Kecil Kemungkinan Bank Run
Tidak hanya ragu akan keamanan data, kini nasabah BSI pun ragu dengan nasib uangnya. Beberapa bahkan mengaku sudah ada uangnya yang raib di bank itu. Akhirnya nasabah ramai-ramai mengambil uang dan memindahkannya ke bank lain.
Dari sisi perbankan, Doddy Ariefianto dari Binus University melihat kecilnya peluang bank run di bank ini. Istilah bank run digunakan saat kesehatan bank sedang buruk hingga terancam tutup.
Bila sebuah bank tutup, maka dana nasabahnya akan hangus, sehingga nasabah ramai-ramai menarik uang mereka sebelum hal itu terjadi. “Tapi yang terjadi sepertinya tidak begitu, lebih ke migrasi atau bedol desa ke bank lain,” kata Doddy.
Ia tetap menggarisbawahi buruknya penanganan masalah kebocoran data BSI. Perusahaan, selaku korban, bahkan tidak mengakui datanya bocor. Lalu, OJK selaku badan pengawas keuangan belum turun tangan mengatasi hal tersebut.
Karena itu, Doddy menyarankan BSI berinisiatif datang ke OJK untuk menunjukkan kronologi secara rinci. Dari sana, mereka bisa memverifikasi berapa jumlah data yang benar-benar dicuri dan kerugian yang terjadi.
Selain itu, BSI dapat menggunakan jasa konsultan siber untuk menginvestigasi secara independen, alih-alih jasa internal BSI. Tujuannya untuk mengetahui celah keamanan dari mana ransomware ini masuk ke dallam sistem bank.
“Masyarakat ingin tahu apa yang terjadi. BSI bisa mengadakan konferensi pers hasil investigasi tersebut dan mengakui masalah yang terjadi,” katanya.
Kehilangan Uang Mungkin Terjadi?
Alfons sudah mengecek data BSI yang bocor di darkweb dan mengonfirmasi benar bahwa itu data nasabah, karyawan, hingga relasi BSI. Metode konfirmasi ini pun cukup mudah, ia mencoba melakukan transaksi ke salah satu nomor rekening yang bocor itu dan melihat siapa nama nasabahnya.
“Dari pengecekan itu, datanya benar semua. Jadi BSI mau sangkal apa lagi? Atas dasar itu kita bilang data tersebut valid,” kata Alfons.
Pandangan berbeda disampaikan Ketua Lembaga Riset Keamanan Siber dan dan Komunikasi CISSReC, Pratama Dahlian Persadha. Menurut dia, file yang tersebar bukan berasal dari server utama BSI dan lebih kepada data yang tersimpan dalam PC atau laptop milik karyawan BSI.
Apapun yang berhasil didapatkan, Lockbit 3.0 berhasil memiliki data nasabah BSI. "Tapi apakah data tersebut adalah core banking berisi data rekening, mutasi, jumlah dana, atau hanya data yang terkait kontraktual, sewa menyewa, atau administrasi perkantoran?” ucap Pratama.
Baik Alfons dan Pratama sepakat, kebocoran data BSI tidak menyebabkan hilangnya dana nasabah secara langsung. Alfons menjelaskan geng ransomware biasanya tidak memiliki kepentingan atas data dan dana dari internal korbannya.
Tujuan hacker tersebut murni memperoleh “uang tebusan” dari sanderanya. “Kalau misalnya dia acak-acak uang, bagaimana cara dia transfer? Makanya mereka biasanya mau bayaran dengan mata uang kripto. Tapi kalau bilang mereka tidak mampu? Saya kira mereka mampu,” katanya.
Mungkinkah BSI Didenda dengan UU PDP?
Berdasarkan UU Pelindungan Data Pribadi atau UU PDP yang disahkan oleh DPR dalam rapat paripurna akhir tahun lalu, perusahaan yang melanggar keamanan data konsumen dapat dikenakan denda hingga triliunan rupiah.
Pasal 70 berbunyi, hukuman tindak pidana dapat dijatuhkan kepada pengurus, pemegang kendali, pemberi perintah, pemilik manfaat, dan/atau korporasi. Pidana yang dapat dijatuhkan terhadap korporasi hanya pidana denda sebesar 10 kali dari maksimal pidana denda yang diancamkan
Selain itu, ada sanksi administratif bagi pengendali data yang melanggar. Pengendali data pribadi adalah setiap orang atau badan publik atau organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam menentukan tujuan dan melakukan pengendalian atas pemrosesan data pribadi.
Itu artinya, sanksi administratif berlaku juga untuk korporasi dan kementerian atau lembaga (K/L) yang menentukan tujuan dan melakukan pengendalian atas pemrosesan data pribadi.
Rincian ancaman hukuman atas pelanggaran data pribadi dapat dilihat pada Infografik di bawah ini:
Jika menghitung denda administratif 2% dari pendapatan tahunan saja, maka BSI berpotensi didenda Rp 384 miliar. Sebab pendapatan bank syariah ini Rp 19,2 triliun tahun lalu.
Namun, UU Pelindungan Data Pribadi baru akan berlaku penuh dua tahun sejak diundangkan pada 17 Oktober 2022. Itu artinya, berlaku pada 17 Oktober 2024. Selain itu, perlu pemeriksaan lebih lanjut mengenai benar tidaknya data bocor dan apakah ada data pribadi pengguna yang terkena dampak
