Celah Keamanan yang Tidak Bisa Diabaikan oleh Institusi Keuangan Indonesia
Dari mandat OJK hingga kewajiban UU PDP, bank dan perusahaan fintech Indonesia menghadapi celah keamanan yang tidak bisa ditutup hanya dengan audit tahunan. ITSEC Asia, perusahaan keamanan siber terkemuka di Indonesia, menjelaskan mengapa continuous security validation adalah standar yang berlaku sekarang.
.png)
Pendahuluan
Antara akhir 2024 hingga 2025, Otoritas Jasa Keuangan (OJK) dan Indonesia Anti-Scam Center (IASC) mencatat sekitar 274.000 kasus penipuan dengan total kerugian masyarakat melebihi IDR 6 triliun. Angka itu belum mencakup gangguan operasional dan dampak reputasi dari insiden besar seperti kebocoran BI-Fast 2024, yang mendorong OJK melakukan inspeksi darurat terhadap bank pembangunan daerah di seluruh Indonesia. Sektor keuangan Indonesia tidak sedang menghadapi ancaman yang datang berkala. Ancaman itu beroperasi sepanjang waktu, dan memperlakukan validasi keamanan sebagai formalitas setahun sekali adalah salah satu asumsi paling berbahaya yang bisa dibuat oleh bank atau perusahaan fintech saat ini.
Penetration test tahunan sudah menjadi norma industri, dan selama bertahun-tahun dianggap cukup. Logikanya masuk akal: uji sistem sebelum produksi, dokumentasikan temuan, perbaiki yang kritis, dan ulangi dua belas bulan kemudian. Model itu masuk akal ketika lingkungan relatif statis, ketika API belum menjadi tulang punggung setiap integrasi produk, dan ketika penyerang belum menjalankan alat otomatis secara terus-menerus di seluruh internet. Tidak satu pun dari kondisi itu yang berlaku hari ini. ITSEC Asia, perusahaan keamanan siber terkemuka di Indonesia dengan pengalaman lebih dari satu dekade melayani institusi keuangan di Indonesia, Singapura, Australia, dan UEA, melihat celah ini langsung di organisasi-organisasi yang mereka tangani. Infrastruktur yang lulus audit pada Januari bisa terlihat sangat berbeda pada April — bukan karena kelalaian, melainkan karena layanan keuangan modern dibangun untuk bergerak cepat. Kode baru dirilis setiap minggu. API terhubung ke jaringan pembayaran pihak ketiga. Konfigurasi cloud berubah mengikuti kebutuhan bisnis. Setiap perubahan itu adalah potensi titik masuk, dan tidak satu pun dari perubahan tersebut terlihat oleh organisasi yang menunggu laporan tahun depan.
Sumber: OJK & IASC Fraud Report 2025 · OJK Inspects Regional Banks After BI-Fast Breach · ITSEC Asia Company Profile
Apa yang Kini Dituntut Regulator Indonesia
Lingkungan regulasi di Indonesia bergerak lebih cepat dalam dua tahun terakhir dibandingkan satu dekade sebelumnya, dan arahnya spesifik: menuntut bukti pengelolaan keamanan yang aktif, bukan sekadar dokumentasi kepatuhan masa lalu.
OJK Regulation No. 11/POJK.03/2022 beserta SEOJK No. 29/SEOJK.03/2022 tentang Ketahanan Siber mewajibkan bank umum untuk melakukan penilaian risiko inheren, menerapkan kerangka manajemen risiko yang kuat, dan melaksanakan pengujian keamanan siber secara berkala termasuk analisis kerentanan, tabletop exercise, dan pengujian rekayasa sosial. POJK 30/2025 yang lebih baru melangkah lebih jauh, memperlakukan risiko siber sebagai domain tata kelola tersendiri yang membutuhkan pengawasan di tingkat dewan direksi dan alat deteksi dini. Pada Agustus 2025, OJK memperluas postur ini ke operator perdagangan aset keuangan digital melalui Pedoman Keamanan Siber khusus yang menekankan pembangunan sistem informasi yang aman sejak desain dan tangguh dalam arsitekturnya — standar yang tidak bisa dipenuhi hanya dengan penilaian satu titik waktu saja.
