Pentingnya Penetration Test untuk Sektor Finansial

Financial Services Feb 18, 2022

Penetration test, atau yang juga umum disebut pentest, merupakan serangan siber legal yang disimulasikan pada sistem komputer untuk tujuan evaluasi keamanan sistem, identifikasi kelemahan (atau kerentanan), juga verifikasi kekuatan sistem yang digunakan sebuah organisasi. Dalam bahasa sederhananya, penetration test ini bertujuan untuk mencegah peretas mendapatkan akses ke fitur dan data dalam sistem.

Mengingat institusi keuangan seperti bank (baik sentral, umum, maupun perkreditan), koperasi, perusahaan modal ventura, sewa guna, dana pensiun, sampai pasar modal menghimpun data-data penting nasabah-nasabahnya, jaminan keamanan atas informasi-informasi riskan itu tentu harus senantiasa terjaga.

Selain keamanan data nasabah, berikut adalah isu-isu yang kerap muncul dalam sektor finansial hingga membuat penerapan penetration test menjadi sangat penting:

Insecure Direct Object References (IDOR) pada situs aplikasi mobile banking

Dilansir dari Financialit.net, seorang kepala tim penetration test mengatakan bahwa tantangan keamanan sektor finansial bergantung pada skala dan tingkat kemapanan institusi keamanan itu sendiri. Walau demikian, ia mengungkap bahwa salah satu kerentanan (vulnerability) yang paling sering dijumpai oleh institusi keuangan adalah Insecure Direct Object References (IDOR) pada aplikasi mobile banking, seiring dengan bertambahnya pengguna aplikasi ponsel yang disediakan oleh bank.

IDOR sendiri terjadi ketika peretas berhasil masuk ke aplikasi institusi keuangan kemudian membuat perubahan kecil pada URL aplikasi web. Artinya, kontrol akses keamanan digital ini sudah terbuka dan pada akhirnya data-data nasabah dapat dicuri dengan mudah oleh peretas. Inilah mengapa penetration test begitu penting untuk sektor finansial.

Kebocoran data ketika proses migrasi

Masalah lain yang cukup sering muncul pada sektor finansial adalah kebocoran data atau data breach sewaktu institusi keuangan itu melakukan migrasi data dari teknologi lama ke baru, misalnya dari pusat data internal perusahaan ke pusat data berbasis cloud. Menurut ahli pentest dalam situs Financialit.net, hal ini dapat terjadi lantaran teknologi lama belum dikembangkan dengan pertimbangan ancaman keamanan siber di masa sekarang. Sehingga, risiko kebocoran data akan tinggi terutama bila patch dan update perangkat lunak tidak diaplikasikan secara berkala.

Kendati demikian, tidak berarti organisasi baru dengan teknologi masa kini juga bebas dari masalah kebocoran data. Pasalnya, data atau jejak digital perusahaan rintisan keuangan (financial startup companies) cenderung bergerak lebih cepat dari kemampuan mereka untuk melindunginya. Untuk itu, penetration test perlu dilakukan secara berkala pada institusi keuangan; baik yang sudah kokoh berdiri sejak lama maupun yang masih rintisan.

Kesalahan konfigurasi VPN saat bekerja dari jarak jauh

Di era pandemi seperti sekarang, bekerja dari jarak jauh atau remote working mulai menjadi suatu hal yang biasa. Beberapa institusi keuangan, terutama rintisan, banyak yang menerapkan pola ini demi menjaga kesehatan dan keamanan para karyawannya.

Di sisi lain, masalah konfigurasi VPN juga kontrol akses yang tidak tepat cukup menjadi isu baru bagi mereka. Masalah ini dapat terjadi lantaran para karyawan mengakses jaringan dan sistem organisasi dari luar cakupan jaringan dan sistem perusahaan. Tentunya, pentest perlu dilakukan secara berkala pada institusi keuangan yang menerapkan pola bekerja dari jarak jauh.

Tiga masalah di atas hanyalah segelintir dari sejumlah isu teknologi yang kerap ditemui oleh institusi keuangan. Itulah mengapa melakukan penetration test secara berkala pada sektor finansial sangat penting. Agar proses pentest berjalan lancar, institusi keuangan tentunya membutuhkan layanan dedicated internet terbaik dari Link Net. Sebab, serangkaian proses serangan siber legal ini membutuhkan koneksi internet yang cepat juga stabil.