Logo PT Digital Solusi Grup New Color White 2024
CONTACT US

SEOJK 29/2022: 8 Area Kepatuhan Keamanan Siber Bank

SEOJK 29/2022

Daftar Isi

OJK telah menerbitkan Surat Edaran Otoritas Jasa Keuangan 29/SEOJK.03/2022 (SEOJK 29/2022) sebagai aturan teknis ketahanan dan keamanan siber. 

Aturan ini berlaku bagi seluruh lembaga jasa keuangan (LJK) di Indonesia. Mulai dari bank, perusahaan asuransi, perusahaan efek, hingga fintech dan e-wallet.

Tujuan utamanya adalah meningkatkan keamanan informasi keuangan untuk melindungi nasabah dan masyarakat, serta membantu LJK membangun sistem proteksi yang kuat terhadap ancaman siber.

Apa saja kewajiban yang harus dipenuhi? Dan bagaimana cara memenuhinya secara efisien?

8 Area Kepatuhan Utama dalam SEOJK 29/2022

Jika regulasi sebelumnya yaitu, POJK 11/2022 hanya memberikan kerangka umum bahwa bank wajib memiliki keamanan informasi, maka regulasi ini merinci menjadi delapan area operasional yang terukur, terdokumentasi, dan dapat diaudit oleh OJK.

Berdasarkan dokumen resmi SEOJK 29/2022 berikut penjelasan teknis kedelapan area tersebut:

1. Penilaian Risiko Inheren

Penilaian risiko inheren adalah proses mengukur seberapa rentan bank terhadap serangan siber. Sederhananya, seperti mengetahui kondisi tubuh sebelum berobat. 

Apakah bank Anda memiliki cabang, masih menggunakan teknologi lama, atau menyimpan data nasabah yang sangat sensitif? Semua faktor ini membuat risiko inheren menjadi lebih tinggi.

Apa yang wajib dipenuhi bank dalam area ini? Bank harus melakukan penilaian risiko inheren secara tahunan dengan mencakup empat dimensi:

  1. Teknologi yang digunakan
  2. Kompleksitas produk dan layanan digital
  3. Struktur organisasi
  4. Rekam jejak insiden siber di masa lalu

2. Penerapan Manajemen Risiko

Penerapan manajemen risiko adalah proses mengintegrasikan risiko siber ke dalam seluruh sistem manajemen risiko bank yang sudah ada. 

Bank harus bisa memastikan bahwa setiap keputusan bisnis, sekecil apapun, sudah mempertimbangkan risiko siber. Contohnya, ketika bank ingin membuka cabang baru atau meluncurkan fitur mobile banking, analisis risiko siber harus menjadi bagian dari pembahasan.

Apa kewajiban bank di sini? Bank wajib memastikan bahwa risiko siber menjadi bagian dari tata kelola perusahaan, kerangka kerja manajemen risiko, proses bisnis harian, dan sistem pengendalian internal. Dengan kata lain, tidak boleh ada unit tersendiri yang berjalan sendiri tanpa koordinasi.

3. Proses Ketahanan Siber

Proses ketahanan siber adalah jantung dari operasional keamanan bank. Ketahanan siber berarti kemampuan bank untuk tetap beroperasi meskipun sedang diserang, serta bisa memulihkan sistem dengan cepat setelah serangan terjadi. 

Apa yang harus dipatuhi bank di area ini? Bank wajib memiliki empat proses berupa:

1. Identifikasi aset, ancaman, dan kerentanan

2. Perlindungan aset melalui kontrol teknis dan administratif

3. Deteksi insiden secara dini

4. Penanggulangan dan pemulihan pasca insiden

Keempat proses ini harus berjalan bersamaan dan tidak boleh ada yang tertinggal.

4. Penilaian Maturitas Keamanan Siber

Penilaian maturitas adalah ukuran tentang seberapa matang dan terintegrasi sistem keamanan siber bank. Misalnya, ketika Bank sudah memiliki firewall, maka dicek apakah aset tersebut sudah dikelola, dimonitor, dievaluasi, dan terus ditingkatkan secara sistematis. 

