Serangan terhadap pusat data cloud di Timur Tengah membuka babak baru risiko digital: cloud tak lagi netral, melainkan bagian dari konflik geopolitik. Bagi industri perbankan—yang kini semakin bergantung pada AI dan cloud—ancaman tidak lagi sebatas serangan siber, tetapi telah berkembang menjadi risiko struktural lintas negara. Standar compliance seperti ISO tetap penting, namun tidak cukup. Ketahanan kini ditentukan oleh desain arsitektur digital, diversifikasi geopolitik, dan peran negara dalam membangun fondasi digital yang berdaulat.
Oleh: Tuhu Nugraha *)
Fokus:
■ Cloud berubah dari infrastruktur netral menjadi aset strategis dalam konflik global.
■ Risiko digital berevolusi dari cyber risk menjadi geopolitical technology risk.
■ Ketahanan bank kini ditentukan oleh arsitektur, bukan sekadar compliance.
Pada 1 Maret 2026, dunia mendapat pengingat keras bahwa cloud ternyata tidak senetral yang selama ini dibayangkan. Tiga pusat data Amazon Web Services (AWS) di Uni Emirat Arab dan Bahrain dihantam drone Iran setelah dituduh menjadi bagian dari infrastruktur pendukung analisis militer Amerika Serikat. Dampaknya langsung terasa: layanan bank, platform pembayaran, dan aplikasi besar di kawasan terganggu. Dalam sekejap, cloud komersial berubah dari simbol efisiensi digital menjadi bagian dari medan konflik.
Yang lebih mengkhawatirkan, eskalasi itu tidak berhenti pada serangan fisik. Dalam hitungan hari, kelompok pro-Iran juga terdeteksi menyusup ke jaringan bank besar di AS, sementara serangan wiper malware mulai menunjukkan pola baru: bukan lagi mencuri data, tetapi menghancurkannya. Bagi industri perbankan Indonesia, ini seharusnya menjadi wake-up call.
Dalam hampir setiap perang modern, sektor finansial nyaris selalu menjadi sasaran utama karena melumpuhkan sistem keuangan adalah salah satu cara tercepat untuk mengguncang ekonomi, merusak kepercayaan publik, dan menciptakan tekanan sistemik. Itu sebabnya risiko teknologi hari ini tidak lagi cukup dibaca sebagai isu keamanan siber biasa. Ia sudah bergerak menjadi persoalan ketahanan geopolitik sistem digital.
Blind Spot Berbahaya di Ruang Direksi
Namun di banyak ruang rapat direksi bank dan fintech di Indonesia, percakapan tentang AI masih terlalu teknokratis. Fokusnya berkisar pada efisiensi, peningkatan customer experience, kepatuhan, dan keamanan siber.
Dalam hampir setiap perang modern, sektor finansial nyaris selalu menjadi sasaran utama karena melumpuhkan sistem keuangan adalah salah satu cara tercepat untuk mengguncang ekonomi, merusak kepercayaan publik, dan menciptakan tekanan sistemik. Itu sebabnya risiko teknologi hari ini tidak lagi cukup dibaca sebagai isu keamanan siber biasa. Ia sudah bergerak menjadi persoalan ketahanan geopolitik sistem digital.
Dalam beberapa tahun terakhir, sebagian institusi juga mulai merasa lebih tenang karena telah mengadopsi berbagai standar internasional—dari ISO/IEC 27001 untuk keamanan informasi, ISO/IEC 27701 untuk privasi, ISO 22301 untuk keberlangsungan bisnis, ISO/IEC 20000 untuk layanan TI, hingga ISO/IEC 42001 sebagai kerangka tata kelola AI. Semua itu penting. Tetapi justru di sinilah blind spot yang berbahaya mulai terbentuk.
Sebagian besar pendekatan tersebut dibangun dari asumsi bahwa risiko teknologi adalah sesuatu yang bisa dipetakan, dikendalikan, diaudit, lalu ditutup dengan kontrol dan prosedur yang tepat. Cara berpikir ini masih berguna untuk banyak hal. Namun, ia mulai goyah ketika teknologi tidak lagi berdiri hanya sebagai sistem operasional, melainkan sebagai bagian dari kontestasi kekuasaan global.
Selama ini kita akrab dengan cyber risk: ransomware, phishing, kebocoran data, atau gangguan sistem. Semua itu valid. Tetapi lanskap yang sedang muncul kini lebih luas. Ia bukan hanya soal serangan ke sistem, melainkan soal kerentanan struktural ketika sistem kita bergantung pada infrastruktur yang berada di luar kendali langsung, di luar yurisdiksi, bahkan di dalam orbit geopolitik negara lain.
