Kominfo: BSI Tak akan Dijerat Sanksi UU Perlindungan Data Pribadi

Kementerian Komunikasi dan Informatika atau Kominfo memastikan PT Bank Syariah Indonesia Tbk atau BSI tidak akan terjerat sanksi yang tercantum dalan Undang-Undang Perlindungan Data Pribadi atau UU PDP, meski jika terbukti mengalami kebocoran data pribadi nasabah.

Direktur Jenderal Aplikasi dan Informatika Kementerian Kominfo Semuel A. Pangerapan menjelaskan hal itu karena UU PDP baru akan berlaku pada 2024, sehingga belum bisa diterapkan saat ini.

"UU 27 tahun 2022 itu masih dalam transisi, baru berlaku penuh denda administrasinya pada 2024," katanya kepada media di Jakarta, Senin (22/5).

Sebelumnya, Semuel mengatakan Kominfo menginterogasi BSI terkait dugaan kebocoran data nasabah akibat terkena peretasan. Menurut dia, pihaknya bertemu dengan BSI untuk mengklarifikasi kasus dugaan kebocoran data nasabah oleh peretas internasional.

"Kami baru melakukan pertemuan untuk mengklarifikasi karena di publik ada yang mengatakan bahwa ada data-data pribadi yang bocor," katanya.

Ia pun menyatakan telah berhasil mendapatkan sampel data yang bocor. Kominfo sedang melakukan proses pengkajian dan verifikasi ke BSI.

Lebih lanjut, Semuel menyatakan akan memberi teguran, perbaikan, dan rekomendasi jika memang diketahui mengalami kebocoran data. Hingga saat ini, belum diketahui jumlah nasabah yang terdampak kebocoran data. Namun, ditegaskan bahwa kebocoran data merupakan tanggung jawab penyelenggara.

"Kalau ada kebocoran (data), pasti yang bertanggung jawab adalah penyelenggaranya," ujarnya.

Konsultan Keamanan Siber Teguh Aprianto memastikan data internal, termasuk data nasabah BSI benar-benar bocor dan terpublikasi secara masif di situs gelap atau dark web.

Hal ini diungkapkan Teguh melalui unggahan pada akun Twitter-nya yang sudah terverifikasi bercentang biru. Pendiri Ethical Hacker Indonesia ini juga mengunggah foto tangkapan layar yang menunjukkan daftar data-data perbankan dengan format CSV.

"Data BSI saat ini sudah resmi dibocorkan secara bertahap oleh LockBit. Dengan estimasi total 8.133 file yang akan dibocorkan secara keseluruhan," ujar Teguh dalam cuitannya di akun Twitter @secgron, Selasa (16/5).

Dia menyebutkan, informasi pribadi sebanyak 24.437 karyawan BSI dan dokumen internal sudah masuk ke daftar yang telah dibocorkan lebih awal.

Atas peristiwa ini, Lembaga Studi dan Advokasi Masyarakat atau ELSAM mendesak BSI untuk memberi penjelasan secara komprehensif kepada nasabah. Sementara itu, regulator diminta untuk mengevaluasi insiden tersebut dan memastikan perlindungan atas data pribadi, serta pemenuhan hak-hak subjek data.

"BSI perlu memberikan notifikasi kepada subjek data paling lambat 3x24 jam, termasuk kepada masyarakat mengingat insiden ini terkait dengan layanan publik, mengacu pada Pasal 46 UU Perlindungan Data Pribadi," demikian tertulis dalam keterangan pers ELSAM, dikutip Kamis (18/5).

Selain itu, melakukan pemulihan bencana untuk memastikan kelangsungan operasional bank tetap berjalan selama insiden. BSI harus memastikan rencana penanggulangan dan pemulihan sesuai dengan rencana kelangsungan usaha, rencana pemulihan bencana, rencana manajemen krisis, dan lainnya.

