Rekor Buruk Penanganan Kebocoran Data BSI, Salah di Mana?

123rf.com/Benjawan Sittidech
Ilustrasi dugaan serangan ransomware pada layanan perbankan PT Bank Syariah Indonesia Tbk atau BSI.
Penulis: Amelia Yesidora
Editor: Sorta Tobing
19/5/2023, 19.09 WIB
  • Kasus BSI mencetak rekor, layanan perbankan yang terganggu selama berhari-hari. 
  • Pakar keamanan siber meyakini layanan BSI yang down karena serangan ransomware.
  • Penanganan kebocoran data BSI dinilai sangat buruk.

Sekelompok pekerja lepas mengomel di grup WhatsApp mereka pada Senin (8/5) siang. Gaji yang sudah diterima melalui PT Bank Syariah Indonesia Tbk alias BSI malah tidak bisa diambil hari itu. Masalahnya, seluruh layanan bank untuk menampung gaji tidak bisa diakses. 

Nada Tri Hazka Syahirah (22) beruntung hari itu karena tidak sedang mengambil pekerjaan dan gajinya bulan itu masih mencukupi. Tapi tetap saja, mahasiswa yang terbiasa cashless ini sangat terganggu karena tidak bisa membayar transaksi apapun, sementara ia tidak memegang uang kartal sama sekali.

Keesokan harinya, barulah Nada bisa mengambil uang dari anjungan tunai mandiri (ATM) untuk kebutuhannya di rantau. Sayangnya, ia masih belum bisa menggunakan layanan BSI Mobile di gawainya.

BSI sebenarnya bukan bank pilihannya untuk bertransaksi sehari-hari. Namun, karena terdaftar sebagai mahasiswa Universitas Andalas, Sumatera Barat, ia otomatis mendapatkan kartu mahasiswa berbentuk ATM di bank syariah tersebut. 

Lewat sepekan layanan BSI terus menjadi sorotan. Layanan perbankan tidak kunjung berjalan normal. Ini menjadi rekor terburuk yang pernah dialami sebuah bank Tanah Air. BSI mengklaim telah berjalan normal pada 11 Mei lalu tapi konsumen di media sosial berkata sebaliknya.  

Lalu, muncul isu layanan bank pelat merah itu sempat down karena aksi peretasan kelompok hacker LockBit. Nasabah pun menjadi was-was. Nada akhirnya memutuskan memindahkan seluruh uangnya dari BSI, menyisakan hanya Rp 300 ribu. "Kalau ada risiko uangnya hilang, aku enggak masalah karena jumlahnya cuma segitu,” kata Nada beberapa hari lalu.

Berbagai kalangan merespon negatif kejadian selama sepekan tersebut. “Sejauh menjalankan bisnis sekuriti siber, baru ini kami alami bank down berhari-hari dan yang mengalami itu tidak mau mengaku,” tutur pakar keamanan siber dari Vaksincom Alfons Tanujaya. “Kenapa enggak sportif dengan mengabarkan nasabah, sih?”

ATM BSI (BSI)

Penyangkalan Konsisten BSI 

Pada Selasa pekan lalu, pihak bank mengatakan gangguan ini terjadi karena BSI melakukan pemeliharaan sistem dan butuh waktu untuk penyesuaian. Perusahaan  memastikan dana nasabah tetap aman dan meminta waspada terhadap penipuan.

Pengamat keamanan siber tidak sepakat dengan hal ini.  Direktur Eksekutif ICT Institute Heru Sutadi menyebut kemungkinan besar BSI kena serangan siber ransomware.

Melansir dari situs Microsoft, serangan ransomware adalah 'program jahat' yang mengancam korban dengan menghancurkan atau memblokir akses ke data atau sistem penting hingga permintaan tebusan dibayarkan.

Sebagian besar ransomware menargetkan individu. Namun, belakangan targetnya menjadi organisasi yang lebih luas dan semakin sulit untuk dicegah atau ditanggulangi. 

Beberapa serangan tersebut, Microsoft menulis, sangat canggih. Penyerang dapat memakai dokumen keuangan internal yang merka curi untuk menetapkan harga tebusan. 

