Logo
Cybersecurity

Celah Keamanan yang Tidak Bisa Diabaikan oleh Institusi Keuangan Indonesia

Dari mandat OJK hingga kewajiban UU PDP, bank dan perusahaan fintech Indonesia menghadapi celah keamanan yang tidak bisa ditutup hanya dengan audit tahunan. ITSEC Asia, perusahaan keamanan siber terkemuka di Indonesia, menjelaskan mengapa continuous security validation adalah standar yang berlaku sekarang.

ITSEC AsiaITSEC Asia
|
Jun 30, 2026
Celah Keamanan yang Tidak Bisa Diabaikan oleh Institusi Keuangan Indonesia

Pendahuluan

Antara akhir 2024 hingga 2025, Otoritas Jasa Keuangan (OJK) dan Indonesia Anti-Scam Center (IASC) mencatat sekitar 274.000 kasus penipuan dengan total kerugian masyarakat melebihi IDR 6 triliun. Angka itu belum mencakup gangguan operasional dan dampak reputasi dari insiden besar seperti kebocoran BI-Fast 2024, yang mendorong OJK melakukan inspeksi darurat terhadap bank pembangunan daerah di seluruh Indonesia. Sektor keuangan Indonesia tidak sedang menghadapi ancaman yang datang berkala. Ancaman itu beroperasi sepanjang waktu, dan memperlakukan validasi keamanan sebagai formalitas setahun sekali adalah salah satu asumsi paling berbahaya yang bisa dibuat oleh bank atau perusahaan fintech saat ini.

Penetration test tahunan sudah menjadi norma industri, dan selama bertahun-tahun dianggap cukup. Logikanya masuk akal: uji sistem sebelum produksi, dokumentasikan temuan, perbaiki yang kritis, dan ulangi dua belas bulan kemudian. Model itu masuk akal ketika lingkungan relatif statis, ketika API belum menjadi tulang punggung setiap integrasi produk, dan ketika penyerang belum menjalankan alat otomatis secara terus-menerus di seluruh internet. Tidak satu pun dari kondisi itu yang berlaku hari ini. ITSEC Asia, perusahaan keamanan siber terkemuka di Indonesia dengan pengalaman lebih dari satu dekade melayani institusi keuangan di Indonesia, Singapura, Australia, dan UEA, melihat celah ini langsung di organisasi-organisasi yang mereka tangani. Infrastruktur yang lulus audit pada Januari bisa terlihat sangat berbeda pada April — bukan karena kelalaian, melainkan karena layanan keuangan modern dibangun untuk bergerak cepat. Kode baru dirilis setiap minggu. API terhubung ke jaringan pembayaran pihak ketiga. Konfigurasi cloud berubah mengikuti kebutuhan bisnis. Setiap perubahan itu adalah potensi titik masuk, dan tidak satu pun dari perubahan tersebut terlihat oleh organisasi yang menunggu laporan tahun depan.

Sumber: OJK & IASC Fraud Report 2025 · OJK Inspects Regional Banks After BI-Fast Breach · ITSEC Asia Company Profile

Apa yang Kini Dituntut Regulator Indonesia

Lingkungan regulasi di Indonesia bergerak lebih cepat dalam dua tahun terakhir dibandingkan satu dekade sebelumnya, dan arahnya spesifik: menuntut bukti pengelolaan keamanan yang aktif, bukan sekadar dokumentasi kepatuhan masa lalu.

OJK Regulation No. 11/POJK.03/2022 beserta SEOJK No. 29/SEOJK.03/2022 tentang Ketahanan Siber mewajibkan bank umum untuk melakukan penilaian risiko inheren, menerapkan kerangka manajemen risiko yang kuat, dan melaksanakan pengujian keamanan siber secara berkala termasuk analisis kerentanan, tabletop exercise, dan pengujian rekayasa sosial. POJK 30/2025 yang lebih baru melangkah lebih jauh, memperlakukan risiko siber sebagai domain tata kelola tersendiri yang membutuhkan pengawasan di tingkat dewan direksi dan alat deteksi dini. Pada Agustus 2025, OJK memperluas postur ini ke operator perdagangan aset keuangan digital melalui Pedoman Keamanan Siber khusus yang menekankan pembangunan sistem informasi yang aman sejak desain dan tangguh dalam arsitekturnya — standar yang tidak bisa dipenuhi hanya dengan penilaian satu titik waktu saja.