Kewajiban bank di area ini adalah melakukan penilaian mandiri setiap tahun untuk mengukur tingkat kematangan keamanan sibernya. 

Skala yang digunakan mulai dari Level 1 yang berarti inisiasi atau belum ada integrasi keamanan siber, hingga Level 5 yang berarti optimal atau terintegrasi penuh.

5. Tingkat Risiko Keamanan Siber

Tingkat risiko keamanan siber adalah hasil akhir dari dua penilaian sebelumnya, yaitu risiko inheren dan maturitas. Tingkat risiko ini menentukan seberapa besar perhatian OJK terhadap bank Anda dan seberapa cepat bank harus bertindak untuk melakukan perbaikan.

Apa yang wajib dipatuhi? Bank wajib menetapkan tingkat risiko keamanan siber secara keseluruhan dalam peringkat 1 hingga 5. Peringkat ini diperoleh dari kombinasi antara skor risiko inheren dan skor maturitas. Hasilnya harus dilaporkan ke OJK.

6. Pengujian Keamanan Siber

Pengujian keamanan siber adalah cara untuk membuktikan bahwa kontrol keamanan yang dipasang benar benar bekerja dengan baik. B

Kewajiban bank di area ini sangat tegas. Bank wajib melakukan dua jenis pengujian minimal setahun sekali. 

1. Analisis kerentanan atau vulnerability assessment untuk menemukan kelemahan teknis. 

2. Pengujian skenario yang mencakup penetration testing, tabletop exercise, dan simulasi serangan siber lainnya.

7. Unit atau Fungsi Ketahanan Siber

Area ini menyangkut struktur organisasi. OJK menegaskan bahwa keamanan siber tidak bisa menjadi tugas sampingan dari karyawan yang juga mengurus jaringan, server, atau helpdesk. 

Bank harus memiliki unit khusus yang independen dan memiliki wewenang yang cukup untuk mengambil keputusan. Kepala unitnya juga wajib melapor langsung kepada direktur utama atau direktur yang membawahi manajemen risiko. Tidak boleh ada rangkap jabatan dengan fungsi TI operasional.

8. Laporan Insiden Siber

Ketika insiden siber terjadi, Bank wajib melaporkan kejadian ini supaya bisa membantu koordinasi nasional dalam menangani serangan siber yang mungkin berdampak sistemik terhadap sektor keuangan.

Apa yang wajib dipatuhi bank di area ini? 

Bank wajib menyampaikan notifikasi awal ke OJK dalam waktu maksimal 24 jam setelah insiden terdeteksi. Isi notifikasi minimal mencakup:

1. Waktu kejadian

2. Dampak sementara

3. Langkah penanganan awal yang sudah dilakukan 

Selanjutnya, laporan lengkap harus menyusul paling lambat lima hari kerja setelah insiden terdeteksi.

Setelah menyimak kedelapan area kepatuhan di atas, bank tidak perlu merancang sistem dari nol. 

Standar internasional ISO 27001 telah menyediakan kerangka kerja yang nyaris mencakup seluruh kewajiban tersebut. Mulai dari penilaian risiko berkelanjutan, integrasi dengan tata kelola perusahaan, hingga pengelolaan aset, akses, kerentanan, monitoring, dan manajemen insiden dalam satu kesatuan sistem yang terdokumentasi. 

Standar ini juga mewajibkan pengujian keamanan berkala, pemisahan peran dan tanggung jawab secara independen, serta prosedur pelaporan insiden ke pihak terkait. 

Bank yang menerapkan ISO 27001 secara utuh telah memiliki sistem keamanan informasi yang teknis, terukur, dan siap diaudit OJK kapan saja.

