Kominfo Bersama BSSN Selidiki Insiden Kebocoran Data Pribadi BSI
Insiden dugaan kebocoran data Bank Syariah Indonesia terjadi di tengah masa transisi UU No 27/2022 tentang Pelindungan Data Pribadi. Risiko pembiaran insiden ini kemungkinan besar terjadi.
Oleh
MEDIANA
·4 menit baca
JAKARTA, KOMPAS — Dugaan kebocoran data yang terjadi di Bank Syariah Indonesia tengah diselidiki oleh pemerintah. Kementerian Komunikasi dan Informatika akan berkoordinasi dengan Badan Sandi dan Siber Negara untuk menginvestigasi masalah tersebut. Insiden ini berpotensi menyebabkan risiko kerugian reputasi subyek data, hilangnya kerahasiaan dan integritas data pribadi, serta potensi kerugian finansial.
Direktur Jenderal Informasi dan Komunikasi Publik Kementerian Kominfo, Usman Kansong, saat dikonfirmasi, mengatakan, ihwal kebocoran data berkaitan dengan keamanan siber dan ini merupakan wewenang Badan Sandi dan Siber Negara (BSSN). Sebagai regulator, Kementerian Kominfo akan berkoordinasi dengan BSSN.
Menurut dia, pengenaan sanksi atas segala insiden kebocoran data pribadi akan dilakukan oleh Kementerian Kominfo. Hal ini sesuai Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik.
“Sanksi atas kebocoran data pribadi berupa teguran sampai penutupan penyelenggara sistem elektronik. Sampai sekarang, sanksi belum diputuskan sebab kami masih menelusuri. Kami berharap secepatnya,” ujar Usman, Selasa (16/5/2023), di Jakarta.
Sebelumnya, pada Senin (8/5), Bank Syariah Indonesia (BSI) mengalami serangan perangkat keras perusak atau ransomware yang dilakukan oleh kelompok peretasLockbit 3.0. Pelaku mengklaim berhasil mencuri 1,5 terabite data nasabah, dokumen finansial, dokumen legal, perjanjian kerahasiaan, serta kata kunci (password) akses internal dan layanan perusahaan.
Data nasabah yang diduga bocor terdiri atas nama, nomor telepon seluler, alamat, nomor rekening, saldo rekening rata-rata , riwayat pekerjaan, serta tanggal pembukaan rekening. Akibat serangan ini, layanan anjungan tunai mandiri (ATM) dan BSI Mobile lumpuh beberapa hari. Dalam keterangannya, BSI menginformasikan layanan BSI Mobile baru pulih pada Kamis (11/5), sementara layanan ATM telah normal sehari setelah serangan.
Varian LockBit 3.0 lebih canggih dibanding jenis LockBit sebelumnya. LockBit 3.0 dapat mengumpulkan sistem informasi seperti nama, host, konfigurasi host, local drive, domain, berbagi jarak jauh, dan perangkat penyimpanan eksternal. Selain itu, LockBit 3.0 mampu menghentikan layanan, memberikan perintah, menghapus data, dan mengenkripsi data yang disimpan ke perangkat lokal atau jarak jauh.
Transisi
Direktur Eksekutif Lembaga Studi dan Advokasi Masyarakat (ELSAM) Wahyudi Djafar mengatakan, dugaan kebocoran data yang dialami oleh BSI merugikan nasabah karena terjadi beberapa bentuk pelanggaran sebagai dampak dari pencurian data. Misalnya, risiko kerugian reputasi subyek data, hilangnya kerahasiaan dan integritas data pribadi, serta potensi kerugian finansial.
“Insiden ini menunjukkan tiga level serangan sekaligus, yakni kerahasiaan, integritas, dan ketersediaan data,” ucap Wahyudi.