Lalu ada UU PDP. Undang-Undang Perlindungan Data Pribadi Indonesia telah sepenuhnya dapat ditegakkan sejak Oktober 2024, dan kewajibannya terhadap institusi keuangan tidak bisa dianggap ringan. Undang-undang ini mewajibkan pengendali data untuk menerapkan langkah teknis dan organisasi yang sesuai guna melindungi data pribadi sepanjang seluruh siklus pemrosesan. Ketika terjadi pelanggaran, regulator tidak akan menanyakan apakah organisasi memiliki kebijakan privasi. Mereka akan menanyakan apa yang secara aktif dilakukan organisasi untuk menguji keamanan sistemnya sebelum insiden terjadi. Sanksi administratif berdasarkan Pasal 57 UU PDP dapat mencapai 2% dari pendapatan tahunan, disertai sanksi pidana hingga IDR 5 miliar dan penjara lima tahun untuk pelanggaran yang lebih serius. Bagi platform fintech atau bank menengah, itu bukan risiko abstrak. Itu risiko yang bisa mengakhiri bisnis.

Benang merah yang menghubungkan regulasi OJK, UU PDP, dan kerangka BSSN adalah sama: regulator mencari bukti bahwa kontrol keamanan sedang divalidasi secara aktif, bukan sekadar disertifikasi sekali lalu dilupakan. Laporan pentest tahunan yang sudah berumur sebelas bulan tidak menjawab pertanyaan itu.

Sumber: ICLG Cybersecurity Laws and Regulations Indonesia 2026 · HBT Indonesia Personal Data & Cybersecurity Quarterly Update Oct 2025 · Chambers and Partners Data Protection Indonesia 2026

Mengapa Lingkungan Keuangan Tidak Cocok dengan Model Pengujian Tahunan

Bank dan perusahaan fintech secara struktural berbeda dari industri lain, dan perbedaan itulah yang membuat keterbatasan periodic testing terasa jauh lebih kritis. Attack surface di sektor keuangan sangat luas dan terus berubah — satu platform perbankan digital saja bisa mengekspos ratusan API endpoint yang terhubung ke payment gateway, credit scoring engine, layanan verifikasi KYC, dan institusi mitra, masing-masing dengan profil risiko tersendiri yang bisa berubah kapan saja tanpa sepengetahuan tim keamanan.

  • Rata-rata biaya data breach di sektor keuangan secara global telah mencapai $6,08 juta — 22% lebih tinggi dari rata-rata lintas industri — karena lingkungan ini kompleks, saling terhubung, dan menjadi target bernilai tinggi.

  • Penyerang tidak menunggu jadwal assessment berikutnya. Mereka terus memindai secara kontinu, dan jeda antara satu annual test dengan berikutnya adalah celah di mana sebagian besar pelanggaran dimulai.

  • Tim produk di perusahaan fintech merilis fitur di bawah tekanan kompetisi dan ekspektasi pasar, yang berarti security review bisa tertinggal dari siklus rilis meski di organisasi dengan budaya keamanan yang kuat sekalipun.

  • Kerentanan yang muncul di alur pembayaran baru pada bulan Maret tidak akan terdeteksi dalam pentest yang baru dilakukan Januari berikutnya — dan pada saat itu, kemungkinan besar sudah dieksploitasi.

IBM Cost of a Data Breach Report 2024 menempatkan rata-rata biaya breach global di angka $4,88 juta, dan investigasi breach secara konsisten menunjukkan bahwa banyak insiden mengeksploitasi kerentanan yang sebenarnya sudah diketahui, namun tidak diprioritaskan untuk diperbaiki. Inilah pola yang dirancang untuk diputus oleh continuous testing — dengan mengangkat risiko berdasarkan kondisi sistem saat ini, bukan kondisi sistem pada saat assessment terakhir dilakukan.

Sumber: Cybri: Fintech Penetration Testing Strategic Guide 2025 · IBM Cost of a Data Breach Report 2024 · IndoSec: Impact of Regulatory Changes on Cybersecurity for Financial Institutions in Indonesia

Continuous Security Validation sebagai Standar Baru

Continuous security validation bukan soal menguji lebih sering demi frekuensi semata. Ini soal menyelaraskan siklus validasi keamanan dengan laju perubahan environment yang sesungguhnya — ketika API baru aktif, ketika konfigurasi cloud diperbarui, ketika fitur baru diluncurkan. Inilah arti "continuous" dalam praktiknya: bukan pentest harian, melainkan program validasi yang mengikuti ritme bisnis, bukan kalender.