Lalu ada UU PDP. Undang-Undang Perlindungan Data Pribadi Indonesia telah sepenuhnya dapat ditegakkan sejak Oktober 2024, dan kewajibannya terhadap institusi keuangan tidak bisa dianggap ringan. Undang-undang ini mewajibkan pengendali data untuk menerapkan langkah teknis dan organisasi yang sesuai guna melindungi data pribadi sepanjang seluruh siklus pemrosesan. Ketika terjadi pelanggaran, regulator tidak akan menanyakan apakah organisasi memiliki kebijakan privasi. Mereka akan menanyakan apa yang secara aktif dilakukan organisasi untuk menguji keamanan sistemnya sebelum insiden terjadi. Sanksi administratif berdasarkan Pasal 57 UU PDP dapat mencapai 2% dari pendapatan tahunan, disertai sanksi pidana hingga IDR 5 miliar dan penjara lima tahun untuk pelanggaran yang lebih serius. Bagi platform fintech atau bank menengah, itu bukan risiko abstrak. Itu risiko yang bisa mengakhiri bisnis.
Benang merah yang menghubungkan regulasi OJK, UU PDP, dan kerangka BSSN adalah sama: regulator mencari bukti bahwa kontrol keamanan sedang divalidasi secara aktif, bukan sekadar disertifikasi sekali lalu dilupakan. Laporan pentest tahunan yang sudah berumur sebelas bulan tidak menjawab pertanyaan itu.
Sumber: ICLG Cybersecurity Laws and Regulations Indonesia 2026 · HBT Indonesia Personal Data & Cybersecurity Quarterly Update Oct 2025 · Chambers and Partners Data Protection Indonesia 2026
Mengapa Lingkungan Keuangan Tidak Cocok dengan Model Pengujian Tahunan
Bank dan perusahaan fintech secara struktural berbeda dari industri lain, dan perbedaan itulah yang membuat keterbatasan periodic testing terasa jauh lebih kritis. Attack surface di sektor keuangan sangat luas dan terus berubah — satu platform perbankan digital saja bisa mengekspos ratusan API endpoint yang terhubung ke payment gateway, credit scoring engine, layanan verifikasi KYC, dan institusi mitra, masing-masing dengan profil risiko tersendiri yang bisa berubah kapan saja tanpa sepengetahuan tim keamanan.
-
Rata-rata biaya data breach di sektor keuangan secara global telah mencapai $6,08 juta — 22% lebih tinggi dari rata-rata lintas industri — karena lingkungan ini kompleks, saling terhubung, dan menjadi target bernilai tinggi.
-
Penyerang tidak menunggu jadwal assessment berikutnya. Mereka terus memindai secara kontinu, dan jeda antara satu annual test dengan berikutnya adalah celah di mana sebagian besar pelanggaran dimulai.
-
Tim produk di perusahaan fintech merilis fitur di bawah tekanan kompetisi dan ekspektasi pasar, yang berarti security review bisa tertinggal dari siklus rilis meski di organisasi dengan budaya keamanan yang kuat sekalipun.
-
Kerentanan yang muncul di alur pembayaran baru pada bulan Maret tidak akan terdeteksi dalam pentest yang baru dilakukan Januari berikutnya — dan pada saat itu, kemungkinan besar sudah dieksploitasi.
IBM Cost of a Data Breach Report 2024 menempatkan rata-rata biaya breach global di angka $4,88 juta, dan investigasi breach secara konsisten menunjukkan bahwa banyak insiden mengeksploitasi kerentanan yang sebenarnya sudah diketahui, namun tidak diprioritaskan untuk diperbaiki. Inilah pola yang dirancang untuk diputus oleh continuous testing — dengan mengangkat risiko berdasarkan kondisi sistem saat ini, bukan kondisi sistem pada saat assessment terakhir dilakukan.