Menurut Wahyudi, saat ini merupakan periode transisi Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP). Periode transisi biasanya menjadi masa kritis karena kepatuhan pengendali dan prosesor data harus menerapkan standar pelindungan data pribadi harus dipastikan, termasuk respons pemerintah dan otoritas dari setiap insiden yang terjadi. Risiko pembiaran insiden kemungkinan besar terjadi karena aturan peralihan UU PDP mengharuskan ada penyesuaian berbagai regulasi terkait pelindungan data pribadi dan kelembagaannya.
Sejauh ini, di sektor keuangan dan perbankan telah ada sejumlah regulasi dan kebijakan yang relatif matangdalam penerapannya, seperti Peraturan Otoritas Jasa Keuangan (OJK) No 11/POJK.03/2022 tentang Penyelenggaraan Teknologi Informasi oleh Bank Umum (POJK PTI), Surat Edaran OJK No 21/SEOJK.03/2017 tentang Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum (SE OJK 21/2017), Surat Edaran OJK No 29/SEOJK.03/2022 tentang Ketahanan dan Keamanan Siber bagi Bank Umum (SE OJK 29/2022).
Berbagai kebijakan tersebut bersanding dengan sejumlah regulasi terkait sistem elektronik, yang secara khusus mengatur pelindungan data pribadi, seperti PP No 71/2019 dan Peraturan Menteri Kominfo Nomor 20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik (Permenkominfo PDPSE).
Untuk memastikan perlindungan dan pemenuhan hak-hak subyek data, ELSAM mendesak agar BSI segera memberikan notifikasi perihal terjadinya kegagalan pelindungan data pribadi kepada nasabah tanpa penundaan yang tidak perlu. OJK segera melakukan evaluasi langkah mitigasi, memastikan pemutakhiran rencana pemulihan bencana BSI, dan rencana pemulihan sistem teknologi informasi dari industri perbankan.
Lalu, kepada Kementerian Kominfo, Elsam mendesak agar kementerian ini dengan kewenangan pengawasan yang dimilikinya sesuai Pasal 35 dalam PP No 71/2019 segera menginvestigasi dan menyelesaikan kasus secara transparan. Sementara BSSN perlu melakukan pemantauan dan investigasi juga, termasuk ikut memastikan audit keamanan.
"Meski masih masa transisi UU PDP, penanganan ini seharusnya tetap mengacu ke peraturan yang sudah ada. Langkah pertama yang harus dilakukan yaitu memberikan notifikasi kepada subjek data paling lambat 3x24 jam yang merujuk pada Permenkominfo No 20/2016 dengan menghitung periode setelah insiden dan POJK PTI mewajibkan adanya notifikasi awal paling lambat 1x24 jam serta melaporkan insiden tersebut paling lama lima hari kerja setelah insiden pada OJK,” imbuh Wahyudi.
Chairman lembaga riset keamanan siber Communication & Information System Security Research Centre (CISSReC) Pratama Persadha menambahkan, batas akhir yang diberikan geng ransomware LockBit 3.0 kepada BSI untuk membayarkan tebusan sudah lewat. Di dalam blog darkweb, mereka telah mempublikasikan data yang mereka peroleh beserta tangkapan layar.
Saat ini, tim CISSReC juga sedang berusaha mengunduh file yang dipublikasikan tersebut untuk dianalisis. Namun, jika dilihat dari tangkapan layar yang diberikan, file yang didapat oleh geng ransomware Lockbit 3.0 sepertinya bukan berasal dari server inti BSI dan lebih kepada data yang tersimpan di dalam komputer milik karyawan BSI, ditambah dalam tangkapan layarnya Lockbit 3.0 menyatakan bahwa mereka berhasil meretas perangkat salah satu staf BSI.
Senada dengan Wahyudi, Pratama juga menjelaskan bahwa kondisi sekarang merupakan masa transisi UU PDP sehingga pasal-pasal di dalam UU ini belum bisa diterapkan untuk insiden BSI. Jadi, hal yang perlu dilakukan secepatnya adalah audit dan investigasi digital forensik yang dilakukan oleh pihak BSI bekerja sama dengan otoritas terkait, seperti BSSN.