Scroll untuk baca artikel
Home Networking DORA dan ketahanan operasional: Manajemen kredensial sebagai pengendalian risiko keuangan
Networking

DORA dan ketahanan operasional: Manajemen kredensial sebagai pengendalian risiko keuangan

Sponsored by Passwork9 min read
3
×

DORA dan ketahanan operasional: Manajemen kredensial sebagai pengendalian risiko keuangan

Share this article
dora-dan-ketahanan-operasional:-manajemen-kredensial-sebagai-pengendalian-risiko-keuangan
DORA dan ketahanan operasional: Manajemen kredensial sebagai pengendalian risiko keuangan

Logo passwork

Penulis: Eirik Salmi, Analis Sistem di Passwork

Example 300x600

Ketika pelaku ancaman masuk ke jaringan Anda menggunakan nama pengguna dan kata sandi yang sah, kontrol mana yang menghentikannya?

Bagi sebagian besar lembaga keuangan, jawaban jujurnya adalah: tidak ada yang langsung bisa menangkapnya. Penyerang terlihat seperti pengguna yang berwenang. Mereka bergerak ke samping, meningkatkan hak istimewa, dan memetakan sistem penting selama rata-rata 186 hari sebelum pelanggaran teridentifikasi – dan 55 hari berikutnya untuk membendungnya – menurut IBM Biaya Laporan Pelanggaran Data (2025).

Pada saat itu, kerusakan operasional telah terjadi, dan jam regulasi telah dimulai.

Pada tanggal 17 Januari 2025, Undang-Undang Ketahanan Operasional Digital (DORA) mulai diterapkan di seluruh UE. Pasal 9 peraturan tersebut menjadikan keamanan kredensial sebagai pengendalian risiko keuangan yang mengikat, dengan konsekuensi pengawasan bagi lembaga yang gagal.

Pertanyaannya bukan lagi apakah postur autentikasi Anda memenuhi praktik terbaik. Yang penting adalah apakah hal tersebut memenuhi hukum – dan apakah Anda dapat membuktikannya.

Artikel ini menelusuri persyaratan khusus Pasal 9 yang mengatur manajemen kredensial, menjelaskan mengapa kata sandi yang dibobol merupakan kegagalan ketahanan operasional dalam kerangka DORA, dan menguraikan kontrol praktis yang dapat menutup kesenjangan tersebut.

Ancaman yang ingin dilawan oleh DORA

Kredensial yang dicuri adalah vektor akses awal terbesar pada tahun 2025, yang mencakup 22% dari seluruh pelanggaran data, per Laporan Investigasi Pelanggaran Data Verizon. Bagi lembaga keuangan, biaya spesifik sektor dari paparan tersebut rata-rata sebesar $5,56 juta per insiden, menurut Laporan Biaya Pelanggaran Data IBM – turun dari $6,08 juta pada tahun 2024, namun masih merupakan yang tertinggi kedua di antara industri mana pun secara global.

Sisi pasokan pencurian kredensial telah sepenuhnya terindustrialisasi. Broker Akses Awal menjual akses jaringan perusahaan terverifikasi dengan harga rata-rata $2.700, dengan 71% listing menyertakan kredensial istimewa — akses yang sudah dikemas sebelumnya yang tidak memerlukan keahlian teknis untuk mengeksploitasinya, menurut Penelitian cepat7.

Infostealer seperti Lumma, RisePro, StealC, Vidar, dan RedLine mengotomatiskan pengumpulan kredensial dalam skala besar. Data IBM X-Force menunjukkan pengiriman mereka melalui phishing meningkat 84% tahun-ke-tahun pada tahun 2024, dengan data tahun 2025 menunjukkan tren yang lebih curam.

Pasal 9 DORA dibuat justru untuk memutus rantai ini. Peraturan ini mencerminkan ancaman yang terdokumentasi dan berkelanjutan terhadap kelangsungan operasional pasar keuangan Eropa.

