DORA, Risiko Digital, dan Mandat Identitas Baru dalam Layanan Keuangan

Blog ini pertama kali diterbitkan pada tahun 2025 dan telah diperbarui.

Ketika Digital Operational Resilience Act (DORA) diadopsi oleh Uni Eropa, hal ini menandakan pergeseran mendasar tentang bagaimana lembaga keuangan harus melakukan pendekatan terhadap keamanan siber, manajemen risiko, dan kelangsungan operasional. Untuk pertama kalinya, regulator tidak hanya menyebutkan keamanan identitas secara sepintas - mereka menyematkannya secara langsung ke dalam struktur kepatuhan.

Evolusi ini mengakui kenyataan yang telah diketahui oleh banyak profesional keamanan selama bertahun-tahun: bahwa identitas merupakan fondasi keamanan digital dan penopang ketahanan operasional. Mari kita lihat apa saja yang berubah, dampak DORA terhadap keamanan identitas, tantangan yang dihadapi lembaga keuangan, dan bagaimana CISO harus mempersiapkan diri untuk memastikan bahwa organisasi mereka memenuhi persyaratan DORA pada tenggat waktu 2025.

Di bawah DORA, setiap operasi digital dalam lembaga keuangan - mulai dari pembayaran, penerimaan pelanggan, hingga sistem perdagangan - harus aman, tangguh, dan terus tersedia. Dan hal ini menempatkan keamanan identitas sebagai hal yang utama. Karena jika Anda tidak dapat memverifikasi siapa yang mengakses apa, kapan, dan dari mana, strategi identitas Anda akan gagal.

Dalam realitas peraturan DORA yang baru, identitas tidak lagi menjadi fungsi TI back-office. Sekarang ini merupakan keharusan strategis yang dimiliki oleh para pemimpin risiko, petugas kepatuhan, dan eksekutif bisnis.

Beberapa pasal dalam DORA secara langsung atau implisit menuntut kemampuan manajemen identitas dan akses (IAM) yang kuat. Sebagai contoh:

• Kontrol akses dan tata kelola: DORA mengamanatkan agar institusi mengelola hak akses pengguna secara real time dan melakukan peninjauan akses secara berkala untuk mencegah terjadinya pergeseran hak dan akses yang tidak sah.
• Persyaratan otentikasi: Metode autentikasi yang kuat, seperti autentikasi multi-faktor (MFA), diharapkan dapat melindungi sistem dari akses yang tidak sah.
• Kesinambungan operasional: Institusi harus memastikan fungsi-fungsi penting tetap tersedia selama insiden, pemadaman, atau gangguan siber. Hal ini termasuk mempertahankan layanan identitas dalam keadaan darurat.
• Pemantauan dan deteksi anomali: Organisasi harus mendeteksi, merespons, dan pulih dari insiden cyber dengan cepat. Anomali terkait identitas, seperti pola akses yang tidak biasa, merupakan indikator penting.

Persyaratan ini menggarisbawahi perlunya program keamanan identitas yang modern dan sadar risiko.

Tahun 2025 menandai tahun di mana kepatuhan memasuki tahap penegakan, yang berarti organisasi yang tidak mematuhi DORA akan dikenakan denda sebesar 2% dari rata-rata omset global atau 1% dari rata-rata omset harian dengan tambahan denda harian yang dikenakan kepada organisasi yang tidak patuh hingga mencapai kepatuhan. Pertaruhannya sekarang tinggi.

Meskipun investasi dalam bidang keamanan telah meningkat, banyak lembaga keuangan masih bergelut dengan kesenjangan terkait identitas dalam fungsi keamanan dan operasional mereka, termasuk:

• Sistem IAM lama yang tidak memiliki kemampuan beradaptasi dan visibilitas
• Alat bantu identitas yang terkotak-kotak di seluruh lingkungan lokal dan cloud
• Metode autentikasi yang lemah yang rentan terhadap phishing
• Proses tata kelola manual yang membuat pelaporan kepatuhan menjadi lambat dan rentan terhadap kesalahan

Tantangan-tantangan ini membuat organisasi terekspos - tidak hanya pada penyerang, tetapi juga pada pengawasan peraturan dan denda kepatuhan.