Perusahaan keamanan siber Kaspersky menyebut saat ini ransomware merupakan kejahatan siber yang paling populer, karena memiliki model monetisasi yang jelas dan mudah diimplementasikan.

Perusahaan keamanan siber Coveware mengestimasi, sepanjang kuartal pertama 2023 rata-rata uang tebusan yang dibayarkan korban ransomware kepada pelakunya mencapai USD 327,8 ribu atau sekitar Rp4,8 miliar.

BSI tidak mengiyakan adanya ransomware dalam sistem perbankannya. Namun, Menteri Badan USaha Milik Negara Erick Thohir berkata sebaliknya. “Ada serangan, saya bukan ahlinya. Ada tiga poin apalah itu, sehingga mereka down hampir satu hari kalau tidak salah,” katanya saat ditemui di sela-sela KTT ASEAN di Labuan Bajo.

Seiring dengan pernyataan Etho, geng peretas asal Rusia, LockBit, mengaku mereka adalah “penyandera” data-data BSI pada Sabtu pekan lalu. Total ada 1,5 terabita data yang dicuri, dan mereka meminta “uang tebusan” pada BSI agar datanya dikembalikan.

BSI gagal dalam negosiasi tersebut, sehingga tiga hari kemudian kelompok ini mengunggah seluruh data itu ke situs gelap alias darkweb. Di Twitter, tangkapan layar penjualan data nasabah BSI hingga informasi para direksinya ramai beredar. 

Hingga hari ini, Jumat (19/5), publik tidak tahu adakah langkah yang dilakukan, baik dari BSI ataupun Otoritas Jasa Keuangan, untuk menindaklanjuti kebocoran data tersebut. Bahkan nilai kerugian dari tidak beroperasinya layanan perbankan BSI selama berhari-hari tidak pula muncul ke publik. 

Menteri Keuangan Sri Mulyani menyebut Komite Stabilitas Sistem Keuangan (KSSK) telah menerima laporan dari OJK terkait masalah ini. Namun, ia tak merinci bagaimana pembicaraan di internal terkait kejadian itu. 

Yayasan Lembaga Konsumen Indonesia alias YLKI sudah menerima berbagai pengaduan terkait layanan BSI. Kepala Bidang Pengaduan YLKI, Aji Warsito, menghitung ada empat pengaduan per 17 Mei 2023, berupa kerugian materil maupun moril.

“Konsumen tidak menyebut nominal kerugiannya. Tapi, menurut pandangan kami, seharusnya pihak BSI bisa memberi kompensasi hingga ganti rugi pada nasabah yang dananya hilang,” kata Aji pada Katadata, Rabu. 

Layanan BSI. (ANTARA FOTO/Indrianto Eko Suwarso/tom.)

Kecil Kemungkinan Bank Run

Tidak hanya ragu akan keamanan data, kini nasabah BSI pun ragu dengan nasib uangnya. Beberapa bahkan mengaku sudah ada uangnya yang raib di bank itu. Akhirnya nasabah ramai-ramai mengambil uang dan memindahkannya ke bank lain. 

Dari sisi perbankan, Doddy Ariefianto dari Binus University melihat kecilnya peluang bank run di bank ini. Istilah bank run digunakan saat kesehatan bank sedang buruk hingga terancam tutup.

Bila sebuah bank tutup, maka dana nasabahnya akan hangus, sehingga nasabah ramai-ramai menarik uang mereka sebelum hal itu terjadi. “Tapi yang terjadi sepertinya tidak begitu, lebih ke migrasi atau bedol desa ke bank lain,” kata Doddy.

Ia tetap menggarisbawahi buruknya penanganan masalah kebocoran data BSI. Perusahaan, selaku korban, bahkan tidak mengakui datanya bocor. Lalu, OJK selaku badan pengawas keuangan belum turun tangan mengatasi hal tersebut. 

Karena itu, Doddy menyarankan BSI berinisiatif datang ke OJK untuk menunjukkan kronologi secara rinci. Dari sana, mereka bisa memverifikasi berapa jumlah data yang benar-benar dicuri dan kerugian yang terjadi. 

Selain itu, BSI dapat menggunakan jasa konsultan siber untuk menginvestigasi secara independen, alih-alih jasa internal BSI. Tujuannya untuk mengetahui celah keamanan dari mana ransomware ini masuk ke dallam sistem bank. 

