Sektor keuangan kini menghadapi lonjakan ancaman siber yang signifikan, seiring pesatnya transformasi digital. Menurut proyeksi global, kerugian akibat kejahatan siber diperkirakan mencapai USD 10,5 triliun pada 2025. Jenis serangan seperti ransomware dan phishing terus meningkat; misalnya, laporan menunjukkan serangan ransomware naik 81% dan phishing 58% dalam satu tahun terakhir, dengan sektor keuangan menjadi target utama. Ancaman semakin kompleks dengan teknologi canggih (deepfake, AI generatif) yang digunakan pelaku kriminal.

Badan pengawas keuangan, seperti RBI (Reserve Bank of India), bahkan telah mengeluarkan peringatan terbaru terkait meningkatnya risiko tersebut. Dalam Financial Stability Report 2025, RBI menyoroti bahwa perluasan layanan keuangan digital, infrastruktur cloud, dan interkoneksi antar-sektor telah memperbesar attack surface, sehingga serangan siber kian sering dan sulit dideteksi. RBI menekankan bahwa kebergantungan pada layanan pihak ketiga juga menambah risiko sistemik (termasuk potensi efek domino jika terjadi kegagalan). Kondisi ini menuntut kesiapan ekstra dari institusi keuangan. Untuk menjaga kepercayaan publik dan kelangsungan operasional, pertahanan siber yang kuat, adaptif, dan terkoordinasi menjadi keharusan.

Di Indonesia, ancaman serupa juga dirasakan. Peningkatan transaksi digital diiringi lonjakan penipuan dan peretasan, sehingga regulator (OJK, BI) dan pelaku industri harus mengantisipasi risiko ini. Seperti dikatakan Wakil Ketua OJK pada konferensi keuangan digital, keamanan bukan hanya masalah infrastruktur TI, tetapi juga perilaku pengguna. Kesadaran dan literasi siber masyarakat menjadi sangat penting agar sektor keuangan digital tetap aman.

Apa Itu Zero Trust dan Mengapa Penting?

Zero Trust adalah paradigma keamanan siber modern yang didasarkan pada prinsip “tidak ada yang dipercaya secara otomatis”. Alih-alih mengandalkan batas perimeter jaringan tradisional, model Zero Trust menerapkan kebijakan keamanan ketat untuk setiap koneksi, pengguna, dan perangkat. Artinya, setiap akses harus selalu diautentikasi dan diverifikasi terlepas dari posisi dalam jaringan. Pendekatan ini berbeda dengan model lama, di mana pengguna dalam jaringan internal dianggap aman. Transformasi digital—seperti cloud, mobile, IoT—telah mengaburkan batas-batas itu, sehingga model tradisional rentan dimanfaatkan pelaku kejahatan.

Implementasi Zero Trust biasanya melibatkan segmentasi jaringan dan kontrol akses granular. Misalnya, sebuah institusi dapat membagi infrastrukturnya menjadi segmen kecil dan membatasi akses pengguna hanya ke segmen yang relevan. Setiap perangkat (termasuk perangkat BYOD) harus melalui proses autentikasi multi-lapisan (multi-factor authentication) dan evaluasi postur keamanan sebelum diberikan akses. OJK sudah mendorong lembaga keuangan menerapkan model ini; “konsep keamanan yang tidak mempercayai siapapun, sehingga mengharuskan pengguna diautentikasi, diotorisasi, dan memvalidasi postur keamanan” disebut sebagai poin penting dalam menanggulangi risiko siber.

Pentingnya Zero Trust tercermin dalam tren global. Banyak organisasi kini mengadopsi arsitektur ini untuk memperkuat postur keamanan mereka menghadapi permukaan serangan yang terus melebar. Menurut IBM, Zero Trust menggeser fokus pengamanan dari perimeter ke setiap sumber daya individual. Dengan prinsip “jangan percaya, selalu verifikasi”, strategi ini membantu mengatasi risiko dari faktor internal maupun eksternal. Sebagai contoh, meskipun seorang karyawan sudah masuk ke dalam jaringan perusahaan, model Zero Trust memaksa sistem untuk terus memeriksa identitas dan izin aksesnya ketika ia mengakses aplikasi atau data baru. Pendekatan yang lebih granular ini efektif mencegah pergerakan lateral oleh penjahat siber setelah mereka masuk ke dalam jaringan. Oleh karena itu, banyak regulator dan pakar keamanan merekomendasikan Zero Trust sebagai strategi esensial untuk meningkatkan ketahanan sistem keuangan digital.