  • Setiap siklus assessment menghasilkan dokumentasi tentang apa yang diuji, apa yang ditemukan, apa yang diremedasi, dan kapan — membangun jejak audit keamanan yang berkelanjutan, sesuatu yang tidak bisa dihasilkan oleh periodic testing.

  • Seiring waktu, rekam jejak itu menjadi bukti konkret yang dicari regulator UU PDP, pemeriksa OJK, dan mitra bisnis internasional dalam menilai apakah postur keamanan sebuah organisasi benar-benar kredibel.

  • Bronyx, platform autonomous penetration testing berbasis AI dari ITSEC Asia, menggabungkan otomasi cerdas dengan pengawasan pakar manusia untuk menghadirkan assessment yang lebih cepat, cakupan attack surface yang lebih luas, dan laporan siap audit.

  • Bagi institusi keuangan yang perlu membuktikan active security management kepada OJK, mendokumentasikan langkah teknis perlindungan data sesuai UU PDP, atau memenuhi ekspektasi mitra internasional, Bronyx menyediakan infrastruktur validasi berkelanjutan yang tidak bisa diberikan oleh annual testing.

Pendekatan ini mengubah compliance dari sekadar sertifikasi satu waktu menjadi praktik yang terus berjalan dan dapat dibuktikan — standar yang semakin diharapkan oleh regulator dan yang memang dituntut oleh kecepatan layanan keuangan modern.

Sumber: ITSEC Asia: Why Annual Penetration Testing Is No Longer Enough · Bronyx.AI Continuous Penetration Testing Platform · Optisol: Why Penetration Testing Is Essential for Fintech Cybersecurity in 2025

Mulai Bangun Bukti Keamanan Anda Sekarang

Pertanyaan bagi bank dan perusahaan fintech di Indonesia bukan lagi apakah continuous security validation itu perlu. Regulator sudah menjawabnya melalui kerangka OJK yang terus berkembang, penegakan UU PDP, dan persyaratan manajemen insiden BSSN. Pertanyaannya adalah apakah sebuah organisasi akan membangun bukti itu secara proaktif atau terpaksa menjelaskan ketiadaannya setelah insiden terjadi.

ITSEC Asia telah lebih dari satu dekade bekerja bersama institusi keuangan di Indonesia, Singapura, Australia, dan UEA, membantu tim keamanan, kepatuhan, dan eksekutif menunjukkan akuntabilitas yang memenuhi standar teknis sekaligus regulasi. Jika organisasi Anda memproses data keuangan di Indonesia dan masih mengandalkan satu audit tahunan sebagai validasi keamanan utama, eksposur itu nyata dan waktunya untuk mengatasinya adalah sekarang — bukan setelah pelanggaran berikutnya, dan bukan setelah inspeksi OJK berikutnya.

Kunjungi bronyx.ai atau hubungi tim ITSEC Asia di itsec.asia/contact untuk mengatur konsultasi dan melihat bagaimana continuous security validation dapat disesuaikan dengan lingkungan Anda.

Share this post

You may also like

7 Kriteria Utama Managed Security Services Providers Berkualitas yang Wajib Diketahui Perusahaan
Cybersecurity

7 Kriteria Utama Managed Security Services Providers Berkualitas yang Wajib Diketahui Perusahaan

PENDAHULUAN Ancaman siber tidak lagi menunggu perusahaan lengah. Serangan terjadi setiap saat, lintas sektor, dan semakin sulit dideteksi tanpa sistem pemantauan yang terintegrasi. Menurut Gartner, 90% anggota dewan direksi non-eksekutif tidak memiliki keyakinan atas nilai yang diperoleh organisasi mereka dari investasi keamanan siber, sebuah kesenjangan yang semakin melebar antara harapan kepemimpinan dan kapasitas tim internal.  Di sinilah Managed Security Services (MSS) berperan. Namun tidak semua penyedia layanan memberikan perlindungan yang setara. Banyak perusahaan baru menyadari kelemahan vendor mereka justru ketika insiden sudah terjadi. Artikel ini membahas tujuh kriteria yang harus menjadi acuan evaluasi sebelum Anda menandatangani kontrak dengan penyedia Managed Security Services. Sumber: gartner.com [http://gartner.com], issglobal.com [https://issglobal.com/perspectives/what-are-managed-security-services/] MENGAPA PEMILIHAN MSS YANG TEPAT SANGAT KRITIS? Sepanjang 2024 hingga 2025, perusahaan di sektor kesehatan, otomotif, keuangan, pertahanan, dan teknologi mengalami pelanggaran besar yang menelan kerugian miliaran dolar, mengekspos jutaan data, dan melumpuhkan operasional selama berbulan-bulan.  [https://www.manageengine.com/products/desktop-central/blog/the-security-gaps-that-caused-2025s-biggest-breaches.html] Pola yang ditemukan cukup mengejutkan: insiden-insiden ini bukan serangan canggih yang tak bisa dicegah, melainkan mengeksploitasi kelemahan yang sebenarnya bisa dihindari seperti kerentanan yang tidak ditambal, miskonfigurasi, kredensial yang dicuri, kontrol identitas yang lemah,

