Baru-baru ini, dunia keamanan siber dihebohkan dengan insiden peretasan akun Komisi Sekuritas dan Bursa Amerika Serikat (_Security Exchange Commission_/SEC) di platform media sosial X, yang

sebelumnya dikenal sebagai Twitter. Meskipun tidak sama persis, SEC ini bisa disetarakan dengan Otoritas Jasa Keuangan (OJK) di Indonesia yang tugasnya mengawasi pasar modal. Pada 9 Januari

2024, peretas menyebarluaskan informasi palsu yang mengklaim persetujuan SEC atas dana perdagangan bursa (_Exchange Traded Fund_/ETFs) Bitcoin untuk dicatatkan di semua bursa sekuritas

nasional Amerika Serikat (AS) yang terdaftar. Persetujuan SEC terhadap ETF Bitcoin ini sebenarnya dirilis secara resmi pada 10 Januari 2024, namun insiden peretasan media sosial SEC

perdagangan bursa Bitcoin. Bersamaan dengan itu, Kantor Inspektur Jenderal SEC menginisiasi penyelidikan komprehensif bersama Biro Investigasi Federal (FBI) demi mengungkap detail dari

pelanggaran keamanan tersebut. PENTINGNYA MENJAGA KEAMANAN SIBER DI SEKTOR KEUANGAN Akar masalah terletak pada keamanan siber di SEC. Pada 2016, SEC pernah mengalami serangan siber yang

mengakibatkan peretas bisa mengakses database korporasi. Ini mengakibatkan peretas memperoleh keuntungan dari informasi rahasia. Insiden ini seharusnya menjadi pelajaran bagi SEC mengenai

perlunya peningkatan keamanan siber dalam sistem keuangan dan menghindari risiko terpaparnya data sensitif dalam aktivitas perdagangan di bursa saham. Sebelum kejadian peretasan media sosial

X terjadi, SEC juga sudah dikritik karena tidak sepenuhnya memenuhi standar keamanan siber AS. Kesalahan kritis dalam kasus peretasan ini adalah ketiadaan otentikasi dua faktor pada akun X

SEC yang akhirnya dieksploitasi oleh para peretas. Terjadi serangan penggantian SIM (SIM swapping), yakni ketika nomor telepon yang terkait dengan akun X SEC dikendalikan oleh pihak ketiga

yang tidak teridentifikasi . Meskipun sampai saat ini belum ada bukti sistem di SEC lainnya bisa diakses oleh peretas selain media sosial X, dampak dari peretasan X dan cuitan palsu mengenai

persetujuan ETF Bitcoin telah menyebabkan harga Bitcoin tanggal 9 Januari 2024 langsung melonjak hingga US$47,000-an (sekitar Rp742,35 juta) dari harga sebelumnya yang $46,000-an (Rp727,03

juta, sebelum anjlok ke $45,000-an (sekitar Rp711,22 juta) setelah cuitan palsu tersebut terkuak. Insiden ini bisa menurunkan kepercayaan publik tentang keamanan siber SEC, mengingat

reputasi SEC yang memiliki sejarah kurang baik terkait hal ini. Ironisnya, kejadian ini bertepatan dengan implementasi regulasi baru SEC yang mengharuskan perusahaan publik yang terdaftar di

bursa AS untuk mengungkapkan insiden siber yang pernah mereka alami. Namun, SEC sendiri abai dengan standar keamanan siber yang seharusnya diimplementasikan sehingga memicu terjadinya

insiden peretasan akun X mereka. Pelanggaran ini memicu reaksi politik yang menuntut pertanggungjawaban dan penyelidikan menyeluruh atas praktik keamanan siber SEC. STRATEGI KEAMANAN SIBER

YANG BISA DITERAPKAN DI INDONESIA Peretasan akun X milik SEC ini menjadi pengingat penting tentang kerentanan platform digital. Berikut adalah strategi kunci yang dapat diterapkan oleh

institusi keuangan di Indonesia untuk mencegah insiden serupa yang terjadi di SEC: 1. PENERAPAN KEAMANAN SIBER YANG KOMPREHENSIF. Hal ini bisa dilakukan dengan mengintegrasikan berbagai

langkah keamanan yang meliputi penggunaan otentikasi multifaktor (MFA) yang kuat, seperti _Fast Identity Online_ (FIDO), yang merupakan protokol otentikasi untuk memastikan keandalan

pengakses sistem. FIDO lebih disukai daripada otentikasi berbasis SMS yang rentan terhadap penggantian SIM. Alih-alih menggunakan kata sandi, ia menggunakan kunci khusus seperti sidik jari,