Sanksi Jika Bank Tidak Mematuhi SEOJK 29/2022

SEOJK 29/2022 memang aturan teknis, tetapi sanksi jika melanggarnya mengacu ke POJK 11/2022, tepatnya pada Pasal 27. Sanksi tersebut bertingkat, dari yang ringan hingga yang bisa melumpuhkan operasional bank:

1. Teguran Tertulis

Sanksi paling ringan adalah teguran tertulis. Meskipun terdengar sepele, teguran tertulis dari OJK sudah tercatat dalam profil risiko bank dan bisa menjadi pertimbangan dalam penilaian tingkat kesehatan bank. 

Jika teguran yang sama keluar berulang kali, OJK akan menaikkan level sanksi ke jenjang berikutnya. Bank yang menerima teguran tertulis sebaiknya segera melakukan evaluasi internal dan memperbaiki celah kepatuhan sebelum sanksi memburuk.

2. Larangan Meluncurkan Produk Baru

Bank yang tidak patuh terhadap surat edaran OJK ini tidak diizinkan meluncurkan layanan digital baru. Sanksi ini tentu akan berakibat kerugian kompetitif yang sulit dikejar. 

3. Pembekuan Kegiatan Usaha Tertentu

Sanksi yang lebih berat lagi adalah pembekuan kegiatan usaha tertentu. Contohnya adalah pembekuan layanan mobile banking oleh regulator. Bank tetap bisa beroperasi, tetapi saluran digital yang menjadi tulang punggung transaksi nasabah modern ditutup sementara. 

Selain berdampak pada pendapatan, reputasi dan kepercayaan nasabah juga tentunya butuh waktu lama untuk pulih. Dalam beberapa kasus, bank kehilangan puluhan persen nasabah aktif hanya dalam hitungan minggu setelah sanksi ini dijatuhkan.

4. Penurunan Peringkat Tata Kelola

Sanksi yang paling berat dan paling ditakuti para bankir adalah penurunan peringkat tata kelola, karen dapat berdampak langsung ke penilaian tingkat kesehatan bank secara keseluruhan. 

Ketika tingkat kesehatan bank turun, kepercayaan nasabah ikut turun, minat investor berkurang, bahkan rating dari lembaga pemeringkat seperti Pefindo atau Fitch bisa terpengaruh. 

Efek domino ini sangat sulit dipulihkan dalam waktu singkat dan bisa memakan waktu bertahun tahun. Tidak sedikit bank yang butuh dua hingga tiga tahun untuk mengembalikan peringkatnya setelah terkena sanksi ini.

Solusi Praktis Memenuhi 8 Area Kepatuhan SEOJK 29/2022

Delapan area kepatuhan yang sudah diuraikan memang terasa berat jika dijalankan sendiri oleh tim internal bank. Mulai dari penilaian risiko tahunan, proses ketahanan siber, hingga kewajiban melaporkan insiden dalam 24 jam. 

Semua hal tersebut membutuhkan sistem yang terdokumentasi dan siap diaudit OJK.

Kabar baiknya, standar internasional ISO 27001 menyediakan kerangka kerja yang nyaris mencakup seluruh kewajiban tersebut. Sertifikasi ISO 27001 menjadi bukti konkret bahwa bank tidak hanya patuh, tetapi juga memiliki sistem keamanan informasi yang diakui secara global.

DSG siap mendampingi perjalanan bank Anda menuju sertifikasi ISO 27001. Mulai dari gap analysis, penyusunan kebijakan, implementasi kontrol keamanan, hingga pendampingan saat audit sertifikasi. 

Dengan pengalaman mendampingi berbagai lembaga keuangan, DSG memastikan sistem keamanan informasi bank Anda berfungsi optimal dan siap menghadapi pengawasan OJK.

Hubungi DSG sekarang untuk jadwalkan konsultasi gratis bersama tim kami.

Isi form berikut! Tim kami segera menghubungi Anda.

Konsultasi Keamanan Data DSG
Picture of Nadia Kamila

Nadia Kamila

Promo Bitdefender GravityZone September 2024

Temukan kami di Google News

Google News PT Digital Solusi Grup

Postingan Terbaru

Kosakata Cyber

Event DSG