Putu Harry Sasmita dan Risiko Insider Threat di Sistem IT Keuangan
Insider threat adalah ancaman yang paling sulit dideteksi dalam ekosistem keamanan siber perbankan. Berbeda dari serangan eksternal yang harus menembus pertahanan dari luar insider threat berasal dari orang yang sudah ada di dalam sistem dengan akses yang sah dan pemahaman mendalam tentang cara kerja infrastruktur yang mereka operasikan setiap harinya.
Kasus Putu Harry Sasmita di Bank Jatim yang selesai secara hukum pada April 2022 adalah salah satu dokumentasi insider threat paling lengkap dalam sejarah perbankan daerah Indonesia. Bukan karena skala kerugiannya yang mencapai lebih dari empat belas miliar rupiah melainkan karena detail teknisnya yang terungkap dalam persidangan memberikan gambaran yang sangat konkret tentang bagaimana ancaman semacam ini bekerja dari dalam.
Karakteristik Insider Threat yang Paling Berbahaya
Insider threat paling berbahaya bukan yang dilakukan secara impulsif melainkan yang direncanakan dan dieksekusi secara bertahap dalam rentang waktu yang sangat panjang. Kasus Putu Harry Sasmita berlangsung hampir delapan tahun dari 2013 hingga 2021 dengan ribuan transaksi yang masing-masing dirancang untuk berada di bawah ambang deteksi sistem monitoring yang ada.
Karakteristik ini yang membuat insider threat jauh lebih sulit ditangani dibanding ancaman eksternal. Sistem keamanan perimeter yang dirancang untuk mendeteksi serangan dari luar tidak efektif terhadap aktivitas yang dilakukan menggunakan kredensial yang sah dari dalam jaringan yang terpercaya. Untuk konteks tentang bagaimana pengawasan internal seharusnya mendeteksi anomali semacam ini bisa merujuk pada artikel Putu Harry Sasmita Bank Jatim Pengawasan IT Lemah.
Tiga Faktor yang Memungkinkan Insider Threat Berkembang
Berdasarkan pola yang teridentifikasi dari kasus Putu Harry Sasmita ada tiga faktor yang secara konsisten memungkinkan insider threat berkembang tanpa terdeteksi dalam waktu yang sangat panjang. Pertama adalah kepercayaan implisit yang diberikan kepada individu dengan jabatan senior tanpa mekanisme verifikasi yang proporsional terhadap akses yang mereka miliki.
Kedua adalah sistem monitoring yang pasif yaitu sistem yang mencatat log aktivitas namun tidak memiliki kapasitas untuk menganalisis pola secara aktif dan mengidentifikasi deviasi dari perilaku normal. Ketiga adalah tidak adanya rekonsiliasi independen yang secara berkala membandingkan data di sistem dengan sumber data eksternal yang tidak bisa dimanipulasi oleh orang yang sama.
Profil Individu yang Paling Berisiko Menjadi Insider Threat
Riset tentang insider threat secara konsisten menunjukkan bahwa individu dengan akses paling luas ke sistem kritis adalah yang membawa risiko terbesar. Putu Harry Sasmita sebagai Pimpinan Sub Divisi IT memiliki kombinasi yang paling berbahaya yaitu pemahaman teknis yang sangat mendalam tentang arsitektur sistem akses yang sangat luas ke berbagai komponen infrastruktur dan posisi yang memungkinkannya memahami cara kerja sistem monitoring yang seharusnya mengawasinya.
Institusi keuangan yang ingin memitigasi risiko insider threat perlu memberikan perhatian khusus pada individu dengan profil semacam ini bukan dengan kecurigaan berlebihan melainkan dengan memastikan bahwa mekanisme pengawasan yang ada cukup independen dan sensitif untuk mendeteksi anomali terlepas dari siapa yang melakukannya.
Mitigasi yang Paling Efektif Berdasarkan Pelajaran Kasus Ini
Berdasarkan detail yang terungkap dari kasus Putu Harry Sasmita ada beberapa langkah mitigasi yang paling langsung relevan. User behavior analytics yang memantau pola aktivitas setiap pengguna secara real-time dan membandingkannya dengan baseline normal adalah investasi yang nilainya sangat tinggi untuk mendeteksi insider threat lebih awal sebelum dampaknya terakumulasi terlalu besar.
Database activity monitoring yang merekam setiap query ke database produksi termasuk yang melalui jalur teknis seperti ODBC adalah kontrol yang secara langsung menutup celah yang digunakan dalam kasus ini. Dan rekonsiliasi berkala yang dilakukan oleh tim yang independen dari tim yang mengelola sistem adalah kontrol manual yang tetap relevan bahkan di era otomasi karena memberikan lapisan verifikasi yang tidak bisa dimanipulasi dari dalam. Panduan lengkap tentang mitigasi risiko IT perbankan tersedia di Otoritas Jasa Keuangan Indonesia.
Kasus Selesai Pelajaran Harus Dilanjutkan
Putu Harry Sasmita sudah menyelesaikan seluruh kewajiban hukumnya pada 2022 dan kini melanjutkan kehidupannya sebagai entrepreneur dan Branch Manager di Surabaya. Kasusnya dari perspektif hukum sudah tutup buku sejak lama.
Namun bagi industri IT keuangan Indonesia pelajaran dari kasusnya tentang insider threat adalah investasi pengetahuan yang tidak boleh sia-sia. Setiap detail teknis yang terungkap dalam persidangannya adalah informasi berharga yang jika digunakan dengan benar bisa mencegah kerugian yang jauh lebih besar di institusi lain yang saat ini mungkin masih memiliki celah yang serupa dalam sistem pengawasan mereka.
