Peraturan siber Uni Eropa yang baru dan ketat mengharuskan bank untuk meningkatkan keamanan – namun banyak yang belum siap
Peraturan baru memaksa organisasi untuk memperhatikan keamanan siber dengan lebih serius.
Sean Gladwell | Momen | Gambar Getty
Peraturan baru yang ketat di Uni Eropa yang mengharuskan bank untuk meningkatkan sistem keamanan siber mereka secara resmi mulai berlaku pada hari Jumat – namun banyak perusahaan jasa keuangan di blok tersebut belum sepenuhnya mematuhi peraturan tersebut.
UE Undang-Undang Ketahanan Operasional Digitalatau DORA, mewajibkan perusahaan jasa keuangan dan pemasok teknologinya untuk memperkuat sistem TI mereka guna memastikan industri tersebut memiliki ketahanan jika terjadi serangan siber atau gangguan dalam bentuk apa pun. Peraturan ini mulai berlaku pada 17 Januari.
Hukuman bagi pelanggaran undang-undang baru ini bisa sangat besar. Perusahaan jasa keuangan yang melanggar peraturan baru ini dapat dikenakan denda hingga 2% dari pendapatan global tahunan. Manajer individu juga dapat dimintai pertanggungjawaban atas pelanggaran dan menghadapi sanksi sebesar 1 juta euro ($1 juta).
Sejauh ini, tingkat kepatuhan perusahaan jasa keuangan terhadap peraturan baru tersebut beragam, menurut Harvey Jang, kepala petugas privasi dan wakil penasihat umum di raksasa TI Cisco.
“Saya pikir kita telah melihat beragam hal,” kata Jang kepada CNBC dalam sebuah wawancara. “Tentu saja, perusahaan-perusahaan yang sudah lebih matang akan mempertimbangkan hal ini setidaknya selama satu tahun – atau bahkan lebih lama lagi.”
“Kami benar-benar mencoba untuk membangun program kepatuhan ini, namun program ini sangat rumit. Saya pikir itulah tantangannya. Kami juga melihat hal yang sama pada GDPR dan undang-undang umum lainnya yang dapat ditafsirkan — apa sebenarnya arti dari mematuhi? Artinya berbeda hal-hal kepada orang yang berbeda, “katanya.
Kurangnya pemahaman bersama tentang apa yang memenuhi syarat sebagai kepatuhan yang kuat terhadap DORA pada gilirannya menyebabkan banyak institusi meningkatkan standar keamanan ke tingkat yang sebenarnya melampaui “garis dasar” yang diharapkan dari sebagian besar perusahaan, tambah Jang.
Apakah lembaga keuangan siap?
Di bawah DORA, perusahaan keuangan akan diwajibkan untuk melakukan manajemen risiko dan insiden TI yang ketat, klasifikasi dan pelaporan, pengujian ketahanan operasional, pembagian intelijen tentang ancaman dan kerentanan dunia maya, dan langkah-langkah untuk mengelola risiko pihak ketiga.
Perusahaan juga akan diminta untuk melakukan penilaian terhadap “risiko konsentrasi” terkait dengan pengalihan fungsi operasional penting atau penting ke perusahaan eksternal.
A Survei sensus terhadap 200 kepala petugas keamanan informasi Inggris yang ditugaskan oleh Orange Cyberdefensedivisi keamanan siber dari perusahaan telekomunikasi Prancis Oranyemenunjukkan bahwa 43% lembaga keuangan di Inggris belum sepenuhnya mematuhi DORA.
Hal ini menjadi kekhawatiran karena, meskipun Inggris saat ini berada di luar Uni Eropa, DORA berlaku untuk semua entitas keuangan yang beroperasi di yurisdiksi UE – bahkan jika mereka berbasis di luar blok tersebut.
“Meskipun jelas bahwa DORA tidak memiliki jangkauan hukum di Inggris, entitas yang berbasis di sini dan beroperasi atau memberikan layanan kepada entitas di UE akan tunduk pada peraturan tersebut,” Richard Lindsay, konsultan penasihat utama di Orange Cyberdefense, mengatakan kepada CNBC.
