Dugaan Kebocoran Data BSI Jadi Ujian Perlindungan Data Pribadi

JAKARTA - PT Bank Syariah Indonesia Tbk (BSI) diduga mengalami serangan ransomware yang dilakukan oleh kelompok hacker Lockbit 3.0 pada Senin (8/5) lalu. Insiden ini diklaim telah berhasil mencuri 1,5 TB data nasabah, dokumen finansial, dokumen legal, perjanjian kerahasiaan, serta password akses internal dan layanan perusahaan.

Sementara itu, data nasabah yang diduga bocor terdiri atas nama, nomor handphone, alamat, nomor rekening, saldo rekening rata-rata, riwayat transaksi, pekerjaan, tanggal pembukaan rekening, dan lain-lain.

Akibat serangan ini, layanan ATM dan BSI Mobile juga mengalami lumpuh selama beberapa hari, sehingga banyak nasabah yang tidak dapat melakukan transaksi.

Salah satu yang merasakan dampak tersebut ialah Winda Maharani (27). Kepada Validnews, Rabu (17/5), dirinya bercerita bahwa ia tak dapat mengakses BSI Mobile pada Kamis (10/5).

Baca Juga: Data BSI Bocor, OJK: Bank Sudah Lakukan Langkah Mitigasi Risiko Siber

Padahal, Winda ingin mengecek saldo di rekeningnya. Ia ingin memastikan saldo tidak mengalami kekurangan. Maklum, Winda menggunakan BSI untuk menabung.

"Waktu itu lagi iseng mau cek saldo, eh enggak bisa," keluh Winda yang telah menjadi nasabah BSI sejak tiga tahun lalu.

Dirinya semakin was-was saat melihat pemberitaan di media. Dia pun coba mengajukan keluhan ke BSI, namun tidak mendapat tanggapan. Selang beberapa waktu kemudian, layanan BSI baru kembali normal.

Meski sempat mengalami kendala, Winda mengakui belum ada keinginan untuk berpindah bank. Ia masih ingin menyimpan uang di bank gabungan dari tiga syariah milik bank BUMN ini.

Winda berharap ke depan agar sistem keamanan BSI dapat diperkuat. Hal ini agar kejadian serupa tidak terulang kembali.

"Tolong lebih diketatkan lagi keamanannya, sistemnya mesti dimantepin lagi biar enggak kecolongan," ujarnya.

Varian Lebih Canggih
Direktur Eksekutif Lembaga Studi dan Advokasi Masyarakat (ELSAM), Wahyudi Djafar menjelaskan bahwa LockBit 3.0 merupakan varian lebih canggih dari jenis LockBit sebelumnya.

"LockBit 3.0 dapat mengumpulkan sistem informasi, seperti nama, host, konfigurasi host, informasi domain, konfigurasi local drive, berbagi jarak jauh, dan perangkat penyimpanan eksternal," kata Wahyudi dalam keterangan resmi yang diterima Validnews, Rabu (17/5).

Analisis America’s Cyber Defense Agency menyebutkan, LockBit jenis ini juga mampu menghentikan layanan, memberikan perintah, menghapus file, serta mengenkripsi data yang disimpan ke perangkat lokal atau jarak jauh.

Akibatnya, kejadian ini telah merugikan nasabah dalam beberapa bentuk pelanggaran, sebagai dampak dari pencurian data, termasuk risiko kerugian reputasi subjek data, hilangnya kerahasiaan dan integritas data pribadi, dan bahkan potensi kerugian finansial.

Dengan demikian, insiden keamanan siber ini menunjukan tiga level serangan sekaligus. Yakni, confidentiality breach (pelanggaran kerahasiaan), integrity breach (pelanggaran integritas), sekaligus availability breach (pelanggaran ketersediaan), akibat hilangnya kontrol atas akses.

UU PDP
Menurut Wahyudi, periode transisi UU PDP memang menjadi masa kritis dalam memastikan kepatuhan pengendali dan prosesor data untuk menerapkan standar perlindungan data pribadi, termasuk juga respon dari otoritas dari setiap insiden yang terjadi.

