Penetration Testing
Penetration testing untuk bank dan lembaga keuangan Indonesia
Ringkasnya
Cara bank Indonesia menentukan cakupan penetration testing tahunan wajib SEOJK 29/2022, dari aplikasi perbankan hingga API BI-SNAP dan sistem inti perbankan.
Bank di Indonesia tidak bisa menunggu pemeriksaan OJK untuk tahu apakah aplikasi internet banking atau koneksi BI-SNAP miliknya bisa dieksploitasi. SEOJK 29/2022 menjadikan pengujian itu kewajiban tetap, bukan proyek sekali jalan: sistem yang terhubung internet diuji minimal setahun sekali oleh pihak ketiga independen, sistem kritis internal diperiksa triwulanan, dan temuan diperbaiki mengikuti tenggat waktu. Halaman ini membahas apa yang harus masuk cakupan untuk sebuah bank secara spesifik, bagaimana dua bentuk pengujian yang diakui regulasi berbeda satu sama lain, dan apa yang terjadi pada laporan setelah selesai. Untuk cara kerja penetration testing secara umum, lihat halaman layanan penetration testing kami.
Mengapa penetration testing menjadi kewajiban tetap bagi bank
Pengujian keamanan berada dalam kerangka yang sama dengan program ketahanan siber bank secara keseluruhan. POJK 11/2022 memperlakukan risiko siber sebagai satu dari delapan kategori risiko yang wajib dikelola bank umum, dan SEOJK 29/2022 menerjemahkannya menjadi jadwal pengujian yang konkret, bukan praktik baik yang sifatnya opsional.
Aplikasi internet dan mobile banking
Sebagian besar serangan nyata mendarat di aplikasi yang berhadapan dengan nasabah, bukan di data center. Kesalahan otentikasi, penanganan sesi, dan celah logika bisnis di sini adalah yang seharusnya ditangkap penetration test sebelum ditemukan lebih dulu oleh pelaku penipuan.
API open banking (BI-SNAP)
Setiap mitra fintech yang terhubung lewat BI-SNAP adalah satu endpoint API tambahan dalam cakupan. Otorisasi yang lemah atau rate limiting yang hilang pada koneksi ini menjadi temuan umum seiring meluasnya rollout open banking.
Perimeter jaringan eksternal
VPN gateway, panel admin yang terekspos, dan infrastruktur yang terhubung internet di luar lapisan aplikasi adalah titik masuk yang lazim. Pengujian perimeter memeriksa apa yang bisa dilihat penyerang sebelum menyentuh halaman login sekalipun.
Segmentasi core banking dan pembayaran
Pertanyaan sebenarnya adalah apakah server web yang berhasil dikompromikan bisa menjangkau core banking, SWIFT, atau jalur BI-FAST. Pengujian segmentasi memeriksa batas itu, bukan berasumsi batasnya kuat.
Tabel di bawah merangkum kewajiban pengujian dan remediasi menurut SEOJK 29/2022, di luar persyaratan SWIFT Customer Security Programme yang berlaku bagi bank yang terhubung SWIFT.
| Kewajiban | Sumber | Artinya dalam praktik |
|---|---|---|
| Penetration test tahunan atas sistem yang terhubung internet | SEOJK 29/2022 | Pihak ketiga independen menguji internet banking, aplikasi mobile, dan API publik minimal setahun sekali |
| Penilaian kerentanan triwulanan untuk sistem kritis internal | SEOJK 29/2022 | Core banking dan segmen jaringan internal diperiksa setiap tiga bulan |
| Remediasi temuan kritis dan tinggi dalam 30 hari | SEOJK 29/2022 | Temuan dilacak sampai tuntas dengan bukti yang bisa ditinjau regulator |
| Hasil dipresentasikan ke Komite Risiko Dewan | SEOJK 29/2022 | Laporan sampai ke dewan, bukan hanya tersimpan sebagai dokumen teknis |
| Pengujian self-attestation tambahan | SWIFT Customer Security Programme | Berlapis di atas SEOJK 29/2022 untuk bank yang terhubung SWIFT |
Dua bentuk pengujian keamanan, satu regulasi
SEOJK 29/2022 mengenal dua bentuk pengujian keamanan siber, dan ada baiknya keduanya dipisahkan alih-alih memperlakukan "pengujian" sebagai satu aktivitas tunggal. Pengujian berbasis analisis kerentanan adalah penetration test klasik: mengidentifikasi kelemahan pada cakupan tertentu lalu mencoba mengeksploitasinya. Pengujian berbasis skenario lebih mirip latihan red team, dijalankan terhadap pertahanan yang sesungguhnya untuk menguji seberapa baik bank mendeteksi, menahan, dan pulih dari insiden simulasi.
