BRIEF.ID – Asosiasi Perusahaan Efek Indonesia (APEI) menyerukan perusahaan efek meningkatkan kewaspadaan terhadap berbagai bentuk serangan siber, seperti phishing, ransomware, dan penyalahgunaan akses.
Seruan tersebut, disampaikan APEI melalui Surat Nomor S-255/APEI/KP/DE/VI/2025 perihal Peningkatan Kewaspadaan Keamanan Siber Perusahaan Efek, yang diterbitkan pada 2 Juni 2025.
Dalam surat yang ditandatangani Ketua APEI, Arisandhi Indrodwisatio, dan Direktur Eksekutif APEI, Lily Widjaja, tertuang 8 langkah menghindari serangan siber, yang dapat diterapkan perusahaan efek, sebagai berikut:
1. Waspada Email Phishing
– Perusahaan Efek dianjurkan tidak membuka lampiran file atau meng-klik tautan dari pengirim yang tidak dikenal atau mencurigakan.
– Verifikasi ulang apabila menerima email yang meminta informasi sensitif atau tindakan mendesak.Â
– Laporkan apabila menemukan hal-hal yang mencurigakan ke pihak IT.
– Pastikan pengirim adalaah pihak yang benar (perhatikan email address atau domain misal: budi@apei.or.id tapi tertulis budi@apel.or.id
2. Gunakan Otentifikasi Multi-Faktor (MFA)
– Pastikan seluruh sistem yang digunakan, khususnya yang berkaitan dengan transaksi bursa, sudah dilindungi dengan otentifikasi multi-faktor (multi factor authentification/MFA)
– Pergunakan password yang kuat (minimal 12 karakter, kombinasi huruf alfabet, angka, dan simbol)
3. Perbarui Sistem dan Aplikasi Secara Berkala
Selalu gunakan versi terbary dari sistem operasi, perangkat lunak perdagangan, dan antivirus terkini untuk menutup celah keamanan yang bisa dimanfaatkan oleh pihak yang tidak bertanggung-jawab.
4. Review Infrastruktur dan Security System
Lakukan review, monitoring dan scan secara berkala terhadap infrastruktur dan sistem keamanan perusahaan, baik internal maupun yang terhubung dengan pihak ketiga. Pastikan seluruh aturan dan ketentuan yang telah didefinisikan berjalan dengan baik.
5. Batasi Akses Berdasarkan Kebutuhan
– Awasi pemberian akses masuk ke sistem perusahaan. Pemberian akses ke sistem atau data penting hanya diberikan untuk pihak yang memang dibutuhkan untuk menjalankan pekerjaan.
– Lakukan review secara berkala terhadap akses masuk ke sistem perusahaan.
6. Backup Seluruh Data
– Lakukan backup seluruh data kegiatan perusahaan termasuk data transaksi seluruh nasabah setiap hari.
– Pastikan backup data dapat dibuka suatu waktu, saat dibutuhkan untuk mengantisipasi terkuncinya sistem akibat serangan siber.
7. Pengamanan Penggunaan Jaringan Wireless (Wi-Fi)
– Gunakan hanya Wi-Fi resmi perusahaan (SSID: Nama_Jaringan_Kantor) yang telah terenkripsi dengan WPA3/WPA2 Enterprise untuk mengakses data yang terhubung ke server perusahaan
– Tidak menghubungkan perangkat pribadi (BYOB) ke jaringan internal tanpa izin pihak IT perusahaan
– Tidak membuat hitspot pribadi (Wi-Fi Tethering) di area kantor
– Lakukan verifikasi SSID: Pastikan nama jaringan (SSID) sesuai dengan yang ditentukan tim IT perusahaan
– Saat mengakses data dari luar lokasi perusahaan pastikan untuk selalu mengaktifkan VPN perusahaan
– Matikan Wi-Fi/Fit Sharing: Nonaktifkan fitur Wi-Fi Auto-Connect, Bluetooth, dan File Sharing saat tidak digunakan
– Jangan input password/credential saat menggunakan jaringan yang tidak terpercaya
– Jaringan instal aplikasi wireless pihak kletiga tanpa persetujuan IT
8. Edukasi dan Sosialisasi Internal
Lakukan pelatihan rutin kepada seluruh karyawan mengenai pentingnya meningkatkan kewaspadaan dalam bekerja terhadap risiko serangan siber yang dapat berakibat fatal. Pelatihan sebaiknya disertai simulasi phising, dan prosedur respons terhadap insiden yang terjadi.
“Seiring dengan meningkatnya ancaman siber terhadap industri pasar modal akhir-akhir ini, kami mengingatkan kepada seluruh anggota untuk meningkatkan kewaspadaan terhadap berbagai bentuk serangan siber, seperti phishing, ransomware, dan penyalahgunaan akses,” demikian bunyi surat APEI.
Sebagai informasi, phising adalah kejahatan digital yang menargetkan informasi atau data sensitif korban melalui email, unggahan media sosial, atau pesan teks. Istilah phising adalah bentuk lain dari kata phishing yang berasal dari bahasa Inggris ‘fishing’ yaitu memancing.
Dengan kata lain, arti phising adalah serangan yang dilakukan untuk menipu atau memancing korban agar mau mengklik link atau tautan serta menginput informasi kredential seperti username dan password.
Sedangkan ransomware adalah jenis perangkat lunak berbahaya, atau program jahat, yang digunakan penjahat siber untuk memblokir akses, menghancurkan, atau menerbitkan data penting korban kecuali uang tebusan dibayarkan. 
Ransomware tradisional menargetkan individu dan organisasi, tetapi perkembangan terkini ransomware baik dalam bentuk kiriman manusia maupun sebagai layanan, telah menjadi ancaman yang lebih besar bagi perusahaan dan organisasi besar lainnya.
Sementara penyalahgunaan akses adalah bentuk serangan siber yang dapat dilakukan dari internal oleh oknum-oknum yang tidak bertanggung-jawab dengan memanfaatkan akses ke sistem, atau oleh mantan karyawan. Untuk itu, pembatasan akses ke sistem sangat penting, dan perubahan berkala perlu dilakukan. (jea)