Dia menambahkan bahwa tantangan utama bagi banyak lembaga keuangan dalam mencapai kepatuhan DORA adalah mengelola penyedia TI pihak ketiga yang penting.
“Lembaga keuangan beroperasi dalam ekosistem digital yang berlapis-lapis dan sangat kompleks,” kata Lindsay. “Melacak dan memastikan bahwa seluruh bagian sistem ini sesuai dengan elemen DORA yang relevan akan memerlukan pola pikir, solusi, dan sumber daya baru.”
Bank juga menambahkan tingkat pengawasan yang lebih tinggi dalam negosiasi kontrak mereka dengan pemasok teknologi karena persyaratan DORA yang ketat, kata Jang.
Kepala petugas privasi Cisco mengatakan kepada CNBC bahwa menurutnya ada keselarasan dalam hal prinsip dan semangat hukum. Namun, ia menambahkan, “peraturan apa pun merupakan produk kompromi dan karena itu, ketika undang-undang tersebut menjadi lebih bersifat preskriptif, maka hal tersebut menjadi tantangan.”
“Prinsip-prinsip yang kami sepakati, namun undang-undang apa pun merupakan produk kompromi, dan semakin banyak peraturan yang bersifat preskriptif, maka hal ini menjadi tantangan.”
Meskipun terdapat tantangan, para ahli mempunyai harapan besar bahwa tidak akan lama lagi bank dan lembaga keuangan lainnya dapat mencapai kepatuhan.
“Bank-bank di Eropa sudah mematuhi peraturan penting yang mencakup sebagian besar wilayah yang termasuk dalam DORA,” Fabio Colombo, pimpinan keamanan jasa keuangan EMEA di Accenture, mengatakan kepada CNBC.
“Sebagai hasilnya, lembaga jasa keuangan telah memiliki tata kelola dan kemampuan kepatuhan yang matang, dengan proses pelaporan insiden dan kerangka risiko TIK yang kuat.”
Risiko bagi pemasok TI
Penyedia TI juga dapat didenda berdasarkan DORA. Aturan tersebut mengancam pungutan sebesar 1% dari rata-rata pendapatan harian di seluruh dunia hingga enam bulan.
“Sanksi ini diperlukan,” Brian Fox, kepala teknologi perusahaan manajemen rantai pasokan perangkat lunak Sonatype, mengatakan kepada CNBC. “Mereka adalah motivator yang kuat, mendorong para pemimpin untuk memperhatikan kepatuhan dan ketahanan operasional dengan lebih serius dari sebelumnya.”
Lindsay dari Orange Cyberdefense mengatakan ada risiko jangka panjang bahwa perusahaan jasa keuangan akhirnya memindahkan fungsi dan layanan keamanan penting mereka sendiri.
“Kemajuan teknologi memungkinkan lembaga keuangan untuk mengembalikan layanannya ke dalam perusahaan, menyederhanakan aspek ini dan mengurangi risiko ketidakpatuhan,” katanya.
“Bagaimanapun, kontrak yang ada perlu diperbarui untuk memastikan kepatuhan diamanatkan dan dipantau secara kontrak antara entitas dan penyedia,” tambah Lindsay.
Sementara itu, terdapat beberapa peraturan lain yang berfokus pada keamanan siber yang harus dipatuhi oleh organisasi, seperti Petunjuk Keamanan Jaringan dan Informasi 2, atau NIS 2dan Undang-Undang Ketahanan Siber. Yang pertama masuk mulai berlaku pada bulan Oktober.
“Seperti halnya peraturan baru, pasti akan ada masa transisi ketika organisasi menyesuaikan diri dengan persyaratan dan standar baru,” kata Fox dari Sonatype kepada CNBC. “Ini adalah awal dari perjalanan panjang menuju peningkatan keamanan dan ketahanan perangkat lunak.”