Sumber: Cybri: Fintech Penetration Testing Strategic Guide 2025 · IBM Cost of a Data Breach Report 2024 · IndoSec: Impact of Regulatory Changes on Cybersecurity for Financial Institutions in Indonesia
Continuous Security Validation sebagai Standar Baru
Continuous security validation bukan soal menguji lebih sering demi frekuensi semata. Ini soal menyelaraskan siklus validasi keamanan dengan laju perubahan environment yang sesungguhnya — ketika API baru aktif, ketika konfigurasi cloud diperbarui, ketika fitur baru diluncurkan. Inilah arti "continuous" dalam praktiknya: bukan pentest harian, melainkan program validasi yang mengikuti ritme bisnis, bukan kalender.
-
Setiap siklus assessment menghasilkan dokumentasi tentang apa yang diuji, apa yang ditemukan, apa yang diremedasi, dan kapan — membangun jejak audit keamanan yang berkelanjutan, sesuatu yang tidak bisa dihasilkan oleh periodic testing.
-
Seiring waktu, rekam jejak itu menjadi bukti konkret yang dicari regulator UU PDP, pemeriksa OJK, dan mitra bisnis internasional dalam menilai apakah postur keamanan sebuah organisasi benar-benar kredibel.
-
Bronyx, platform autonomous penetration testing berbasis AI dari ITSEC Asia, menggabungkan otomasi cerdas dengan pengawasan pakar manusia untuk menghadirkan assessment yang lebih cepat, cakupan attack surface yang lebih luas, dan laporan siap audit.
-
Bagi institusi keuangan yang perlu membuktikan active security management kepada OJK, mendokumentasikan langkah teknis perlindungan data sesuai UU PDP, atau memenuhi ekspektasi mitra internasional, Bronyx menyediakan infrastruktur validasi berkelanjutan yang tidak bisa diberikan oleh annual testing.
Pendekatan ini mengubah compliance dari sekadar sertifikasi satu waktu menjadi praktik yang terus berjalan dan dapat dibuktikan — standar yang semakin diharapkan oleh regulator dan yang memang dituntut oleh kecepatan layanan keuangan modern.
Sumber: ITSEC Asia: Why Annual Penetration Testing Is No Longer Enough · Bronyx.AI Continuous Penetration Testing Platform · Optisol: Why Penetration Testing Is Essential for Fintech Cybersecurity in 2025
Mulai Bangun Bukti Keamanan Anda Sekarang
Pertanyaan bagi bank dan perusahaan fintech di Indonesia bukan lagi apakah continuous security validation itu perlu. Regulator sudah menjawabnya melalui kerangka OJK yang terus berkembang, penegakan UU PDP, dan persyaratan manajemen insiden BSSN. Pertanyaannya adalah apakah sebuah organisasi akan membangun bukti itu secara proaktif atau terpaksa menjelaskan ketiadaannya setelah insiden terjadi.
ITSEC Asia telah lebih dari satu dekade bekerja bersama institusi keuangan di Indonesia, Singapura, Australia, dan UEA, membantu tim keamanan, kepatuhan, dan eksekutif menunjukkan akuntabilitas yang memenuhi standar teknis sekaligus regulasi. Jika organisasi Anda memproses data keuangan di Indonesia dan masih mengandalkan satu audit tahunan sebagai validasi keamanan utama, eksposur itu nyata dan waktunya untuk mengatasinya adalah sekarang — bukan setelah pelanggaran berikutnya, dan bukan setelah inspeksi OJK berikutnya.
Kunjungi bronyx.ai atau hubungi tim ITSEC Asia di itsec.asia/contact untuk mengatur konsultasi dan melihat bagaimana continuous security validation dapat disesuaikan dengan lingkungan Anda.
.png)