Apa yang sebenarnya disyaratkan oleh DORA Pasal 9

Pasal 9 DORA — berjudul “Perlindungan dan Pencegahan” — berada dalam kerangka manajemen risiko TIK yang diamanatkan oleh Pasal 6. Kerangka kerja ini menetapkan kewajiban teknis dan prosedur khusus yang harus diterapkan oleh entitas keuangan.

Ada dua ketentuan yang relevan secara langsung dengan manajemen kredensial.

  • Pasal 9(4)(c) mewajibkan entitas keuangan untuk “menerapkan kebijakan yang membatasi akses fisik atau logis terhadap aset informasi dan aset TIK hanya pada jumlah yang diperlukan untuk fungsi dan aktivitas yang sah dan disetujui saja.” Ini adalah asas yang paling sedikit hak istimewanya, yang dinyatakan sebagai kewajiban hukum.

  • Pasal 9(4)(d) lebih jauh lagi, mengharuskan entitas untuk “menerapkan kebijakan dan protokol untuk mekanisme otentikasi yang kuat, berdasarkan standar yang relevan dan sistem kontrol khusus, dan langkah-langkah perlindungan kunci kriptografi dimana data dienkripsi berdasarkan hasil klasifikasi data yang disetujui dan proses penilaian risiko TIK.”

Membongkar bahasa tersebut dalam istilah operasional: MFA adalah wajib. Referensi ke “standar yang relevan” menunjuk langsung ke FIDO2/WebAuthn — standar autentikasi yang paling banyak digunakan saat ini tahan terhadap kit phishing Adversary-in-the-Middle (AiTM), yang dapat melewati SMS dan MFA berbasis TOTP secara real time. Manajemen kunci kriptografi merupakan persyaratan peraturan.

Alat manajemen akses istimewa (PAM) tidak disebutkan secara eksplisit dalam peraturan tersebut – namun kontrol yang diterapkannya sesuai dengan persyaratan Pasal 9. Perekaman sesi, penyediaan akses just-in-time (JIT), dan penyimpanan kredensial dengan hak istimewa merupakan “sistem kontrol khusus” yang dijelaskan dalam peraturan tersebut.

Institusi yang belum menerapkan pengendalian ini akan menghadapi kesenjangan kepatuhan yang dapat ditindaklanjuti oleh pengawas.

Otoritas Perbankan Eropa (EBA) dan Standar Teknis Regulasi ESMA di bawah DORA memberikan kekhususan tambahan mengenai persyaratan manajemen risiko TIK, memperkuat baseline Pasal 9 dengan panduan implementasi spesifik sektor.

Kompromi kredensial sebagai kegagalan ketahanan operasional

Tujuan DORA adalah untuk memastikan entitas keuangan dapat bertahan, merespons, dan pulih dari gangguan ICT. Kompromi kredensial terlihat sangat berbeda melalui lensa tersebut dibandingkan melalui lensa insiden keamanan.

Dengan waktu tunggu rata-rata 186 hari, kredensial yang disusupi tidak menghasilkan peristiwa keamanan yang terpisah. Hal ini menghasilkan ancaman yang berkelanjutan dan tidak terlihat terhadap kelangsungan operasional — penyerang bergerak ke samping, meningkatkan hak istimewa, dan memetakan sistem penting sambil tampil sebagai pengguna yang sah. Ini merupakan ancaman langsung terhadap kelangsungan operasional yang dirancang DORA untuk dilindungi.

Pelanggaran Registri bank nasional Perancis pada bulan Januari 2026 membuat mekanika menjadi konkret. Pelaku ancaman memperoleh kredensial seorang pegawai negeri yang memiliki akses ke Ficoba – database antar kementerian yang menyimpan catatan setiap rekening bank yang dibuka di Prancis.

Hanya dengan menggunakan satu akun tersebut, penyerang mengakses dan mengekstrak data di 1,2 juta rekening bank, termasuk IBAN, nama dan alamat pemegang rekening, serta nomor identifikasi pajak.

Sistem yang terpengaruh menjadi offline, operasi pada registri terganggu, dan insiden tersebut dilaporkan ke otoritas perlindungan data Prancis, CNIL. Serangan itu tidak memerlukan kecanggihan teknis.