Apa yang selama ini dianggap sekadar keputusan teknologi, perlahan berubah menjadi keputusan geopolitik. Ketika cloud, model AI, kabel data, chip, dan pusat data makin terkonsentrasi pada segelintir aktor global, ketergantungan digital tidak lagi semata soal vendor. Ia menyentuh pertanyaan yang jauh lebih sensitif: siapa yang sesungguhnya mengendalikan sistem yang menopang ekonomi kita, dan apa yang terjadi jika sistem itu terseret konflik yang tidak kita pilih?
Ini Bukan Lagi Sekadar Cyber Risk
Di sinilah diskusi tentang risiko digital seharusnya naik kelas. Selama ini kita akrab dengan cyber risk: ransomware, phishing, kebocoran data, atau gangguan sistem. Semua itu valid. Tetapi lanskap yang sedang muncul kini lebih luas. Ia bukan hanya soal serangan ke sistem, melainkan soal kerentanan struktural ketika sistem kita bergantung pada infrastruktur yang berada di luar kendali langsung, di luar yurisdiksi, bahkan di dalam orbit geopolitik negara lain.
Dengan kata lain, ini bukan lagi semata cyber risk. Ini adalah geopolitical technology risk.
Istilah ini penting karena ancamannya tidak lagi berhenti pada kebocoran atau pencurian data.
Dalam situasi ekstrem, risikonya bisa berupa pemutusan akses layanan, pembatasan penggunaan teknologi, embargo digital, gangguan pada pusat data di negara lain, atau serangan destruktif yang membuat sistem kritikal sulit dipulihkan. Dan bagi industri finansial, ancaman ini selalu punya bobot yang lebih besar. Dalam logika perang modern, menyerang sistem keuangan bukan sekadar mengganggu satu sektor, tetapi mengguncang denyut ekonomi secara keseluruhan. Bank yang terlalu nyaman dengan dashboard compliance bisa saja merasa aman, padahal secara strategis sedang berdiri di atas fondasi yang rapuh.
Mengapa ISO dan Compliance Tidak Lagi Cukup
Di sinilah berbagai standar ISO tetap relevan, tetapi tidak boleh diperlakukan seperti jimat. ISO/IEC 27001 membantu bank merapikan disiplin keamanan informasi. ISO/IEC 27701 memperkuat pijakan dalam mengelola data pribadi. ISO 22301 penting untuk menjaga kontinuitas bisnis ketika terjadi gangguan. ISO/IEC 20000 membuat layanan TI lebih tertata. Dan ISO/IEC 42001 memberi fondasi agar sistem AI tidak dijalankan secara serampangan.
Mereka tidak benar-benar dirancang untuk menjawab pertanyaan yang kini makin relevan: bagaimana jika gangguan tidak datang dari kegagalan internal, melainkan dari guncangan geopolitik yang memukul infrastruktur digital tempat kita bergantung?
Semua itu memperkuat pertahanan. Tetapi ia tidak otomatis menjawab apa yang terjadi ketika ancaman datang bukan dari dalam sistem, melainkan dari retakan geopolitik di luar kendali organisasi. Pada dasarnya, standar-standar tersebut dirancang untuk membantu organisasi menghadapi risiko yang masih bisa didekati melalui kontrol manajerial dan tata kelola internal.
Mereka tidak benar-benar dirancang untuk menjawab pertanyaan yang kini makin relevan: bagaimana jika gangguan tidak datang dari kegagalan internal, melainkan dari guncangan geopolitik yang memukul infrastruktur digital tempat kita bergantung?
Di situlah blind spot itu berada. Tidak ada organisasi yang bisa merasa cukup aman hanya karena lolos audit standar, jika pada saat yang sama mereka belum pernah secara serius menguji skenario seperti ini: apa yang terjadi jika akses ke cloud utama tiba-tiba terputus karena friksi politik lintas negara? Bagaimana jika model AI yang dipakai bank untuk fungsi penting tidak lagi tersedia karena sanksi, pembatasan akses, atau perubahan kebijakan vendor? Apa yang terjadi jika pusat data di lokasi tertentu terdampak konflik, dan pemulihannya tidak secepat yang diasumsikan dalam dokumen business continuity?
Pertanyaan-pertanyaan seperti ini sering dianggap terlalu ekstrem. Padahal dunia justru sedang bergerak ke arah di mana skenario ekstrem tidak lagi terasa mustahil. Karena itu, perbankan tidak cukup hanya menambah layer compliance. Yang dibutuhkan adalah perubahan cara berpikir tentang ketahanan.