CISO di sektor keuangan harus memimpin dalam menyelaraskan strategi identitas dengan DORA. Itu artinya:

• Mengadopsi akses berbasis risiko model yang menyesuaikan kontrol berdasarkan konteks dan perilaku
• Memastikan kesinambungan bisnis dengan failover hibrida untuk autentikasi dan akses
• Memperkuat tata kelola dengan penyediaan, tinjauan, dan sertifikasi akses otomatis
• Merangkul otentikasi tanpa kata sandi untuk membasmi vektor serangan yang umum

Bahasa peraturan dalam DORA memang jelas—namun pelaksanaannya bisa berbeda-beda tergantung pada ukuran, struktur, dan kondisi awal masing-masing organisasi. Skenario-skenario berikut ini menggambarkan bagaimana organisasi jasa keuangan dengan profil yang berbeda-beda menerapkan kepatuhan terhadap DORA dalam praktiknya.

Skenario 1: Bank besar di Eropa yang sedang mempersiapkan diri untuk DORA

Tantangan Sebuah bank ritel besar Uni Eropa yang beroperasi di dua belas negara menghadapi masalah umum: infrastruktur identitasnya telah berkembang melalui serangkaian akuisisi selama beberapa dekade, sehingga kini memiliki tujuh sistem IAM yang terpisah, kebijakan MFA yang tidak konsisten di seluruh unit bisnis, serta siklus peninjauan akses yang membutuhkan waktu hingga tiga puluh hari untuk diselesaikan. Berdasarkan persyaratan Pasal 9 DORA mengenai pengendalian akses dan tata kelola berkelanjutan, fragmentasi ini merupakan celah kepatuhan sekaligus risiko operasional.

Persyaratan DORA yang berlaku

• Pasal 9: Kerangka kerja manajemen risiko TIK, pengendalian akses, dan penerapan prinsip hak akses minimal
• Pasal 10: Deteksi aktivitas yang tidak wajar dan insiden terkait TIK
• Pasal 17: Proses pengelolaan insiden terkait TIK

Langkah-langkah pelaksanaan

1. Menggabungkan sistem identitas ke dalam satu platform terpadu (RSA ID Plus) yang mendukung lingkungan cloud, on-premises, dan hybrid di seluruh anak perusahaan.
2. Terapkan MFA yang tahan terhadap serangan phishing (Seri RSA iShield Key 2) untuk semua akun dengan hak istimewa dan akun administratif dalam waktu sembilan puluh hari.
3. Otomatiskan alur kerja sertifikasi akses dan penyediaan layanan menggunakan Tata Kelola & Siklus Hidup RSA, menggantikan proses peninjauan manual berbasis spreadsheet.
4. Aktifkan RSA Risiko AI untuk analisis perilaku berkelanjutan dan deteksi anomali secara real-time.
5. Buat jejak audit IAM terpusat yang terintegrasi langsung ke dasbor pelaporan kepatuhan DORA.

Tolok ukur keberhasilan

• Siklus peninjauan akses dipersingkat dari tiga puluh hari menjadi tiga hari
• 100% akun berhak istimewa telah didaftarkan dalam sistem MFA yang tahan phishing dalam waktu enam puluh hari sejak peluncuran platform
• Laporan sertifikasi akses yang siap diaudit dihasilkan secara otomatis setiap tiga bulan sekali
• Tidak ada insiden terkait otentikasi yang teridentifikasi selama inspeksi regulasi DORA yang pertama

Pelajaran utama Konsolidasi bukan sekadar proyek kepatuhan—melainkan proyek ketahanan. Platform IAM terpadu menghilangkan titik-titik buta yang ada di celah-celah antara sistem yang terpisah, yang justru merupakan tempat para penyerang mencari celah.

Skenario 2: Perusahaan jasa keuangan berskala menengah yang mengelola infrastruktur hibrida

Tantangan Sistem perdagangan inti yang dioperasikan di lokasi, aplikasi yang berinteraksi dengan klien di Azure, serta berbagai alat SaaS yang digunakan di seluruh perusahaan. Ketika terjadi gangguan layanan cloud atau gangguan jaringan di lokasi, kegagalan otentikasi sebelumnya pernah membuat staf tidak dapat mengakses sistem-sistem penting selama berjam-jam—hal ini merupakan pelanggaran langsung terhadap persyaratan kelangsungan operasional DORA sebagaimana diatur dalam Pasal 11.

