Australia, Singapura, dan Jepang dinobatkan sebagai tiga negara yang paling sering diserang di APJ. Tiga perempat dari total seluruh serangan aplikasi web dan API menyasar ketiga negara tersebut. Sebagai pusat keuangan global, tidak mengherankan apabila perusahaan di negara-negara tersebut terus menjadi target serangan besar-besaran.
•
Local File Inclusion (LFI) tetap menjadi vektor serangan teratas dengan 63,2 persen serangan posisi kedua ditempati Cross-Site Scripting (XSS) dengan 21,3 persen, sementara PHP Injection (PHPi) ada di posisi ketiga dengan 6,32 persen serangan. Serangan LFI mengeksploitasi praktik pengodean yang tidak aman atau kerentanan yang sebenarnya pada server web untuk menjalankan kode dari jarak jauh atau mengakses informasi sensitif yang disimpan secara lokal. Server web berbasis PHP yang sudah lama misalnya, lebih rentan terhadap serangan LFI karena keberadaan metode yang dapat melewati filter input server tersebut.
•
Perusahaan di sektor layanan jasa keuangan di APJ harus terus memperhatikan pengawasan terhadap peraturan tambahan dan kewajiban pelaporan baru. Sebagai contoh, meningkatnya penggunaan skrip pihak ketiga bisa menyulitkan lembaga keuangan untuk memenuhi persyaratan Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS) v4.0 mendatang, di mana akan ada bagian-bagian spesifik yang terkait dengan visibilitas dan manajemen skrip dari sisi klien. Peraturan baru mungkin akan semakin ketat, dan perusahaan harus memastikan untuk mempertimbangkan kepatuhan terhadap persyaratan baru ini jika tidak ingin reputasi mereka rusak atau terkena denda.
Ia menambahkan, perusahaan layanan jasa keuangan di APJ harus ingat bahwa kejahatan siber akan selalu berupaya menemukan cara baru dan yang lebih canggih untuk meluncurkan serangan siber seiring dengan meningkatnya inovasi di sektor ini. “Meningkatnya popularitas agregator keuangan, khususnya perusahaan yang ingin mengadopsi praktik perbankan terbuka, berarti bahwa ke depannya industri ini akan makin bergantung pada penggunaan API dan skrip pihak ketiga, yang hanya akan memperluas permukaan serangan," ujarnya.
Dijelaskannya, lembaga keuangan harus fokus dalam mengamankan penawaran digital baru, memberikan edukasi kepada konsumen mengenai praktik keamanan siber terbaik secara terus-menerus, dan berinvestasi dalam upaya keamanan tanpa gangguan bagi pengguna.
"Ketika regulator memperkuat kebijakan guna meningkatkan standar keamanan siber, penting juga bagi perusahaan layanan jasa keuangan untuk memahami dan mempertimbangkan persyaratan kepatuhan baru serta memperkuat postur keamanan dan ketahanan siber mereka terhadap ancaman siber modern,” katanya. (mas)
Ikuti terus perkembangan berita ini dalam topik