“Masyarakat ingin tahu apa yang terjadi. BSI bisa mengadakan konferensi pers hasil investigasi tersebut dan mengakui masalah yang terjadi,” katanya.

Layanan perbankan BSI. (ANTARA FOTO/M Risyal Hidayat/tom.)

Kehilangan Uang Mungkin Terjadi?

Alfons sudah mengecek data BSI yang bocor di darkweb dan mengonfirmasi benar bahwa itu data nasabah, karyawan, hingga relasi BSI. Metode konfirmasi ini pun cukup mudah, ia mencoba melakukan transaksi ke salah satu nomor rekening yang bocor itu dan melihat siapa nama nasabahnya. 

“Dari pengecekan itu, datanya benar semua. Jadi BSI mau sangkal apa lagi? Atas dasar itu kita bilang data tersebut valid,” kata Alfons.

Pandangan berbeda disampaikan Ketua Lembaga Riset Keamanan Siber dan dan Komunikasi CISSReC, Pratama Dahlian Persadha. Menurut dia, file yang tersebar bukan berasal dari server utama BSI dan lebih kepada data yang tersimpan dalam PC atau laptop milik karyawan BSI. 

Apapun yang berhasil didapatkan, Lockbit 3.0 berhasil memiliki data nasabah BSI. "Tapi apakah data tersebut adalah core banking berisi data rekening, mutasi, jumlah dana, atau hanya data yang terkait kontraktual, sewa menyewa, atau administrasi perkantoran?” ucap Pratama. 

Baik Alfons dan Pratama sepakat, kebocoran data BSI tidak menyebabkan hilangnya dana nasabah secara langsung. Alfons menjelaskan geng ransomware biasanya tidak memiliki kepentingan atas data dan dana dari internal korbannya.

Tujuan hacker tersebut murni memperoleh “uang tebusan” dari sanderanya. “Kalau misalnya dia acak-acak uang, bagaimana cara dia transfer? Makanya mereka biasanya mau bayaran dengan mata uang kripto. Tapi kalau bilang mereka tidak mampu? Saya kira mereka mampu,” katanya.

BSI di Aceh (ANTARA FOTO/Syifa Yulinnas/foc.)

Mungkinkah BSI Didenda dengan UU PDP?

Berdasarkan UU Pelindungan Data Pribadi atau UU PDP yang disahkan oleh DPR dalam rapat paripurna akhir tahun lalu, perusahaan yang melanggar keamanan data konsumen dapat dikenakan denda hingga triliunan rupiah. 

Pasal 70 berbunyi, hukuman tindak pidana dapat dijatuhkan kepada pengurus, pemegang kendali, pemberi perintah, pemilik manfaat, dan/atau korporasi. Pidana yang dapat dijatuhkan terhadap korporasi hanya pidana denda sebesar 10 kali dari maksimal pidana denda yang diancamkan

Selain itu, ada sanksi administratif bagi pengendali data yang melanggar. Pengendali data pribadi adalah setiap orang atau badan publik atau organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam menentukan tujuan dan melakukan pengendalian atas pemrosesan data pribadi.

Itu artinya, sanksi administratif berlaku juga untuk korporasi dan kementerian atau lembaga (K/L) yang menentukan tujuan dan melakukan pengendalian atas pemrosesan data pribadi. 

Rincian ancaman hukuman atas pelanggaran data pribadi dapat dilihat pada Infografik di bawah ini:

Infografik_Awas Ancaman Hukuman Data Bocor (Katadata/ Nurfathi)

Jika menghitung denda administratif 2% dari pendapatan tahunan saja, maka BSI berpotensi didenda Rp 384 miliar. Sebab pendapatan bank syariah ini Rp 19,2 triliun tahun lalu. 

Namun, UU Pelindungan Data Pribadi baru akan berlaku penuh dua tahun sejak diundangkan pada 17 Oktober 2022. Itu artinya, berlaku pada 17 Oktober 2024. Selain itu, perlu pemeriksaan lebih lanjut mengenai benar tidaknya data bocor dan apakah ada data pribadi pengguna yang terkena dampak

Reporter: Amelia Yesidora