Jakarta — Bank Indonesia (BI) mengungkap masih ada sejumlah bank yang belum menerapkan pengawasan keamanan siber selama 24 jam dalam tujuh hari (24/7). Padahal, serangan siber dapat terjadi kapan saja dan berpotensi mengganggu layanan serta membahayakan data maupun dana nasabah.
Deputi Direktur Departemen Kebijakan Sistem Pembayaran BI, Ronggo Gundala Yudha, menyampaikan temuan tersebut di tengah meningkatnya serangan siber seiring perkembangan teknologi. Ia menuturkan, masih ada pihak di perbankan yang kesulitan meyakinkan jajaran direksi agar menyediakan pengawasan keamanan siber secara penuh waktu.
“Yang saya agak sedih, masih ada bank yang Direktur Operasionalnya ngomong ke saya ‘Pak, saya agak susah untuk meyakinkan Direktur Utama dan dewan direksi supaya ada yang bisa menjaga 24 jam dalam 7 hari,” kata Ronggo dalam acara Infobank Institute bertajuk Digital “Payment & Security Outlook 2026-2030: Trends, Competitive Landscape and Forecast Insight”, Kamis, 20 November 2025.
Ronggo menekankan, bank-bank yang belum melakukan pengawasan 24/7 tersebut memiliki volume dan nilai transaksi harian yang tinggi. Menurutnya, tanpa pemantauan berkelanjutan, risiko pencurian data maupun dana nasabah menjadi lebih besar.
Untuk memperkuat perlindungan, BI menegaskan pentingnya kepatuhan terhadap Peraturan BI (PBI) No. 23 Tahun 2021 tentang Penyedia Jasa Pembayaran (PJP) yang akan diperbarui. Dalam ketentuan tersebut, PJP diwajibkan memiliki kebijakan dan prosedur tertulis, kontrol direksi dan komisaris, pengendalian internal, manajemen risiko, serta audit internal.
“Di PBI-PJP yang akan diperbarui, dijelaskan kalau PJP harus punya kebijakan prosedur tertulis, kontrol direksi dan komisaris, pengendalian internal, manajemen risiko, audit internal. Semua itu harus ada,” ujarnya.
BI juga membuka opsi bagi perbankan atau pelaku industri yang belum memiliki kapabilitas internal untuk memanfaatkan jasa pihak ketiga. Salah satu alternatif yang disebutkan adalah melalui Asosiasi Sistem Pembayaran Indonesia (ASPI) untuk pelaksanaan audit internal atau audit infrastruktur teknologi informasi.
Selain penguatan tata kelola dan pengawasan, Ronggo mengingatkan perbankan agar tidak panik ketika serangan siber terjadi dan segera menjalankan protokol keamanan. Ia juga menyoroti kerentanan yang bisa muncul saat bank melakukan pembaruan atau patching sistem, karena celah baru dapat dimanfaatkan peretas.
Ia menyinggung ancaman “zero day attack”, yakni kondisi ketika peretas mengeksploitasi kelemahan sistem sebelum pengembang sempat menutup celah tersebut. “Bapak-ibu harus waspada dengan zero day attack. Kalau saya sebagai hacker, hari ini ada bugs baru, langsung saya eksploitasi. Lihat zero day attack itu, bugs-nya itu apa? Kira-kira dampaknya seperti apa? Kalaupun udah ada patching-nya, bapak-ibu langsung berani apply patch-nya nggak?” kata Ronggo.