USB _stick_, atau perangkat yang bisa terhubung melalui _Bluetooth_ atau _Near Field Communication_ (NFC) yang hanya pengakses yang memilikinya. Ini membuatnya sangat sulit bagi peretas

untuk masuk, karena mereka tidak bisa menyalin atau mencuri kunci unik pengakses. Di samping itu, institusi keuangan seharusnya juga menerapkan kebijakan kata sandi yang kuat, unik, dan

diperbarui secara teratur. Penting juga bagi institusi keuangan secara rutin memperbarui perangkat lunak dan sistem untuk menghadapi kerentanan. Institusi keuangan juga harus memisahkan

penggunaan nomor telepon dari akun media sosial dan sistem _online_ untuk mengurangi risiko penggantian SIM. 2. PENYUSUNAN DAN IMPLEMENTASI RENCANA STRATEGIS dengan mengembangkan Rencana

Respon Insiden (IRP), Rencana Pemulihan Bencana (DRP), dan Rencana Kontinuitas Bisnis (BCP) yang efektif. Lebih dari sekadar tindakan keamanan individu, pencegahan peretasan ini menekankan

pentingnya perencanaan strategis keamanan siber. IRP yang komprehensif merinci protokol penanganan insiden keamanan siber. Sementara, DRP berfokus pada pemulihan data dan sistem secara cepat

pascaserangan dan BCP yang menjamin operasional fungsi kritis selama dan setelah gangguan. Melakukan tes penetrasi dan penilaian kerentanan secara teratur dapat membantu institusi keuangan

mengidentifikasi dan mengatasi kelemahan keamanan. Mengintegrasikan rencana strategis ini dengan praktik keamanan siber yang kuat dapat membentuk pertahanan menyeluruh, meningkatkan

ketahanan terhadap ancaman siber dan meminimalkan dampak insiden. 3. PENGELOLAAN RISIKO DAN KEPATUHAN.Audit keamanan siber secara rutin harus menjadi aktivitas wajib bagi setiap institusi

keuangan. Penting bagi institusi keuangan untuk melakukan audit keamanan siber secara teratur untuk memastikan kepatuhan terhadap standar internasional, serta mengelola risiko yang berasal

dari vendor dan pihak ketiga. Kepatuhan ini termasuk pada peraturan terkait perlindungan data dan privasi. Institusi keuangan juga dapat memanfaatkan audit rutin untuk memastikan mereka

selaras dengan praktik dan standar terbaik. Hal ini termasuk menilai keamanan siber vendor secara menyeluruh dan memastikan mereka memenuhi standar yang ditetapkan. 4. PELATIHAN KESADARAN

KEAMANAN SIBER UNTUK KARYAWAN. Kesalahan manusia tetap menjadi salah satu kerentanan keamanan siber terbesar. Keamanan siber bukan hanya hal teknis, namun juga budaya. Institusi harus

berinvestasi dalam pendidikan karyawan yang berkelanjutan dan membangun kesadaran keamanan siber. Institusi keuangan perlu mengadakan pelatihan reguler bagi karyawan tentang praktik terbaik

keamanan siber, termasuk identifikasi upaya _phishing_, penanganan informasi sensitif yang aman, dan pentingnya kata sandi yang kuat. Terkait dengan pengelolaan platform daring, institusi

keuangan harus punya mekanisme untuk memantau platform dari aktivitas tidak sah, mengamankan akun dengan langkah otentikasi yang kuat, dan melatih staf yang bertanggung jawab untuk mengelola

platform ini dalam praktik keamanan terbaik. 5. KOLABORASI DAN TRANSPARANSI. Keamanan siber merupakan tantangan kolektif. Institusi keungan harus secara aktif terlibat dalam berbagi

informasi dan kolaborasi dengan institusi lainnya, badan regulator, dan komunitas keamanan siber. Kolaborasi ini dapat membangun pemahaman dan mitigasi yang lebih baik terhadap ancaman yang

muncul. Dalam kejadian serangan siber, komunikasi transparan dan tepat waktu dengan pemangku kepentingan sangat penting. Institusi keuangan harus memiliki rencana komunikasi yang mencakup

memberitahukan pihak yang terdampak, menyebarkan informasi yang akurat, dan memberikan pembaruan tentang tindakan pemulihan. Kasus di AS sepatutnya menjadi pelajaran bagi institusi keuangan

di seluruh dunia, termasuk Indonesia, untuk memperkuat keamanan sibernya. Dengan begitu cepat dan sensitifnya perputaran uang dan aset digital terhadap sentimen di pasar, informasi yang

menyesatkan bisa membawa kerugian besar bagi banyak pihak.