedur untuk mengidentifikasi dan menanggapi risiko. Ini dapat dilakukan sambil mematuhi kebijakan peraturan dan kepatuhan yang berlaku.

Pengembalian investasi untuk program pendidikan karyawan bisa sangat besar. Misalnya, Institut Ponemon menghitung efektivitas program pelatihan anti-phishing dan menemukan bahwa program rata-rata menghasilkan 37 kali lipat laba atas investasi, bahkan ketika mempertimbangkan produktivitas yang hilang.

Seperti halnya pelanggan mereka, organisasi keuangan dapat mempromosikan kesadaran keamanan siber dan menumbuhkan budaya praktik terbaik. Cara yang dapat ditempuh adalah dengan menawarkan akses karyawan ke sumber daya keamanan, atau bahkan layanan perlindungan identitas, sebagai tunjangan karyawan.

Investasi dalam cybersecurity secara komprehensif sangat penting, dan lembaga keuangan tertentu yang terkenal memimpin biaya. Sebagai contoh, Bank of America Merrill Lynch telah mengambil “pendekatan pemeriksaan kosong”; dengan kata lain, ia telah menghilangkan pembatasan anggaran dari pengeluaran keamanan sibernya, karena perusahaan mengakui pentingnya melindungi bisnis dari ancaman siber.

Investasikan pada pelanggan dan karyawan untuk pendekatan komprehensif

Satu-satunya jaminan dalam lanskap dunia maya saat ini adalah bahwa pihak jahat akan terus menemukan cara baru untuk menyusup jaringan di lembaga keuangan dan industri lainnya. Oleh karena itu, perusahaan keuangan harus menerapkan praktik terbaik untuk melindungi diri terhadap pelanggaran data. Perbankan dan Fintech harus dapat menyelesaikan semua kemungkinan masalah yang dapat timbul jika terjadi serangan siber.

Solusi teknologi seperti otentikasi multifaktor atau kredensial biometrik sangat penting, tetapi sama pentingnya adalah investasi dalam sumber daya untuk pelanggan dan karyawan. Pencadangan sesuai praktik terbaik merupakan pertahanan terakhir dalam kondisi apapun.

Pendekatan komprehensif ini adalah satu-satunya cara efektif memerangi ancaman dunia maya saat ini.

Share This