Ketahanan Kini Ditentukan oleh Arsitektur
Risk management di era AI dan geopolitik digital tidak bisa lagi hanya bertumpu pada daftar kontrol. Ia harus mulai masuk ke level arsitektur. Bukan hanya bertanya apakah sistem telah aman menurut standar, tetapi juga apakah desain sistem itu sendiri cukup tahan terhadap guncangan yang berasal dari luar horizon operasional normal.
Di sinilah Creative Permutation Foresight (CPF) menjadi relevan. Secara sederhana, CPF adalah kerangka berpikir untuk membantu organisasi mengeksplorasi berbagai kombinasi skenario masa depan secara lebih terstruktur, terutama ketika perubahan teknologi, politik, dan risiko bergerak terlalu cepat untuk dibaca dengan logika linier. Ia bukan alat ramalan, melainkan instrumen untuk melatih organisasi melihat kemungkinan-kemungkinan yang terlalu mudah diabaikan.
Risk management di era AI dan geopolitik digital tidak bisa lagi hanya bertumpu pada daftar kontrol. Ia harus mulai masuk ke level arsitektur. Bukan hanya bertanya apakah sistem telah aman menurut standar, tetapi juga apakah desain sistem itu sendiri cukup tahan terhadap guncangan yang berasal dari luar horizon operasional normal.
Dengan pendekatan ini, bank perlu berani menguji skenario yang terlalu jarang dibahas: bagaimana jika penyedia cloud utama terganggu selama beberapa hari, bahkan beberapa minggu?
Bagaimana jika ketergantungan pada model AI eksternal justru menjadi titik lemah? Bagaimana jika insiden digital di negara lain memicu dampak berantai terhadap layanan domestik? Jika jawaban atas pertanyaan-pertanyaan itu masih kabur, maka problemnya bukan lagi sekadar compliance. Problemnya ada pada desain sistem.
Multi-Cloud Saja Bisa Menjadi Ilusi
Di titik itulah strategi multi-cloud yang selama ini sering dipandang sebagai jawaban perlu dibaca ulang. Menggunakan lebih dari satu cloud provider memang lebih baik daripada bergantung pada satu vendor. Tetapi jika seluruh vendor tersebut masih berada dalam orbit geopolitik yang sama, maka diversifikasi itu bisa jadi hanya ilusi kenyamanan.
Karena itu, ketika bank memilih penyedia cloud, yang sebenarnya sedang dipilih bukan hanya vendor teknologi, tetapi juga tingkat eksposur terhadap blok kekuasaan digital tertentu. Di sinilah geopolitical multi-cloud menjadi penting.
Dunia cloud dan AI hari ini tidak sepenuhnya netral secara geopolitik. Di satu sisi ada ekosistem teknologi yang sangat dipengaruhi perusahaan-perusahaan Amerika Serikat seperti AWS, Microsoft Azure, dan Google Cloud. Di sisi lain, ada ekosistem yang tumbuh dari Tiongkok dengan pemain seperti Alibaba Cloud dan Huawei Cloud. Persaingan ini bukan sekadar soal merek atau harga layanan. Ia mencerminkan dua orbit kekuasaan digital yang berbeda—dengan standar, afiliasi, risiko kebijakan, dan implikasi geopolitik yang juga berbeda.
Karena itu, ketika bank memilih penyedia cloud, yang sebenarnya sedang dipilih bukan hanya vendor teknologi, tetapi juga tingkat eksposur terhadap blok kekuasaan digital tertentu. Di sinilah geopolitical multi-cloud menjadi penting.
Artinya bukan sekadar menyebar beban kerja ke beberapa penyedia, melainkan memastikan bahwa eksposur geopolitik juga ikut didiversifikasi. Dalam praktiknya, ini bisa berarti satu bank tetap memanfaatkan cloud global seperti AWS, Microsoft Azure, atau Google Cloud untuk kebutuhan tertentu, tetapi pada saat yang sama mencadangkan fungsi dan data kritikal di pusat data dalam negeri, atau menempatkan sebagian lapisan beban kerja pada penyedia lain seperti Alibaba Cloud agar ketergantungan tidak menumpuk pada satu orbit kekuasaan saja. Untuk fungsi yang benar-benar kritikal, ini juga berarti keberanian mempertahankan komponen tertentu secara lebih mandiri.