Berdasarkan DORA, insiden sebesar itu di entitas keuangan akan memicu kewajiban pelaporan wajib berdasarkan Pasal 19 — pemberitahuan awal dalam waktu 4 jam setelah klasifikasi (dan tidak lebih dari 24 jam setelah deteksi), laporan perantara dalam waktu 72 jam, dan laporan akhir dalam waktu satu bulan.

Dimensi pihak ketiga: Kredensial vendor adalah kredensial Anda

Bab V DORA menetapkan kewajiban eksplisit pada entitas keuangan terkait risiko pihak ketiga ICT. Perimeter kepatuhan tidak berhenti pada sistem institusi itu sendiri.

Itu Pelanggaran Santander pada bulan Mei 2024 adalah titik acuan Eropa. Penyerang menggunakan kredensial yang dicuri dari karyawan Snowflake untuk mengakses database yang berisi data pelanggan dan karyawan di Spanyol, Chili, dan Uruguay.

Kredensialnya telah diambil beberapa bulan sebelumnya oleh malware infostealer yang menginfeksi stasiun kerja kontraktor. Tidak ada akun Snowflake yang disusupi yang mengaktifkan autentikasi multifaktor.

Titik masuknya bukan di dalam Santander. Ini adalah postur autentikasi vendor yang lemah — dan mengekspos data milik salah satu bank terbesar di Eropa tanpa satu pun eksploitasi yang ditulis.

Di bawah DORA, sebuah lembaga keuangan yang penyedia ICT-nya mengalami pelanggaran berbasis kredensial akan menghadapi paparan langsung terhadap peraturan. Lembaga harus secara kontrak mensyaratkan standar otentikasi yang setara dari vendor mereka dan mengaudit kepatuhan terhadap persyaratan tersebut.

Kesenjangan kebijakan kata sandi vendor bukanlah masalah vendor itu sendiri — ini adalah tanggung jawab entitas keuangan terhadap peraturan.

Membangun manajemen kredensial yang sesuai dengan DORA

Pemenuhan persyaratan Pasal 9 memerlukan program terstruktur di empat bidang.

  • Terapkan MFA yang tahan terhadap phishing terlebih dahulu. Otentikasi berbasis FIDO2/WebAuthn — kunci keamanan perangkat keras, kunci sandi, pengautentikasi platform. Kata sandi satu kali berbasis SMS dan TOTP tidak cukup untuk melawan teknik serangan saat ini. Terapkan MFA yang tahan terhadap phishing untuk semua pengguna, dengan pembatasan khusus pada akun dengan hak istimewa dan jalur akses jarak jauh.

  • Menegakkan akses dengan hak paling rendah. Penyediaan JIT — memberikan akses yang lebih tinggi hanya selama durasi tugas tertentu — menghilangkan hak istimewa yang menyebabkan pencurian kredensial menjadi sangat merugikan. Nonaktifkan akun segera saat offboarding. Akun yang tidak aktif adalah salah satu vektor serangan yang paling umum dan paling dapat dihindari.

  • Simpan semua kredensial. Kata sandi akun layanan, kunci API, dan kredensial istimewa harus disimpan dalam brankas kredensial terenkripsi dan dikontrol akses. Manajemen kredensial manual dalam skala besar tidak dapat dijalankan secara operasional dan tidak menghasilkan jejak audit. Manajer kata sandi bisnis Passwork — diterapkan di lokasi dalam infrastruktur institusi itu sendiri — menyediakan penyimpanan terenkripsi, kontrol akses terperinci, dan riwayat aktivitas lengkap yang dituntut oleh Pasal 9.

  • Pantau terus menerus. Perilaku login yang tidak wajar — geolokasi yang tidak biasa, akses di luar jam kerja, pola pergerakan lateral — harus memicu peringatan otomatis. Mengurangi waktu tunggu rata-rata 186 hari adalah satu-satunya cara yang paling efektif untuk memotong eksposur keuangan dan kewajiban pelaporan insiden DORA.

Keempat kontrol tersebut bergantung pada fondasi yang sama: bagaimana kredensial disimpan, dibagikan, diakses, dan dipantau. Tanpa struktur pada lapisan tersebut, kebijakan yang dirancang dengan baik sekalipun akan gagal dalam pelaksanaannya.