Pertahanan “AI-aware”: Menjadikan AI Mitra Keamanan

AI-aware defense adalah pendekatan keamanan yang memanfaatkan kecerdasan buatan (AI) dan machine learning sebagai bagian integral pertahanan siber. Alih-alih menggunakan metode deteksi tradisional yang bergantung pada tanda tangan (signature), pertahanan yang “AI-aware” mengandalkan algoritma untuk mengenali pola anomali dan merespons serangan secara lebih cepat. Di satu sisi, AI kini digunakan penjahat untuk memperhalus serangan (misalnya deepfakes dan phishing AI). Namun di sisi lain, AI menjadi kunci dalam mendeteksi, merespons, dan bahkan mengantisipasi potensi ancaman.

Dalam sektor keuangan, penggunaan AI dapat meliputi machine learning-driven anomaly detection (mendeteksi perilaku tak biasa dalam transaksi), behavioral analytics (memahami pola pengguna biasa vs pelaku kejahatan), dan intelijen ancaman real-time. Sebagai contoh, sistem bisa memantau jutaan transaksi digital secara otomatis dan menandai aktivitas mencurigakan yang tanpa pola tanda tangan eksplisit, sehingga kasus penipuan bisa direspons lebih cepat. Bahkan RBI menekankan pentingnya strategi “AI-aware defense” dalam menghadapi serangan siber yang semakin canggih.

Di samping teknologi, keberhasilan AI-aware defense bergantung pada data dan SDM yang memadai. Laporan OJK Institute menunjukkan bahwa sekitar 40% serangan siber saat ini melibatkan pemanfaatan AI, sehingga pertahanan yang mengabaikan AI akan kesulitan mengikuti dinamika terbaru. Sementara di kalangan organisasi keamanan siber, 66% mengakui bahwa AI adalah game-changer dalam strategi keamanan mereka. Oleh karena itu, institusi keuangan di Indonesia juga perlu mengintegrasikan AI dalam SOC (Security Operations Center) dan sistem pengawasan mereka. Sebagai bukti kesadaran ini, Direktur BI-Fast menyatakan bahwa untuk menangkal penipuan dalam transaksi yang melonjak, “kita harus sudah menggunakan AI juga; AI bukan hanya dipakai oleh pelaku fraud, tetapi juga oleh penyedia layanan untuk menangkal kejahatan”. Dengan demikian, AI tidak hanya ancaman, melainkan juga mitra dalam memperkuat pertahanan siber finansial.

Risiko Sistemik Akibat Ketergantungan Vendor (Vendor Lock-in)

Ketergantungan berlebihan pada satu penyedia layanan infrastruktur (cloud atau TI) dapat menciptakan titik lemah sistemik. Jika banyak bank dan fintech mengandalkan infrastruktur cloud dari beberapa vendor besar yang sama, maka kejadian kegagalan atau insiden keamanan di penyedia tersebut dapat memicu efek domino. RBI mengingatkan bahaya “vendor lock-in” ini: kebergantungan tinggi pada satu atau beberapa penyedia IT/cloud utama dapat menimbulkan risiko konsentrasi, membuat ekosistem keuangan lebih rapuh. Misalnya, jika satu layanan cloud besar mengalami breach atau outage, kerentanan itu dapat cepat menyebar ke banyak entitas finansial sekaligus.

Contoh riil yang dikaji regulator Eropa juga memperlihatkan hal serupa. Laporan ESMA (Otoritas Pasar Modal Eropa) menyatakan bahwa dominasi beberapa Cloud Service Providers (CSP) dapat menyebabkan risiko stabilitas finansial: jika satu CSP mengalami gangguan, banyak klien finansialnya bisa terkena dampak serentak. Dalam model sistemik, penyedia cloud perlu memiliki kemampuan lebih besar dibanding institusi keuangan biasa untuk menahan beban tersebut. ESMA merekomendasikan pentingnya backup cloud atau diversifikasi penyedia untuk memitigasi risiko ini.

