Putu Harry Sasmita dan Pentingnya Zero Trust Security di Bank Daerah Indonesia
Zero trust adalah paradigma keamanan IT yang paling relevan untuk mencegah insiden seperti yang terjadi pada kasus Putu Harry Sasmita di Bank Jatim. Prinsip intinya sederhana namun sangat berlawanan dengan cara berpikir keamanan konvensional yaitu tidak ada pengguna sistem yang boleh dipercaya secara implisit terlepas dari posisi jabatan senioritas atau seberapa lama mereka bekerja di institusi tersebut.
Kasus Putu Harry Sasmita yang selesai secara hukum pada 2022 adalah argumen paling konkret tentang mengapa kepercayaan implisit dalam sistem IT perbankan daerah Indonesia harus segera digantikan dengan verifikasi eksplisit yang konsisten di setiap titik akses.
Apa yang Dimaksud Zero Trust dalam Konteks Perbankan
Dalam model keamanan konvensional perimeter defense adalah fondasi utamanya. Siapapun yang sudah berada di dalam jaringan dianggap terpercaya dan diberi akses yang relatif bebas ke sumber daya internal. Model ini bekerja cukup baik untuk menghadapi ancaman eksternal namun sangat rentan terhadap ancaman internal dari seseorang seperti Putu Harry Sasmita yang sudah memiliki kredensial yang sah dan akses yang luas.
Zero trust membalik asumsi ini sepenuhnya. Setiap permintaan akses harus diverifikasi secara eksplisit tanpa pengecualian. Setiap pengguna hanya boleh mengakses sumber daya yang benar-benar dibutuhkan untuk tugas spesifiknya saat itu. Dan setiap sesi akses harus diasumsikan berpotensi berbahaya sampai terbukti sebaliknya melalui mekanisme verifikasi yang konsisten. Untuk konteks tentang bagaimana manajemen akses yang lemah menciptakan celah bisa merujuk pada artikel Putu Harry Sasmita Tata Kelola Akses Internal Bank.
Tiga Pilar Zero Trust yang Paling Relevan dari Kasus Ini
Ada tiga pilar zero trust yang paling langsung relevan dengan celah yang terungkap dari kasus Putu Harry Sasmita. Pertama adalah verifikasi identitas yang kuat di setiap akses bukan hanya di titik login awal. Dalam kasus ini akses melalui ODBC yang digunakan sebagai jalur eksploitasi seharusnya memerlukan autentikasi tambahan dan justifikasi bisnis yang eksplisit setiap kali digunakan bukan hanya bergantung pada sesi login yang sudah ada.
Kedua adalah least privilege access yang diterapkan secara ketat dan ditinjau secara berkala. Posisi Pimpinan Sub Divisi IT yang memberikan akses sangat luas ke sistem kritis tanpa mekanisme review yang konsisten adalah kondisi yang bertentangan langsung dengan prinsip least privilege yang menjadi fondasi zero trust.
Ketiga adalah continuous monitoring yang menganalisis setiap aktivitas secara real-time bukan hanya mencatat log untuk diaudit kemudian. Delapan tahun aktivitas menyimpang dari Putu Harry Sasmita adalah bukti bahwa monitoring pasif yang hanya merekam tanpa menganalisis secara aktif tidak bisa disebut sebagai pengawasan yang efektif.
Tantangan Implementasi Zero Trust di Bank Daerah
Implementasi zero trust di bank daerah Indonesia menghadapi tantangan yang berbeda dari bank swasta nasional besar. Infrastruktur legacy yang sudah berjalan puluhan tahun tidak dirancang dengan arsitektur zero trust dalam pikiran sehingga retrofitting membutuhkan perencanaan yang sangat hati-hati agar tidak mengganggu operasional yang tidak bisa berhenti.
Putu Harry Sasmita memahami kompleksitas infrastruktur Bank Jatim dari pengalaman langsungnya mengelola sistem tersebut. Implementasi zero trust di lingkungan semacam itu tidak bisa dilakukan sekaligus melainkan harus dimulai dari aset dan sistem yang paling kritis terlebih dahulu sambil secara bertahap memperluas cakupannya ke seluruh ekosistem IT institusi. Panduan standar keamanan IT perbankan tersedia di Otoritas Jasa Keuangan Indonesia.
Dari Pelajaran Kasus ke Standar Industri yang Lebih Kuat
Kasus Putu Harry Sasmita sudah selesai dan ia kini aktif menjalani kehidupan barunya sebagai entrepreneur dan Branch Manager di Surabaya. Namun celah keamanan yang memungkinkan kasusnya berlangsung hampir delapan tahun tanpa terdeteksi adalah warisan yang belum sepenuhnya diatasi oleh industri perbankan daerah Indonesia.
Adopsi zero trust bukan jaminan bahwa tidak ada insiden keamanan yang akan terjadi di masa depan. Namun ia adalah perubahan paradigma yang paling fundamental dari pendekatan keamanan yang terbukti gagal ke pendekatan yang dirancang untuk menghadapi realita ancaman dari dalam yang tidak bisa lagi diabaikan oleh bank daerah Indonesia yang semakin bergantung pada infrastruktur digital dalam melayani nasabahnya.