Tanpa Sovereign DPI, Ketahanan Akan Selalu Rapuh
Namun solusi di level industri saja tidak cukup. Geopolitical multi-cloud adalah langkah taktis yang bisa mulai dipikirkan bank sekarang juga. Tetapi untuk jangka panjang, lapisan pertahanannya harus lebih dalam.
Pada level yang lebih strategis, industri tidak bisa berjalan sendirian. Negara perlu hadir bukan hanya sebagai regulator, tetapi sebagai ecosystem architect. Di sinilah gagasan tentang Sovereign Digital Public Infrastructure (DPI) menjadi semakin penting.
Sovereign DPI berarti memastikan fondasi-fondasi vital tersebut tidak seluruhnya bertumpu pada sistem eksternal yang kendalinya terbatas. Bukan karena Indonesia harus menutup diri dari dunia, tetapi karena negara perlu memiliki jangkar sendiri ketika ekosistem global sedang berguncang. DPI bukan solusi cepat. Ia adalah pekerjaan rumah jangka panjang yang perlu dipikirkan serius oleh pemerintah, regulator, dan otoritas sektor keuangan—termasuk OJK dan Bank Indonesia.
Secara sederhana, DPI adalah fondasi digital dasar yang memungkinkan layanan publik dan ekonomi digital berjalan di atas rel yang lebih aman, lebih interoperabel, dan lebih berdaulat. Ia mencakup hal-hal yang terlihat teknis tetapi sangat menentukan: sistem identitas digital, payment rails, pertukaran data, hingga infrastruktur dasar yang membuat layanan keuangan, layanan publik, dan inovasi digital bisa saling terhubung.
Dalam konteks ini, Sovereign DPI berarti memastikan fondasi-fondasi vital tersebut tidak seluruhnya bertumpu pada sistem eksternal yang kendalinya terbatas. Bukan karena Indonesia harus menutup diri dari dunia, tetapi karena negara perlu memiliki jangkar sendiri ketika ekosistem global sedang berguncang. DPI bukan solusi cepat. Ia adalah pekerjaan rumah jangka panjang yang perlu dipikirkan serius oleh pemerintah, regulator, dan otoritas sektor keuangan—termasuk OJK dan Bank Indonesia.
Jika geopolitical multi-cloud adalah upaya memperkuat ketahanan institusi, maka Sovereign DPI adalah cara membangun ketahanan sistemik di level nasional. Pada akhirnya, ia bukan proyek teknologi semata, melainkan instrumen resiliensi nasional.
Pertanyaan yang Tidak Bisa Lagi Ditunda di Boardroom
Maka pertanyaan yang seharusnya mulai diajukan oleh direksi bank bukan lagi sekadar: apakah kita sudah comply? Bukan pula hanya: apakah kita sudah memakai AI secara efisien? Pertanyaan yang lebih jujur adalah ini: apakah arsitektur digital kita akan tetap bertahan ketika gangguan datang dari luar buku manual risiko yang selama ini kita pegang?
Di era AI, cloud, dan ketegangan geopolitik yang makin rapat, compliance tetap perlu. ISO tetap penting. Tetapi keduanya tidak boleh membuat kita terlena oleh rasa aman yang terlalu administratif. Dalam banyak kasus, yang lebih menentukan bukan siapa yang paling patuh terhadap standar, melainkan siapa yang paling siap ketika standar itu tidak lagi cukup melindunginya. ■
*) Tuhu Nugraha adalah Principal Indonesia Applied Digital Economy & Regulatory Network (IADERN), kini aktif menjadi pembicara di banyak forum internasional mengenai AI, strategi digital dan tata kelola teknologi negara-negara berkembang.
Digionary:
● Artificial Intelligence (AI): Teknologi yang memungkinkan mesin meniru kecerdasan manusia
● Cloud Computing: Infrastruktur digital berbasis internet untuk penyimpanan dan pemrosesan data
● Creative Permutation Foresight (CPF): Metode eksplorasi skenario masa depan secara sistematis
● Geopolitical Technology Risk: Risiko teknologi akibat konflik dan dinamika geopolitik global
● Multi-Cloud: Strategi menggunakan lebih dari satu penyedia cloud
● Sovereign DPI: Infrastruktur digital nasional yang berdaulat dan mandiri
● Wiper Malware: Jenis malware yang menghancurkan data, bukan mencurinya
#CloudRisk #AI #PerbankanDigital #CyberSecurity #Geopolitik #DigitalBanking #Fintech #CloudComputing #AIinBanking #DataCenter #CyberWar #DigitalRisk #ISO27001 #DigitalTransformation #BankingSecurity #TechRisk #GlobalEconomy #DPI #FutureBanking #Innovation
