88 Persen Data Nasabah BSI Jadi Korban Ransomware: Refleksi Kegagalan Perlindungan Data Pribadi

Penyalahgunaan data pribadi dan serangan siber masih menjadi ancaman nyata meski Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi sudah berlaku. Dalam kasus serangan ransomware terbaru yang menimpa PT Bank Syariah Indonesia Tbk (BSI), diperlukan langkah penegakan hukum yang efektif untuk memberikan efek jera bagi para pelaku kejahatan siber.

Pada tanggal 13 Mei 2023, diketahui bahwa data sebesar 1,5 terabita dari BSI diduga bocor. Data tersebut mencakup informasi pribadi lebih dari 15 juta pelanggan atau 88 persen dari 17 data nasabah yang dimiliki serta pegawai BSI, termasuk nama, alamat, informasi dokumen, nomor kartu, nomor telepon, dan transaksi.

Kelompok peretas ransomware LockBit 3.0 mengklaim bertanggung jawab atas peretasan tersebut dan menyerang BSI sejak 8 Mei. Mereka juga mengklaim bahwa serangan itu telah menutup semua layanan BSI. Peretas memperingatkan bahwa data yang dicuri akan dijual di dark web jika manajemen BSI tidak merespons dalam 72 jam.

Situasi ini muncul setelah deretan kasus yang banyak menimpa lembaga pemerintah mulai Badan Penyelenggara Jaminan Sosial (BPJS) Ketenagakerjaan pada 13 Maret, di mana data pribadi peserta BPJS Ketenagakerjaan berkapasitas 5 gigabita diduga bocor. Adapula Bank Indonesia (BI) yang juga mengakui pernah terserang virus jahat ransomware pada awal Januari 2022 lalu. Berdasarkan data Kementerian Komunikasi dan Informatika, dalam tiga tahun terakhir ada 30 lembaga yang datanya dibobol.

Peneliti Periksa Data, Arie Sembiring, menilai bahwa masalah kebocoran data ini adalah persoalan klasik yang terus berulang. Menurutnya, penegakan hukum dan administrasi yang dilakukan pemerintah belum optimal. Meski UU Nomor 27 Tahun 2022 sudah mengatur perlindungan data pribadi, namun belum ada sanksi yang cukup membuat pelaku kejahatan merasa jera.

Sementara itu, Direktur Eksekutif Information Communication Technology (ICT) Institute, Heru Sutadi, menekankan perlunya peningkatan keamanan siber karena industri keuangan sangat vital untuk diperkuat keamanannya. “Kejadian seperti ini tak bisa terus-menerus dibiarkan dan kita butuh satgas keamanan siber,” ujarnya kepada inilah.com, Minggu (14/3/2023).

Kasus ini telah diterima oleh Badan Siber dan Sandi Negara (BSSN) dan menurut Juru Bicara BSSN Ariandi Putra, data BSI sudah dapat dipulihkan pada 8 Mei. Meski demikian, aktivasi ditunda hingga 9 Mei 2023 untuk memenuhi aspek keamanan.

Otoritas Jasa Keuangan (OJK) juga telah melakukan tindakan. Kepala Eksekutif Pengawas Perbankan OJK, Dian Ediana Rae, menyatakan bahwa layanan BSI sudah berjalan normal secara bertahap. OJK juga meminta BSI untuk mempercepat penyelesaian audit forensik yang saat ini sedang berlangsung.

Direktur Utama BSI, Hery Gunardi, menegaskan bahwa bank telah meningkatkan keamanan sistem teknologi informasi mereka. BSI juga telah memperkuat keamanan teknologi mereka melalui divisi khusus di bawah CISO (Chief Information and Security Officer). “CISO ini kerjanya sama seperti satpam fisik, melakukan ronda. Tapi, ronda dari sisi teknologi. CISO akan melihat titik-titik weak point yang harus ditutup. Itu adalah satu upaya untuk melindungi data nasabah,” ujarnya.

Namun, Alfons Tanujaya, pakar teknologi informasi, mengingatkan bahwa ancaman peretas BSI bukan sekadar ancaman kosong. Ia menduga peretasan sudah terjadi jauh sebelum 8 Mei 2023, karena pencurian data sebesar 1,5 terabita membutuhkan waktu yang sangat panjang. Arie Sembiring juga menambahkan, peretasan seharusnya bisa dideteksi lebih awal jika sistem pencegahan serangan siber di BSI berfungsi dengan baik.

Kasus ini menunjukkan pentingnya serius dalam melakukan investigasi kebocoran data. Ada kemungkinan keterlibatan oknum dari dalam sehingga kebocoran data 1,5 terabita itu tidak terdeteksi.

Serangan ini juga menggarisbawahi pentingnya penegakan hukum yang efektif dalam menangani serangan siber. Meski UU Nomor 27 Tahun 2022 sudah ada, masih perlu upaya lebih lanjut untuk memastikan efektivitas undang-undang tersebut, terutama dalam memberikan sanksi yang cukup membuat pelaku kejahatan merasa jera. Selain itu, pembentukan lembaga penyelenggara perlindungan data pribadi dan satgas keamanan siber menjadi langkah penting yang perlu segera dilakukan.