Persyaratan DORA yang berlaku

• Pasal 11: Kelangsungan bisnis TIK dan pemulihan bencana
• Pasal 9: Pengendalian akses jaringan dan sistem
• Pasal 30: Persyaratan kontrak bagi penyedia layanan pihak ketiga di bidang TIK

Langkah-langkah pelaksanaan

1. Menerapkan Failover Hibrida RSA ID Plus untuk memastikan layanan otentikasi tetap tersedia jika komponen cloud atau on-premises mengalami kegagalan—dengan peralihan otomatis antar lingkungan dalam waktu kurang dari 60 detik.
2. Menerapkan Kunci Ponsel RSA untuk menerapkan pemeriksaan kondisi perangkat bagi staf yang mengakses sistem perdagangan melalui perangkat seluler atau perangkat yang tidak dikelola.
3. Mapping semua ketergantungan otentikasi pihak ketiga di bidang TIK dan memverifikasi kepatuhan kontrak terhadap DORA sesuai Pasal 30.
4. Laksanakan simulasi pemulihan bencana setiap tiga bulan yang mencakup skenario kegagalan sistem otentikasi, serta mendokumentasikan sasaran waktu pemulihan (RTO) dan sasaran titik pemulihan (RPO) untuk ditinjau oleh pihak regulator.

Tolok ukur keberhasilan

• Ketersediaan otentikasi selama gangguan infrastruktur meningkat dari 67% menjadi 99,9%
• Waktu pemulihan operasional (RTO) untuk layanan identitas berkurang dari 4 jam menjadi kurang dari 3 menit
• Semua kontrak pihak ketiga di bidang TIK telah diperbarui untuk memasukkan ketentuan ketahanan yang diwajibkan oleh DORA dalam jangka waktu persiapan selama 12 bulan
• Hasil simulasi pemulihan telah didokumentasikan dan siap untuk ditinjau oleh otoritas yang berwenang

Pelajaran utama Kelangsungan operasional dalam kerangka DORA bukan sekadar mencegah serangan—melainkan juga menjaga kelancaran operasional selama serangan berlangsung. Failover hibrida untuk otentikasi sama pentingnya bagi kepatuhan terhadap DORA seperti halnya otentikasi yang kuat itu sendiri.

Skenario 3: Perusahaan pengelola investasi yang menanggapi insiden siber berdasarkan DORA

Tantangan Sebuah perusahaan pengelola aset yang berbasis di Uni Eropa dengan total aset yang dikelola (AUM) sebesar €40 miliar mengalami serangan berbasis kredensial yang menargetkan platform administrasi reksa dananya. Kampanye phishing dengan skema “adversary-in-the-middle” berhasil membobol akun layanan, sehingga memungkinkan pergerakan lateral di dalam jaringan. Berdasarkan kerangka kerja klasifikasi dan pelaporan insiden DORA, organisasi tersebut wajib memberitahukan otoritas yang berwenang dalam waktu 24 jam setelah mengklasifikasikan insiden tersebut sebagai “insiden besar” — serta menyerahkan laporan sementara dalam waktu 72 jam dan laporan akhir dalam waktu satu bulan.

Persyaratan DORA yang berlaku

• Pasal 17: Pengelolaan, klasifikasi, dan pelaporan insiden yang berkaitan dengan TIK
• Pasal 19: Kewajiban pelaporan insiden besar dan tenggat waktu
• Pasal 9: Otentikasi dan kontrol akses yang harus tetap beroperasi selama terjadinya insiden