| Penetration test | Pengujian berbasis skenario | |
|---|---|---|
| Yang diperiksa | Kerentanan yang bisa dieksploitasi pada cakupan tertentu | Apakah bank mendeteksi, menahan, dan pulih dari insiden simulasi |
| Cakupan umum | Internet banking, aplikasi mobile, API publik, perimeter jaringan | Skenario serangan langsung terhadap pertahanan saat ini, sering dikoordinasikan dengan SOC |
| Frekuensi menurut SEOJK 29/2022 | Minimal sekali setahun | Ditetapkan bank sendiri berdasarkan profil risikonya |
| Pelaporan ke OJK | Temuan dicatat sebagai bagian dari program pengujian tahunan | Hasil dilaporkan ke OJK dalam 10 hari kerja setelah selesai |
Untuk detail lengkap tentang frekuensi, cakupan, dan cara OJK memperlakukan tiap bentuk pengujian, lihat artikel kami tentang ketentuan penetration testing untuk bank Indonesia berdasarkan POJK 11/2022. Jika Anda sedang menimbang antara pemindaian kerentanan yang lebih ringan dengan pengujian penuh, halaman kami tentang vulnerability assessment vs penetration testing menjelaskan di mana masing-masing cocok digunakan.
Apa yang kami uji dan cara kami menjalankannya
Permukaan serangan sebuah bank lebih luas dari satu aplikasi web saja, sehingga penentuan cakupan harus memperhitungkan setiap kanal yang menjangkau uang atau data nasabah.
Setiap penugasan mencakup satu kali retest gratis setelah perbaikan dilakukan, karena laporan yang menyatakan "sudah diperbaiki" baru berarti sesuatu kalau ada yang memeriksanya kembali. Temuan dikategorikan berdasarkan tingkat keparahan dan dipetakan ke tenggat remediasi yang bisa dipertanggungjawabkan bank kepada OJK, dan hasilnya bisa dipresentasikan langsung kepada Komite Risiko Dewan dalam format yang diharapkan pemeriksa.
Apa yang dikatakan angka tentang sektor ini
US$20 jt
Tebusan yang diminta dalam serangan Bank Syariah Indonesia 2023, yang mengganggu layanan selama 13 hari (The Jakarta Post)
12%
Organisasi Indonesia berkategori matang dalam kesiapan siber pada 2024 (Cisco Cybersecurity Readiness Index 2024)
Sistem yang tidak pernah diuji adalah cara satu celah yang bisa dieksploitasi berubah menjadi insiden sebesar kasus Bank Syariah Indonesia. Dengan hanya 12 persen organisasi Indonesia yang dinilai matang dalam kesiapan siber, pengujian tahunan yang benar-benar ditindaklanjuti adalah salah satu cara paling langsung bagi bank untuk bergerak dari titik awal itu. Untuk latar belakang regulasi di balik mandat pengujian ini, lihat artikel kami tentang persyaratan keamanan siber OJK untuk bank Indonesia.
Jika pengujian tahunan Anda akan datang dan Anda ingin cakupannya benar-benar sesuai dengan yang diminta OJK dan profil risiko Anda sendiri, tim kami dapat menyusun langkah berikutnya yang konkret.
Referensi
Ditinjau oleh Naren Krishnan, Cybersecurity Manager
Pertanyaan umum
Ya. SEOJK 29/2022 mewajibkan uji penetrasi minimal sekali setahun terhadap sistem yang terhubung internet, dilakukan oleh pihak ketiga yang berkualifikasi dan independen dari bank. Sistem kritis internal mendapat penilaian kerentanan triwulanan di luar itu, dan temuan berkategori kritis atau tinggi dari kedua jenis pengujian harus diremediasi dalam 30 hari.
Terkait
Terkait
Solusi
Dari blog
Layanan kami
Siap memperkuat keamanan siber Anda?
Bicarakan kebutuhan Anda dengan tim kami di Jakarta.
Tim kami di Jakarta. Kami membalas dalam satu hari kerja.