Secara hipotetis, bayangkan sebuah skenario di mana penyedia cloud terkemuka (misalnya AWS atau Google Cloud) terkena serangan besar. Bank-bank dan startup fintech yang bergantung pada platform itu bisa kehilangan layanan inti secara bersamaan, mengganggu jutaan transaksi dan layanan finansial. Gangguan semacam itu tidak hanya menghambat operasi harian, tetapi juga dapat menimbulkan kepanikan pasar. Oleh karena itu, institusi keuangan disarankan untuk merancang arsitektur teknologi yang redundan dan tidak menempatkan seluruh beban pada satu vendor. Risiko vendor lock-in inilah yang diwarnai RBI sebagai “risiko sistemik” dalam ekosistem keuangan digital.

Rekomendasi RBI dan Kerangka Kebijakan Baru

Sebagai tanggapan atas tantangan di atas, RBI dalam Financial Stability Report 2025 mengeluarkan sejumlah rekomendasi kebijakan strategis. Prinsip utamanya adalah risk-based supervision, di mana pengawasan difokuskan berdasarkan tingkat risiko, bukan pendekatan seragam. Selain itu, Security Operations Center (SOC) yang tangguh dianggap kunci; efektivitas SOC institusi keuangan harus ditingkatkan agar dapat mendeteksi dan merespons insiden dengan cepat. RBI juga menekankan penerapan Zero Trust dan strategi pertahanan berbasis AI (AI-aware defense) sebagai pilar utama resiliensi siber.

Secara lebih rinci, RBI merekomendasikan langkah-langkah berikut:

• Pengawasan berbasis risiko (risk-based supervision) bagi kegiatan digital finansial, memastikan prioritas kepada entitas dengan profil risiko tinggi.
• Penguatan SOC melalui latihan keterampilan, teknologi deteksi canggih, dan peningkatan kapasitas personel keamanan siber.
• Implementasi Zero Trust dan AI-aware defense di seluruh ekosistem TI finansial, guna merespons ancaman dengan model “zero implicit trust” dan pembelajaran mesin.
• Penggunaan behavioral analytics dan mekanisme pemantauan berlapis (graded monitoring) untuk deteksi dini pola serangan.
• Pelaksanaan simulasi serangan berkelanjutan seperti Continuous Assessment-Based Red Teaming (CART), yang menghadirkan skenario nyata bagi tim keamanan untuk berlatih dan memperbaiki respon.
• Penerapan kerangka pelaporan insiden terstandar (uniform incident reporting) di seluruh industri keuangan, sehingga data serangan dapat dianalisis kolektif dan mitigasi dapat dilakukan secara menyeluruh.

Melalui rekomendasi ini, RBI bertujuan membangun ekosistem yang koordinatif dan adaptif. Selain itu, regulator di India juga mengarahkan fokus sinergis dengan lembaga lain dalam pengawasan keamanan digital, termasuk memperkuat kerjasama lintas-sektor. Secara khusus, mereka menekankan bahwa konsistensi regulasi dan pelatihan berkelanjutan adalah kunci agar strategi pertahanan seperti Zero Trust dan AI-aware benar-benar efektif.

Implementasi di Indonesia: Relevansi dan Adaptasi

Pendekatan keamanan serupa sangat relevan untuk diterapkan di Indonesia, namun dengan penyesuaian konteks lokal. Beberapa poin adaptasi yang perlu diperhatikan antara lain:

• Kesiapan SDM dan Budaya Keamanan: Sumber daya manusia menjadi tantangan utama. Belum banyak pakar keamanan siber di sektor finansial Indonesia, sehingga pelatihan dan sertifikasi perlu diperkuat. OJK Institute mencatat bahwa efektivitas arsitektur seperti Zero Trust dan teknologi canggih sangat bergantung pada dukungan regulasi kuat dan kapasitas SDM yang adaptif. Peningkatan literasi digital dan kesadaran masyarakat juga krusial. OJK sendiri gencar mengkampanyekan edukasi konsumen, karena 60% risiko keamanan ditentukan oleh perilaku pengguna (pengamanan password, OTP). Media Indonesia melaporkan komitmen OJK untuk terus meningkatkan literasi terkait risiko fraud digital.
• Regulasi dan Kerangka Kerja: Regulator keuangan Indonesia telah mengeluarkan sejumlah ketentuan untuk keamanan TI. Contohnya, OJK memiliki Surat Edaran (SEOJK 29/2022) khusus untuk ketahanan dan keamanan siber bank umum, serta Peraturan OJK tentang manajemen risiko TI (POJK 13/2016, 4/2021). Terbaru, OJK meluncurkan Pedoman Keamanan Siber untuk Penyelenggara Fintech (ITSK), yang mencakup proteksi data, manajemen risiko, respons insiden, serta pelatihan dan kolaborasi informasi. Panduan ini diharapkan menjadi kerangka kerja standar bagi inovator teknologi keuangan di Indonesia. Bank Indonesia pun menyetujui kerjasama penanganan insiden siber lintas-sektor melalui Tim Tanggap Insiden Siber Sektor Keuangan (TTIS-SK) bersama OJK. Langkah-langkah ini mirip dengan anjuran RBI, terutama dalam penguatan SOC dan kerangka pelaporan insiden. Namun, masih diperlukan undang-undang keamanan siber tingkat nasional agar cakupan lebih luas, seperti yang diharapkan OJK untuk mengatur risiko di lembaga non-keuangan juga.
• Teknologi dan Infrastruktur: Banyak institusi keuangan di Indonesia yang mulai mengadopsi cloud dan teknologi digital, termasuk BI-Fast dan dompet digital. Ketergantungan ini memerlukan strategi untuk menghindari vendor lock-in. Diversifikasi penyedia layanan infrastruktur dan arsitektur yang mampu fail-over perlu dikembangkan. Seperti disarankan OJK/BI, penyusunan peta jalan perlindungan infrastruktur informasi vital (IIV) di sektor keuangan menjadi penting agar tidak bergantung pada satu titik kegagalan.

Secara keseluruhan, sektor keuangan Indonesia sudah bergerak ke arah yang sejalan dengan rekomendasi global. Namun, tantangan utama adalah menyesuaikan teknologi dan tata kelola dengan sumber daya yang ada. Misalnya, perbankan dan fintech didorong untuk menerapkan Zero Trust dan autentikasi multi-faktor (biometrik, OTP) guna mencegah “account takeover” yang tengah marak. Dukungan pemerintah, lembaga riset, serta kolaborasi industri juga diperlukan untuk memperkuat ketahanan siber nasional.

Kesimpulan: Mengamankan Masa Depan Keuangan Digital

Menghadapi ancaman siber yang semakin canggih, Zero Trust dan AI-aware defense bukanlah opsi, melainkan keharusan bagi sektor keuangan. Pendekatan “never trust, always verify” memastikan bahwa sistem senantiasa melakukan verifikasi keamanan, mengurangi celah eksploitasi. Di sisi lain, kecerdasan buatan memberikan kecepatan dan presisi dalam mendeteksi dan merespons ancaman yang terus berkembang. Sinergi di antara regulasi ketat, teknologi mutakhir, dan peningkatan kapasitas sumber daya manusia adalah kunci. Seperti disimpulkan OJK Institute, efektivitas strategi ini sangat bergantung pada dukungan regulasi yang kuat dan pengembangan SDM yang adaptif.

Oleh karena itu, lembaga keuangan Indonesia harus segera bertransformasi menuju model pertahanan siber yang cerdas dan dinamis. Hal ini mencakup perbaikan kerangka regulasi (misalnya standar pelaporan insiden dan panduan keamanan), investasi pada SOC berkemampuan AI, serta pembinaan talenta siber. Selain itu, masyarakat juga berperan dalam membangun budaya keamanan digital melalui literasi finansial dan kewaspadaan. Dengan pendekatan berlapis (layered defense) Zero Trust, didukung inovasi AI, sistem keuangan diharapkan dapat bertahan menghadapi semua jenis serangan – dari serangan social engineering hingga threat canggih berbasis AI – sehingga masa depan keuangan digital di Indonesia tetap stabil dan terpercaya.