Kronologi kejadian dan tanggapan

• Jam 0: RSA Risk AI mendeteksi perilaku otentikasi yang tidak wajar—akun layanan yang masuk dari lokasi geografis yang tidak biasa dan mengakses sistem di luar pola akses normalnya. Penangguhan akses otomatis pun diaktifkan sambil menunggu hasil penyelidikan.
• Jam ke-2: Tim keamanan mengonfirmasi terjadinya pelanggaran keamanan. Akun tersebut dinonaktifkan melalui RSA ID Plus dalam waktu kurang dari 60 detik. Pergerakan lateral berhasil diatasi.
• Jam ke-6: Klasifikasi internal menunjukkan bahwa hal ini memenuhi ambang batas “insiden besar” menurut DORA berdasarkan dampaknya terhadap ketersediaan sistem inti.
• Jam ke-18: Pemberitahuan awal yang diajukan kepada otoritas yang berwenang—sesuai dengan batas waktu 24 jam—termasuk jenis insiden, dasar klasifikasi, dan langkah-langkah penanggulangan segera yang telah diambil.
• Jam ke-60: Laporan sementara telah diserahkan—sesuai batas waktu 72 jam—yang memuat kronologi lengkap insiden, analisis akar masalah (otentikasi multi-faktor [MFA] yang rentan terhadap phishing pada akun yang diretas), sistem yang terdampak, serta langkah-langkah perbaikan.
• Minggu ke-4: Laporan insiden akhir telah diserahkan, termasuk tinjauan pasca-insiden, perbaikan sistem pengendalian yang telah diterapkan (MFA yang tahan terhadap serangan phishing telah diterapkan pada semua akun layanan), serta perubahan pada ambang batas pemantauan.

Tolok ukur keberhasilan

• Insiden berhasil diatasi dalam waktu 2 jam setelah terdeteksi
• Ketiga batas waktu pelaporan DORA telah dipenuhi—pelaporan awal dalam 24 jam, pelaporan antara dalam 72 jam, dan pelaporan akhir dalam 1 bulan
• Tidak terjadi gangguan sama sekali pada layanan administrasi dana selama insiden tersebut berkat sistem failover otentikasi
• Tindakan perbaikan segera: Akun layanan dengan kode 100% telah dimigrasikan ke sistem otentikasi yang tahan terhadap serangan phishing dalam waktu 30 hari sejak terjadinya insiden

Pelajaran utama Persyaratan pelaporan insiden DORA memberikan insentif kepada organisasi yang telah berinvestasi dalam sistem deteksi dan penanggulangan cepat. RSA Risiko AI Analisis perilaku berhasil memangkas waktu dari awal serangan hingga penanggulangan dari rata-rata potensial 254 hari (standar industri untuk pelanggaran kredensial) menjadi kurang dari 2 jam—sehingga mengubah narasi kepatuhan dari “kami mengalami pelanggaran” menjadi “kami mendeteksi, menanggulangi, dan melaporkannya sesuai kerangka kerja DORA.”

Di RSA, kami membantu lembaga keuangan mengoperasionalkan identitas sebagai pilar ketahanan. Platform identitas kami yang mengutamakan keamanan, RSA ID Plus, dibangun untuk lingkungan yang diatur seperti keuangan.

• RSA Risiko AI menganalisis sinyal perilaku dan kontekstual untuk menegakkan kebijakan akses adaptif
• Kunci Ponsel RSA melindungi akses pada perangkat yang tidak dikelola atau dikompromikan
• RSA iShield Seri Kunci 2 autentikator memungkinkan autentikasi FIDO dan OTP yang tahan phishing
• Tata Kelola & Siklus Hidup RSA mengotomatiskan tata kelola akses dan alur kerja kepatuhan
• Failover Hibrida RSA memastikan otentikasi tanpa gangguan selama pemadaman listrik

Bersama-sama, solusi ini memberikan kontrol yang diperlukan untuk menyelaraskan dengan DORA - dan memperkuat organisasi Anda lebih dari sekadar kepatuhan.

DORA menandai titik balik identitas dalam layanan keuangan. DORA meningkatkan IAM dari masalah teknis menjadi mandat peraturan - dan pendorong strategis ketahanan operasional.

Lembaga keuangan yang menerapkan strategi keamanan yang mengutamakan identitas tidak hanya akan memenuhi persyaratan DORA, tetapi juga mendapatkan keunggulan kompetitif dalam hal keamanan, ketangkasan, dan kepercayaan pelanggan. Sekaranglah waktunya untuk memikirkan kembali postur identitas Anda sebelum penerapan DORA dimulai.