Apalagi mengacu pada ketentuan Pasal 4 ayat (2) UU PDP, data keuangan pribadi merupakan bagian dari data pribadi yang spesifik (sensitif) sehingga memerlukan tingkat perlindungan yang lebih tinggi, termasuk ketika terjadi kegagalan dalam perlindungan data, juga memerlukan langkah-langkah khusus dalam penanganannya.

Melalui pengumuman tertulis, ELSAM mendesak pemangku kepentingan untuk segera melakukan langkah-langkah berikut ini:

• BSI segera memberikan notifikasi terkait terjadinya kegagalan pelindungan data pribadi kepada nasabah secara tertulis, tanpa penundaan yang tidak perlu. Pemberitahuan setidaknya memuat informasi mengenai data pribadi yang terungkap, kapan, dan bagaimana data tersebut terungkap, serta upaya penanganan dan pemulihan atas kegagalan tersebut. Ini sesuai dengan Pasal 46 ayat (2) UU Perlindungan Data Pribadi (UU PDP).
• BSI juga perlu memberi penjelasan mengenai kontak informasi yang dapat dihubungi oleh subjek data, serta langkah-langkah mitigasi yang dapat dilakukan oleh subjek data, untuk dapat meminimalisir risiko akibat kebocoran data tersebut.
• Otoritas Jasa Keuangan (OJK) segera mengevaluasi langkah mitigasi dan memastikan pemutakhiran rencana pemulihan bencana BSI telah sesuai dengan Peraturan OJK tentang Penyelenggaraan Teknologi Informasi. Selain itu, audit, dan evaluasi keseluruhan rencana mitigasi dan pemulihan sistem teknologi informasi dari industri perbankan.
• Kementerian Informasi dan Komunikasi (Kominfo), melalui kewenangan pengawasan sesuai Pasal 35 PP 71/2019, segera mengiinvestigasi dan menyelesaikan kasus secara akuntabel. Caranya, dengan mengidentifikasi penyebab kegagalan pelindungan data pribadi, mengidentifikasi kerugian baik pada pengendali, prosesor, maupun subjek data. Selain itu, mengumumkan laporan hasil investigasi serta langkah-langkah yang sudah dilakukan. Terakhir, memastikan proses pemulihan terhadap hak-hak subjek data.
• Badan Siber dan Sandi Negara (BSSN) segera memantau dan investigasi insiden keamanan siber yang dialami BSI, untuk dapat diidentifikasi sumber serangan, kerentanan sistem keamanan yang memungkinkan terjadinya serangan, serta langkah lanjutan yang harus dilakukan. Selain itu, BSSN juga perlu memastikan adanya audit keamanan secara berkala, termasuk juga penerapan standar keamanan yang kuat bagi seluruh industri perbankan dan keuangan.

Sebelumnya, BSI diduga mengalami serangan Ransomware yang dilakukan oleh kelompok peretas internasional Lockbit 3.0 pekan lalu. Insiden ini diklaim telah berhasil mencuri 1,5 TB data nasabah, dokumen finansial, dokumen legal, perjanjian kerahasiaan, serta kata sandi akses internal serta layanan perusahaan.

Dalam keterangannya, BSI menginformasikan layanan BSI Mobile, baru pulih pada Kamis (11/5), sementara layanan ATM telah normal sehari setelah serangan.

Analisis America’s Cyber Defense Agency menyebutkan LockBit jenis ini juga mampu menghentikan layanan, memberikan perintah, menghapus file, serta mengenkripsi data yang disimpan ke perangkat lokal atau jarak jauh.

Akibatnya, kejadian ini telah merugikan nasabah dalam beberapa bentuk pelanggaran, sebagai dampak dari pencurian data, termasuk risiko kerugian reputasi subjek data, hilangnya kerahasiaan dan integritas data pribadi, dan bahkan potensi kerugian finansial.

Insiden keamanan siber ini menunjukan tiga level serangan sekaligus, yakni pelanggaran kerahasiaan atau confidentiality breach , pelanggaran integritas atau integrity breach, dan pelanggaran ketersediaan atau availability breach akibat hilangnya kontrol atas akses.