Langsung ke konten utama

Penetration Testing

Penetration testing untuk bank dan lembaga keuangan Indonesia

Ringkasnya

Cara bank Indonesia menentukan cakupan penetration testing tahunan wajib SEOJK 29/2022, dari aplikasi perbankan hingga API BI-SNAP dan sistem inti perbankan.

Penetration testing

Bank di Indonesia tidak bisa menunggu pemeriksaan OJK untuk tahu apakah aplikasi internet banking atau koneksi BI-SNAP miliknya bisa dieksploitasi. SEOJK 29/2022 menjadikan pengujian itu kewajiban tetap, bukan proyek sekali jalan: sistem yang terhubung internet diuji minimal setahun sekali oleh pihak ketiga independen, sistem kritis internal diperiksa triwulanan, dan temuan diperbaiki mengikuti tenggat waktu. Halaman ini membahas apa yang harus masuk cakupan untuk sebuah bank secara spesifik, bagaimana dua bentuk pengujian yang diakui regulasi berbeda satu sama lain, dan apa yang terjadi pada laporan setelah selesai. Untuk cara kerja penetration testing secara umum, lihat halaman layanan penetration testing kami.

Mengapa penetration testing menjadi kewajiban tetap bagi bank

Pengujian keamanan berada dalam kerangka yang sama dengan program ketahanan siber bank secara keseluruhan. POJK 11/2022 memperlakukan risiko siber sebagai satu dari delapan kategori risiko yang wajib dikelola bank umum, dan SEOJK 29/2022 menerjemahkannya menjadi jadwal pengujian yang konkret, bukan praktik baik yang sifatnya opsional.

Aplikasi internet dan mobile banking

Sebagian besar serangan nyata mendarat di aplikasi yang berhadapan dengan nasabah, bukan di data center. Kesalahan otentikasi, penanganan sesi, dan celah logika bisnis di sini adalah yang seharusnya ditangkap penetration test sebelum ditemukan lebih dulu oleh pelaku penipuan.

API open banking (BI-SNAP)

Setiap mitra fintech yang terhubung lewat BI-SNAP adalah satu endpoint API tambahan dalam cakupan. Otorisasi yang lemah atau rate limiting yang hilang pada koneksi ini menjadi temuan umum seiring meluasnya rollout open banking.

Perimeter jaringan eksternal

VPN gateway, panel admin yang terekspos, dan infrastruktur yang terhubung internet di luar lapisan aplikasi adalah titik masuk yang lazim. Pengujian perimeter memeriksa apa yang bisa dilihat penyerang sebelum menyentuh halaman login sekalipun.

Segmentasi core banking dan pembayaran

Pertanyaan sebenarnya adalah apakah server web yang berhasil dikompromikan bisa menjangkau core banking, SWIFT, atau jalur BI-FAST. Pengujian segmentasi memeriksa batas itu, bukan berasumsi batasnya kuat.

Tabel di bawah merangkum kewajiban pengujian dan remediasi menurut SEOJK 29/2022, di luar persyaratan SWIFT Customer Security Programme yang berlaku bagi bank yang terhubung SWIFT.

KewajibanSumberArtinya dalam praktik
Penetration test tahunan atas sistem yang terhubung internetSEOJK 29/2022Pihak ketiga independen menguji internet banking, aplikasi mobile, dan API publik minimal setahun sekali
Penilaian kerentanan triwulanan untuk sistem kritis internalSEOJK 29/2022Core banking dan segmen jaringan internal diperiksa setiap tiga bulan
Remediasi temuan kritis dan tinggi dalam 30 hariSEOJK 29/2022Temuan dilacak sampai tuntas dengan bukti yang bisa ditinjau regulator
Hasil dipresentasikan ke Komite Risiko DewanSEOJK 29/2022Laporan sampai ke dewan, bukan hanya tersimpan sebagai dokumen teknis
Pengujian self-attestation tambahanSWIFT Customer Security ProgrammeBerlapis di atas SEOJK 29/2022 untuk bank yang terhubung SWIFT

Dua bentuk pengujian keamanan, satu regulasi

SEOJK 29/2022 mengenal dua bentuk pengujian keamanan siber, dan ada baiknya keduanya dipisahkan alih-alih memperlakukan "pengujian" sebagai satu aktivitas tunggal. Pengujian berbasis analisis kerentanan adalah penetration test klasik: mengidentifikasi kelemahan pada cakupan tertentu lalu mencoba mengeksploitasinya. Pengujian berbasis skenario lebih mirip latihan red team, dijalankan terhadap pertahanan yang sesungguhnya untuk menguji seberapa baik bank mendeteksi, menahan, dan pulih dari insiden simulasi.