"Risiko pembiaran kemungkinan besar terjadi karena aturan peralihan UU PDP mengharuskan adanya penyesuaian berbagai regulasi terkait perlindungan data pribadi, termasuk kelembagaannya. Apalagi, khusus di sektor keuangan dan perbankan, telah ada sejumlah regulasi dan kebijakan yang relatif mature dalam penerapannya," jelasnya.

Regulasi tersebut adalah Peraturan OJK No. 11/POJK.03/2022 tentang Penyelenggaraan Teknologi Informasi oleh Bank Umum (POJK PTI). Kemudian, SE OJK No. 21/SEOJK.03/2017 tentang Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum (SE OJK 21/2017). Serta, SE OJK No. 29/SEOJK.03/2022 tentang Ketahanan dan Keamanan Siber bagi Bank Umum (SE OJK 29/2022).

"Berbagai kebijakan tersebut bersanding dengan sejumlah regulasi terkait sistem elektronik, yang secara khusus mengatur perlindungan data pribadi, seperti PP No. 71/2019 tentang Penyelenggaraan Sistem dan Transisi Elektronik (PP PSTE) dan Permenkominfo No. 20/2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik (Permenkominfo PDPSE)," tutur dia.

Baca Juga: Negosiasi Gagal, BSI Diminta Ambil Langkah Lindungi Nasabah

Oleh karena itu, kata Wahyudi, dalam masa transisi implementasi UU PDP, untuk memastikan perlindungan terhadap hak-hak subjek data.

"Semestinya otoritas berwenang tetap merujuk pada sejumlah regulasi di atas," tegasnya.

Kehadiran UU PDP dapat menjadi rujukan tambahan dalam mengoptimalkan langkah-langkah perlindungan data pribadi. Misalnya, dia mencontohkan, terkait dengan langkah-langkah yang harus dilakukan ketika terjadi kegagalan dalam perlindungan data pribadi, termasuk kewajiban untuk memberikan notifikasi.

Mengacu pada regulasi saat ini, merespon kegagalan perlindungan data yang terjadi, BSI sebagai pengendali data setidaknya wajib melakukan beberapa hal.

Pertama, memberikan notifikasi kepada subjek data paling lambat 3x24 jam, termasuk kepada masyarakat mengingat insiden ini terkait dengan layanan publik, mengacu pada Pasal 46 UU PDP. Problemnya dalam pasal ini memang tidak diatur perihal hitungan 3x24 jam sejak kapan. Tapi, menjawab ketidakjelasan ini dapat merujuk pada Permenkominfo 20/2016 dengan menghitung periode setelah insiden.

"Bahkan, POJK PTI mewajibkan adanya notifikasi awal paling lambat 1x24 jam serta melaporkan insiden TI tersebut paling lama lima hari kerja setelah insiden pada OJK," ucap Wahyudi.

Selain itu, Surat Edaran OJK No. 29/SEOJK.03/2022 mengamanatkan apabila otoritas lain (Kominfo/BSSN), mengatur jangka waktu penyampaian notifikasi awal dan/atau laporan insiden siber lebih lama dari jangka waktu sebagaimana diatur dalam POJK PTI, maka harus menyampaikan notifikasi awal dan/atau laporan insiden siber kepada OJK.

Kedua, melakukan pemulihan, sebagaimana mengacu pada UU PDP, PP 71/2019, Permenkominfo 20/2016, maupun juga POJK PTI yang mewajibkan bank/lembaga keuangan untuk memiliki rencana pemulihan bencana untuk memastikan kelangsungan operasional bank tetap berjalan selama insiden.

"BSI harus memastikan rencana penanggulangan dan pemulihan sesuai dengan rencana kelangsungan usaha (business continuity plan), rencana pemulihan bencana (disaster recovery plan), crisis management plan, dan/atau kebijakan atau rencana Bank lainnya yang terkait," katanya.

Apalagi, mengacu pada ketentuan Pasal 4 ayat (2) UU PDP, data keuangan pribadi merupakan bagian dari data pribadi yang spesifik (sensitif), sehingga memerlukan tingkat perlindungan yang lebih tinggi, termasuk ketika terjadi kegagalan dalam perlindungan data, juga memerlukan langkah-langkah khusus dalam penanganannya.