Lonjakan adopsi layanan perbankan digital membawa konsekuensi logis berupa perluasan permukaan serangan (attack surface) bagi industri finansial. Merespons kompleksitas ancaman yang kian tinggi—mulai dari phishing, rekayasa sosial (social engineering), hingga serangan Distributed Denial of Service (DDoS)—PT Bank Central Asia Tbk (BCA) secara agresif memperkuat kapabilitas tim dan sistem keamanan sibernya.

SVP IT Security BCA, Ferdinan Marlim, menegaskan bahwa strategi perusahaan kini tidak lagi hanya bergantung pada teknologi semata, melainkan mengintegrasikan tiga pilar utama keamanan informasi: Manusia (People), Proses (Process), dan Teknologi (Technology).

Pilar Teknologi: Mengacu pada Standar Emas NIST dan ISO

Dalam aspek arsitektur teknologi, BCA secara resmi mengadopsi kerangka kerja bertaraf internasional, yakni National Institute of Standards and Technology (NIST) Cybersecurity Framework (CSF).

Penerapan kerangka kerja ini membantu bank memetakan potensi risiko secara sistematis melalui enam fungsi inti: identifikasi, perlindungan, deteksi, respons, pemulihan, dan tata kelola risiko. Selain itu, BCA juga melengkapi pertahanannya dengan berbagai sertifikasi ISO yang spesifik mengatur keamanan sistem informasi, perlindungan privasi data nasabah, dan keamanan jasa pembayaran.

Baca Juga: Insiden Data Rio Haryanto: Ulah Oknum Kelurahan Solo Buktikan Lemahnya "Human Firewall" Pelayanan Publik

Pilar Manusia: Membangun "Human Firewall" Melalui Simulasi Nyata

Teknologi paling canggih sekalipun dapat runtuh oleh satu klik tautan yang salah dari karyawan. Menyadari hal ini, BCA melakukan intervensi proaktif pada aspek manusia.

• Simulasi Phishing Internal: Edukasi (awareness) tidak hanya diberikan secara teoretis kepada karyawan, manajemen, dan direksi. BCA secara rutin menggelar simulasi serangan phishing untuk menguji secara langsung berapa banyak personel yang masih rentan terpancing oleh situs atau email palsu.
• Sertifikasi Profesional: Tim keamanan internal terus didorong untuk mengejar sertifikasi profesional global guna memastikan mereka memiliki kompetensi teknis terbaru dalam menghadapi peretas.

Pilar Proses: Pusat Komando 24 Jam dan Double Control

Untuk memastikan teknologi dan kesiapan manusia berjalan sinkron, BCA mengoperasikan Security Monitoring Center yang bersiaga penuh 24 jam sehari untuk mendeteksi dan merespons anomali jaringan dalam hitungan detik.

Dari sisi operasional layanan korporasi, SVP Wholesale Transaction Banking Product Development BCA, Martinus Robert Winata, menjelaskan bahwa prosedur transaksi dikunci dengan sangat ketat. Perusahaan menerapkan mekanisme pengawasan ganda (Double Control), yang memisahkan wewenang antara pembuat (maker) dan penyetuju (checker) transaksi guna meminimalkan potensi penyalahgunaan internal.

Sebagai penutup, BCA terus mengimbau nasabahnya untuk tidak pernah membagikan data krusial seperti PIN, kata sandi, maupun kode autentikasi (OTP) kepada pihak mana pun, serta selalu waspada terhadap tautan situs palsu di mesin pencari.

Langkah BCA mengadopsi kerangka kerja NIST CSF dan pendekatan Tiga Pilar (People, Process, Technology) adalah langkah taktis yang sangat tepat untuk institusi berskala sistemik. Laporan industri global secara konsisten menunjukkan bahwa lebih dari 80% insiden siber bermula dari human error atau kompromi kredensial, sehingga keputusan BCA untuk rutin melakukan simulasi phishing hingga level direksi patut menjadi standar industri.

Namun, dalam lanskap ancaman sektor perbankan modern, ada tantangan lanjutan yang harus diantisipasi.Pelaku ancaman finansial kini menggunakan Phishing-as-a-Service (PhaaS) dan proksi Adversary-in-the-Middle(AiTM) yang mampu menembus autentikasi dua faktor (2FA) tradisional berbasis OTP.

Di Fourtrezz, kami menyarankan agar institusi perbankan tidak hanya berhenti pada edukasi nasabah dan karyawan. Perbankan perlu mempercepat transisi dari OTP menuju metode autentikasi yang kebal terhadap phishing (Phishing-Resistant MFA), seperti implementasi standar FIDO2 atau Passkeys. Selain itu, pengoperasian Security Monitoring Center (SOC) internal harus terus divalidasi efektivitasnya melalui latihan Red Teaming (simulasi serangan siber tingkat lanjut yang tidak diumumkan) secara berkala, guna memastikan tim respons insiden (Blue Team) BCA benar-benar siap menghadapi serangan nyata berskala penuh.