 Penetration testPengujian berbasis skenario
Yang diperiksaKerentanan yang bisa dieksploitasi pada cakupan tertentuApakah bank mendeteksi, menahan, dan pulih dari insiden simulasi
Cakupan umumInternet banking, aplikasi mobile, API publik, perimeter jaringanSkenario serangan langsung terhadap pertahanan saat ini, sering dikoordinasikan dengan SOC
Frekuensi menurut SEOJK 29/2022Minimal sekali setahunDitetapkan bank sendiri berdasarkan profil risikonya
Pelaporan ke OJKTemuan dicatat sebagai bagian dari program pengujian tahunanHasil dilaporkan ke OJK dalam 10 hari kerja setelah selesai

Untuk detail lengkap tentang frekuensi, cakupan, dan cara OJK memperlakukan tiap bentuk pengujian, lihat artikel kami tentang ketentuan penetration testing untuk bank Indonesia berdasarkan POJK 11/2022. Jika Anda sedang menimbang antara pemindaian kerentanan yang lebih ringan dengan pengujian penuh, halaman kami tentang vulnerability assessment vs penetration testing menjelaskan di mana masing-masing cocok digunakan.

Apa yang kami uji dan cara kami menjalankannya

Permukaan serangan sebuah bank lebih luas dari satu aplikasi web saja, sehingga penentuan cakupan harus memperhitungkan setiap kanal yang menjangkau uang atau data nasabah.

Aplikasi internet dan mobile bankingEndpoint API open banking (BI-SNAP)Perimeter jaringan eksternal dan VPN gatewaySegmentasi jaringan core bankingBeban kerja perbankan berbasis cloudPerimeter lingkungan SWIFT (jika terhubung)
Menentukan cakupan sesuai SEOJK 29/2022 dan profil risiko bankMenguji sistem yang terhubung internet, API, dan segmentasiMemvalidasi eksploitabilitas dan dampak bisnisMenyerahkan laporan siap-dewan dengan tenggat remediasi

Setiap penugasan mencakup satu kali retest gratis setelah perbaikan dilakukan, karena laporan yang menyatakan "sudah diperbaiki" baru berarti sesuatu kalau ada yang memeriksanya kembali. Temuan dikategorikan berdasarkan tingkat keparahan dan dipetakan ke tenggat remediasi yang bisa dipertanggungjawabkan bank kepada OJK, dan hasilnya bisa dipresentasikan langsung kepada Komite Risiko Dewan dalam format yang diharapkan pemeriksa.

Apa yang dikatakan angka tentang sektor ini

US$20 jt

Tebusan yang diminta dalam serangan Bank Syariah Indonesia 2023, yang mengganggu layanan selama 13 hari (The Jakarta Post)

12%

Organisasi Indonesia berkategori matang dalam kesiapan siber pada 2024 (Cisco Cybersecurity Readiness Index 2024)

Sistem yang tidak pernah diuji adalah cara satu celah yang bisa dieksploitasi berubah menjadi insiden sebesar kasus Bank Syariah Indonesia. Dengan hanya 12 persen organisasi Indonesia yang dinilai matang dalam kesiapan siber, pengujian tahunan yang benar-benar ditindaklanjuti adalah salah satu cara paling langsung bagi bank untuk bergerak dari titik awal itu. Untuk latar belakang regulasi di balik mandat pengujian ini, lihat artikel kami tentang persyaratan keamanan siber OJK untuk bank Indonesia.

Jika pengujian tahunan Anda akan datang dan Anda ingin cakupannya benar-benar sesuai dengan yang diminta OJK dan profil risiko Anda sendiri, tim kami dapat menyusun langkah berikutnya yang konkret.

Referensi

  1. 1.OJK, SEOJK No. 29/SEOJK.03/2022 tentang Ketahanan dan Keamanan Siber bagi Bank Umum
  2. 2.OJK, POJK No. 11/POJK.03/2022 tentang Penyelenggaraan Teknologi Informasi oleh Bank Umum
  3. 3.The Jakarta Post, pemberitaan serangan ransomware Bank Syariah Indonesia 2023
  4. 4.Cisco, Cybersecurity Readiness Index 2024

Ditinjau oleh Naren Krishnan, Cybersecurity Manager

Pertanyaan umum

Ya. SEOJK 29/2022 mewajibkan uji penetrasi minimal sekali setahun terhadap sistem yang terhubung internet, dilakukan oleh pihak ketiga yang berkualifikasi dan independen dari bank. Sistem kritis internal mendapat penilaian kerentanan triwulanan di luar itu, dan temuan berkategori kritis atau tinggi dari kedua jenis pengujian harus diremediasi dalam 30 hari.

Terkait

Siap memperkuat keamanan siber Anda?

Bicarakan kebutuhan Anda dengan tim kami di Jakarta.

Tim kami di Jakarta. Kami membalas dalam satu hari kerja.