Teknologi terkini seperti AI (artificial intelligence) atau kecerdasan buatan) telah banyak membantu industri perbankan dalam mentransformasi bisnis secara menyeluruh. Secara global, teknologi AI merupakan salah satu tren teknologi yang diramalkan Gartner akan banyak mengubah bisnis pada tahun 2020. Namun bila dilihat dari segi keamanan siber, adopsiteknologi AI juga berpotensi menjadi pedang bermata dua.
Secara realistis, ancaman keamanan terhadap bisnis dalam waktu dekat masih akan lebih banyak berupa ancaman klasik, seperti ransomware, phishing atau malware. Di Indonesia, industri perbankan merupakan salah satu yang tergolong rentan, seperti yang disebutkan Badan Siber dan Sandi Negara pada akhir tahun 2019 lalu. Namun, para penjahat siber tentunya akan terus mencari cara dan celah baru untuk mengganggu dan menimbulkan kerugian terhadap bisnis.
Baca juga: Ancaman Siber: Kendala dalam Transformasi Digital di Pemerintahan
Celah keamanan sering ditemukan pada teknologi baru, terutama karena teknologi tersebut belum sepenuhnya dipahami dan diamankan. Sebagai contoh, adopsi teknologi Internet of Things (IoT) pada berbagai sektor industri telah menjadi kesempatan baru buat para penjahat siber. Mereka memanfaatkan celah keamanan di berbagai perangkat IoT untuk mengubah jaringan IoT menjadi botnet. Pada gilirannya, botnet tersebut bisa digunakan sebagai alat untuk serangan seperti DDoS (denial-of-service), phishing, atau spam, terhadap target lainnya. Pemanfaatan celah keamanan dalam teknologi baru tersebut juga bisa terjadi dalam kasus adopsi AI.
Industri perbankan dan keuangan pada umumnya semakin banyak menggunakan AI dan ML (machine learning atau pembelajaran mesin) untuk mengoptimasi berbagai jenis layanannya. Sebagai contoh, industri perbankan dapat memanfaatkan metode AI/ML untuk credit scoring (penilaian kelayakan kredit) untuk mempercepat proses pemberian pinjaman. AI/ML juga digunakan untuk deteksi anomali dalam transaksi secara real-time, untuk mencegah terjadinya penipuan (fraud).
Baca juga: 6 Keuntungan Menerapkan Preventive Maintenance SOC
Teknologi AI juga bisa digunakan untuk membantu agar pemasaran lebih terarah dan optimal. Bank investasi (investment bank) pun memanfaatkan teknologi AI untuk dapat melayani nasabahnya dengan lebih baik, misalnya dalam menilai sentimen pasar, menilai risiko, dan merumuskan strategi investasi.
Dengan semakin meluasnya adopsi AI di dalam industri perbankan, potensi kerentanan yang ada jadi semakin penting untuk diperhatikan. Bila berhasil dieksploitasi, kerentanan tersebut dapat mengubah teknologi AI menjadi ancaman keamanan, mengganggu jalannya operasi perusahaan, dan pada gilirannya menimbulkan kerugian baik dari segi reputasi maupun finansial. Para peneliti keamanan, baik dari perguruan tinggi maupun vendor, telah mengungkapkan berbagai potensi ancaman keamanan dalam teknologi AI. Apa saja kerentanan tersebut?
Risiko teknologi AI akan data poisoning
“Peracunan data” (data poisoning) merupakan salah satu teknik yang diperkirakan berpotensi dapat menjadi ancaman keamanan industri perbankan yang menggunakan AI. Ancaman ini telah diteliti secara ekstensif, misalnya oleh Kwang-Sung Jun, Yuzhe Ma, dan lain-lain (University of Wisconsin-Madison). Algoritma machine learning (ML) membutuhkan training data (data pelatihan) yang baik untuk dapat melakukan tugas seperti klasifikasi dan rekomendasi dengan akurat. Bila penjahat siber dapat menyisipkan “data beracun” dalam training data ini, saran yang diberikan oleh sistem AI bisa meleset, dan pada gilirannya merugikan perusahaan.
Baca juga: Amankan Sistem Informasi Terintegrasi Rumah Sakit dari Serangan Siber
Penyerang siber masih dapat mengakali AI meskipun gagal melakukan peracunan data. Dalam hal ini, model ML yang digunakan sudah dilatih dengan data yang akurat. Namun, beberapa algoritma masih rentan terhadap serangan yang disebut sebagai evasion attack. Dalam metode ini, penyerang memasukkan data yang dirancang menipu model AI sehingga gagal melakukan klasifikasi atau rekomendasi dan akurat. Sebagai contoh, sistem pemantauan transaksi berbasis AI dapat gagal menemukan aktivitas ilegal, dan menganggap suatu transaksi yang sebenarnya anomali baik-baik saja karena peracunan data atau evasion attack. Tentunya kegagalan deteksi seperti ini bisa dimanfaatkan untuk penipuan.
Pencurian data privat
Potensi serangan yang lebih gawat dari segi reputasi perusahaan adalah pencurian data privat. Seperti data poisoning, proses penyerangan dilakukan pada data pelatihan. Serangan yang dinamakan sebagai membership inference attack ini memungkinkan penyerang mengambil informasi sensitif dari data yang digunakan untuk model ML. Meskipun kerentanan AI ini berpotensi untuk dimanfaatkan penjahat siber, sejauh ini belum ada contoh serangan di dunia nyata. Namun ancaman keamanan siber adalah masalah kapan, bukan kalau terjadi. Karena itu, industri perbankan harus bersiap-siap dengan segala kemungkinan jenis serangan, termasuk ke sistem AI yang digunakan. Agar dapat mengantisipasi segala jenis serangan baru, lembaga perbankan sudah seharusnya memiliki akses terhadap tim profesional keamanan siber yang memiliki pengetahuan up-to-date, dan mampu mendeteksi dan menanggapi ancaman terkini. Bila perusahaan belum memilikinya, alternatif yang mudah dilakukan adalah memanfaatkan layanan Managed Security Operation Center (SOC).
Baca juga: Ini Keuntungan jika Anda Memilih Managed Security Operation Center
Layanan Managed SOC seperti yang ditawarkan oleh Lintasarta juga memungkinkan bank mendapatkan akses terhadap teknologi dan tenaga profesional keamanan siber tanpa harus mengeluarkan biaya capital expense (belanja modal atau capex) dalam jumlah besar. Pengeluaran dapat dialihkan sebagai operational expense (belanja operasional, opex) yang lebih mudah dikelola. Untuk mengetahui lebih lanjut tentang berbagai manfaat layanan Lintasarta Security, silakan hubungi kami.