Ajeng HadeAjeng Hade
|
Apr 30, 2026 6 minutes read
Cybersecurity in 2026 The Rise of Strategic Resilience and Practical Protection
Cybersecurity

Cybersecurity in 2026 The Rise of Strategic Resilience and Practical Protection

Cybersecurity in 2026 is defined by a fundamental shift in mindset. The question organizations now face is no longer “Can we prevent every attack?” but “Can we survive, adapt, and continue operating when an attack inevitably happens?” As cyber threats grow faster, more automated, and more business-disruptive, security is evolving from a purely technical function into a core pillar of organizational resilience. This evolution marks the rise of strategic resilience and practical protection, where cybersecurity is measured not by perfection, but by preparedness, prioritization, and recovery. MEASURING CYBERSECURITY BY BUSINESS IMPACT, NOT TECHNICAL METRICS For years, cybersecurity focused on building stronger walls: firewalls, intrusion prevention, and threat blocking. In 2026, that approach alone is no longer sufficient. Attacks are inevitable, and the real differentiator is how well an organization absorbs impact and recovers. Business resilience reframes cybersecurity as a continuity challenge. Downtime, data unavailability, and operational disruption now represent direct financial and reputational risk. As a result, leadership teams increasingly evaluate security through questions like: How quickly can we detect incidents? How

ITSEC AsiaITSEC Asia
|
Feb 09, 2026 4 minutes read
Mengapa Threat Hunting Adalah Satu-Satunya Cara untuk Menghentikan Penyerang yang Sudah Ada di Dalam
Cybersecurity

Mengapa Threat Hunting Adalah Satu-Satunya Cara untuk Menghentikan Penyerang yang Sudah Ada di Dalam

PENDAHULUAN Ada satu pertanyaan yang harus direnungkan oleh setiap pemimpin keamanan: jika seorang penyerang masuk ke jaringan Anda enam bulan lalu, apakah Anda akan mengetahuinya? Menurut Laporan Biaya Pelanggaran Data IBM 2024, rata-rata waktu untuk mengidentifikasi sebuah pelanggaran kini mencapai 194 hari, hampir setengah tahun aktivitas penyerang yang tidak terdeteksi beroperasi bebas di dalam infrastruktur perusahaan. Alat-alat pencegahan, semaju apapun, telah terbukti tidak mampu menutup celah tersebut sendirian. Firewall, perangkat lunak antivirus, dan autentikasi multi-faktor memang diperlukan. Namun itu saja tidak cukup. Organisasi yang memahami perbedaan ini adalah mereka yang berinvestasi dalam threat hunting: praktik proaktif berbasis intelijen yang bertujuan mencari para penyerang yang telah melewati perimeter dan beroperasi dalam diam. ITSEC Asia, pemimpin keamanan siber di Indonesia dengan operasi di Singapura, Australia, dan UAE, bekerja sama dengan organisasi-organisasi di seluruh kawasan tersebut untuk membangun kemampuan ini sebelum pelanggaran berikutnya membuat hal itu menjadi mendesak. Sumber: IBM Cost of a Data Breach Report 2024 [https://www.ibm.com/reports/data-breach] CELAH YANG TIDAK BISA DITUTUP OLEH KEAMANAN REAKTIF Kelemahan mendasar dari keamanan siber yang bersifat reaktif terletak pada arsitekturnya. Security Operations

Ajeng HadeAjeng Hade
|
Mei 12, 2026 5 minutes read

Receive weekly
updates on new posts

Subscribe