Bagaimana Passwork mendukung kepatuhan DORA dalam praktiknya

Passwork adalah pengelola kata sandi perusahaan yang bersertifikat ISO/IEC 27001 dan tersedia sebagai penerapan yang dihosting sendiri — artinya data kredensial Anda tidak pernah meninggalkan infrastruktur Anda sendiri.

Bagi entitas keuangan yang menjalankan kewajiban rantai pasokan Bab V DORA, perbedaan tersebut penting: penyimpanan kredensial SaaS pihak ketiga memperkenalkan jenis ketergantungan TIK yang harus diatur oleh peraturan tersebut.

Untuk institusi yang menjalankan keempat kontrol di atas, Passwork menangani dimensi manajemen kredensial dari masing-masing kontrol.

  • Penegakan MFA di seluruh lapisan kredensial. Passwork mendukung MFA biometrik, kunci sandi, dan kunci keamanan secara asli, dengan integrasi SSO dan LDAP SAML untuk lingkungan perusahaan.

  • Kontrol akses berbasis peran dan hak istimewa paling sedikit. Izin ditetapkan di tingkat brankas dan folder, diwarisi dari grup AD atau LDAP, dan diperbarui secara otomatis saat perubahan direktori. Offboarding mencabut akses ke kredensial bersama dalam satu operasi — dicatat dan diberi stempel waktu, menghasilkan bukti yang akan diminta oleh penyelidik berdasarkan Pasal 9(4)(c).

  • Inventaris akun istimewa dan berbagi aman. Passwork menyediakan penyimpanan semua kredensial organisasi yang terstruktur dan dapat dicari, termasuk akun administratif bersama. Berbagi brankas terenkripsi menggantikan saluran informal yang tidak meninggalkan jejak audit dan tidak dapat dicabut.

  • Log audit untuk dokumentasi kepatuhan. Setiap akses kredensial, perubahan izin, pengaturan ulang kata sandi, dan peristiwa berbagi dicatat dalam log anti-rusak, dapat diekspor untuk pelaporan kepatuhan dan dapat diintegrasikan dengan sistem SIEM. Riwayat aktivitas yang terstruktur merupakan respons yang jauh lebih kuat terhadap regulator dibandingkan hanya dengan dokumen kebijakan saja.

Kepatuhan DORA merupakan masalah bukti dan masalah teknis. Institusi yang paling efektif dalam melakukan penegakan hukum adalah institusi yang dapat menghasilkan dokumentasi sesuai permintaan.

Bertindak sebelum audit

DORA telah mengubah manajemen kredensial dari praktik keamanan terbaik menjadi pengendalian risiko keuangan yang mengikat. Pasal 9(4)(c) dan 9(4)(d) bersifat eksplisit: akses dengan hak istimewa paling rendah, autentikasi yang kuat, dan perlindungan kunci kriptografi merupakan kewajiban hukum bagi setiap entitas keuangan yang beroperasi di UE.

Ketahanan operasional dimulai dengan identitas – dan identitas dimulai dengan pengendalian siapa yang memegang kuncinya.

Audit kontrol kredensial Anda berdasarkan Pasal 9, dokumentasikan temuannya, dan siapkan buktinya sebelum regulator memintanya. Di bawah DORA, tidak adanya dokumentasi merupakan sebuah temuan.

Passwork dirancang untuk situasi ini: pengelola kata sandi yang dihosting sendiri yang menyimpan data kredensial di dalam infrastruktur Anda sendiri, menerapkan MFA di setiap titik akses, dan menghasilkan log audit anti-rusak yang mengubah konversi kepatuhan asi dari tanggung jawab menjadi demonstrasi. Bersertifikasi ISO/IEC 27001, dengan integrasi LDAP dan SAML SSO untuk lingkungan perusahaan.

Mulai uji coba Passwork gratis Anda — fungsionalitas penuh, tanpa batasan.

Disponsori dan ditulis oleh Passwork.

Post Views: 3

Read Also