BSI Didesak Transparan Soal Dugaan Kebocoran Data Nasabah
Bank Syariah Indonesia atau BSI diduga mengalami serangan Ransomware yang dilakukan oleh kelompok peretas internasional Lockbit 3.0 pekan lalu. Insiden ini diklaim telah berhasil mencuri 1,5 TB data nasabah, dokumen finansial, dokumen legal, perjanjian kerahasiaan, serta kata sandi akses internal serta layanan perusahaan.
Atas peristiwa ini, Lembaga Studi dan Advokasi Masyarakat atau ELSAM mendesak BSI untuk memberi penjelasan secara komprehensif kepada nasabah. Sementara itu, regulator diminta untuk mengevaluasi insiden tersebut dan memastikan perlindungan atas data pribadi, serta pemenuhan hak-hak subjek data.
"BSI perlu memberikan notifikasi kepada subjek data paling lambat 3x24 jam, termasuk kepada masyarakat mengingat insiden ini terkait dengan layanan publik, mengacu pada Pasal 46 UU Perlindungan Data Pribadi," demikian tertulis dalam keterangan pers ELSAM, dikutip Kamis (18/5).
Selain itu, melakukan pemulihan bencana untuk memastikan kelangsungan operasional bank tetap berjalan selama insiden. BSI harus memastikan rencana penanggulangan dan pemulihan sesuai dengan rencana kelangsungan usaha, rencana pemulihan bencana, rencana manajemen krisis, dan lainnya.
Apalagi mengacu pada ketentuan Pasal 4 ayat (2) UU PDP, data keuangan pribadi merupakan bagian dari data pribadi yang spesifik (sensitif) sehingga memerlukan tingkat perlindungan yang lebih tinggi, termasuk ketika terjadi kegagalan dalam perlindungan data, juga memerlukan langkah-langkah khusus dalam penanganannya.
Melalui pengumuman tertulis, ELSAM mendesak pemangku kepentingan untuk segera melakukan langkah-langkah berikut ini:
- BSI segera memberikan notifikasi terkait terjadinya kegagalan pelindungan data pribadi kepada nasabah secara tertulis, tanpa penundaan yang tidak perlu. Pemberitahuan setidaknya memuat informasi mengenai data pribadi yang terungkap, kapan, dan bagaimana data tersebut terungkap, serta upaya penanganan dan pemulihan atas kegagalan tersebut. Ini sesuai dengan Pasal 46 ayat (2) UU Perlindungan Data Pribadi (UU PDP).
BSI juga perlu memberi penjelasan mengenai kontak informasi yang dapat dihubungi oleh subjek data, serta langkah-langkah mitigasi yang dapat dilakukan oleh subjek data, untuk dapat meminimalisir risiko akibat kebocoran data tersebut.
- Otoritas Jasa Keuangan (OJK) segera mengevaluasi langkah mitigasi dan memastikan pemutakhiran rencana pemulihan bencana BSI telah sesuai dengan Peraturan OJK tentang Penyelenggaraan Teknologi Informasi. Selain itu, audit, dan evaluasi keseluruhan rencana mitigasi dan pemulihan sistem teknologi informasi dari industri perbankan.
- Kementerian Informasi dan Komunikasi (Kominfo), melalui kewenangan pengawasan sesuai Pasal 35 PP 71/2019, segera mengiinvestigasi dan menyelesaikan kasus secara akuntabel. Caranya, dengan mengidentifikasi penyebab kegagalan pelindungan data pribadi, mengidentifikasi kerugian baik pada pengendali, prosesor, maupun subjek data. Selain itu, mengumumkan laporan hasil investigasi serta langkah-langkah yang sudah dilakukan. Terakhir, memastikan proses pemulihan terhadap hak-hak subjek data.
- Badan Siber dan Sandi Negara (BSSN) segera memantau dan investigasi insiden keamanan siber yang dialami BSI, untuk dapat diidentifikasi sumber serangan, kerentanan sistem keamanan yang memungkinkan terjadinya serangan, serta langkah lanjutan yang harus dilakukan.
Selain itu, BSSN juga perlu memastikan adanya audit keamanan secara berkala, termasuk juga penerapan standar keamanan yang kuat bagi seluruh industri perbankan dan keuangan.
Sebelumnya, BSI diduga mengalami kebocoran data nasabah yang terdiri atas: nama, nomor ponsel, alamat, nomor rekening, saldo rekening rata-rata, riwayat transaksi, pekerjaan, serta tanggal pembukaan rekening. Akibat serangan ini, layanan ATM dan BSI Mobile lumpuh beberapa hari.
Dalam keterangannya, BSI menginformasikan layanan BSI Mobile, baru pulih pada Kamis (11/5), sementara layanan ATM telah normal sehari setelah serangan.
Sebagai varian lebih canggih dari jenis LockBit sebelumnya, LockBit 3.0 dapat mengumpulkan sistem informasi seperti nama, host, konfigurasi host, informasi domain, konfigurasi local drive, berbagi jarak jauh, dan perangkat penyimpanan eksternal.
Analisis America’s Cyber Defense Agency menyebutkan LockBit jenis ini juga mampu menghentikan layanan, memberikan perintah, menghapus file, serta mengenkripsi data yang disimpan ke perangkat lokal atau jarak jauh.
Akibatnya, kejadian ini telah merugikan nasabah dalam beberapa bentuk pelanggaran, sebagai dampak dari pencurian data, termasuk risiko kerugian reputasi subjek data, hilangnya kerahasiaan dan integritas data pribadi, dan bahkan potensi kerugian finansial.
Insiden keamanan siber ini menunjukan tiga level serangan sekaligus, yakni pelanggaran kerahasiaan atau confidentiality breach , pelanggaran integritas atau integrity breach, dan pelanggaran ketersediaan atau availability breach akibat hilangnya kontrol atas akses.