Baca berita dengan sedikit iklan, klik di sini
Poin penting
Klaim kelompok peretas LockBit yang menyerang sistem TI BSI diduga valid.
Nasabah BSI diimbau segera mengganti password dan menerapkan verifikasi ganda saat bertransaksi.
BSI membantah serangan siber LockBit.
JAKARTA - PT Bank Syariah Indonesia Tbk (BSI) dibayangi risiko kebocoran data setelah mengalami gangguan layanan secara serentak sejak 8 Mei lalu yang diduga kuat berasal dari serangan siber ransomware. Berdasarkan data yang dirilis dalam situs deep web, grup peretas asal Rusia, LockBit, mengklaim bertanggung jawab atas gangguan serangan ransomware yang dialami BSI.
Pakar keamanan siber dari Vaksincom, Alfons Tanujaya, menduga klaim LockBit tersebut valid dengan total data yang dicuri dari serangan itu diperkirakan mencapai 1,5 terabita. “LockBit bisa kasih buktinya, dari direktori nama komputer hingga file-file yang berisi data nasabah itu ada capture screen dengan total 21 screen dilampirkan dalam pernyataan yang dirilis,” ujarnya kepada Tempo, kemarin, 14 Mei 2023.
Baca berita dengan sedikit iklan, klik di sini
Baca: Dugaan Serangan Siber Ransomware ke BSI
Adapun data nasabah yang diduga bocor itu antara lain nama, nomor ponsel, alamat, saldo rekening, riwayat transaksi, tanggal pembukaan rekening, informasi pekerjaan, dan sejumlah data lainnya. Data itu diklaim berisikan 15 juta data nasabah BSI, bahkan termasuk password untuk mengakses Internet dan layanan yang digunakan. LockBit pun memberi tenggat sampai 15 Mei 2023, pukul 21:09:46 UTC. Jika sampai waktu tersebut BSI tidak membayar tebusan, data-data yang ada akan dibocorkan.
Menurut Alfons, ada beberapa titik celah yang dapat menjadi pintu masuk serangan ransomware pada BSI. Salah satunya adalah terbukanya celah keamanan yang kemudian dimanfaatkan peretas untuk menyusup masuk. “Misalnya ada remote desktop yang tidak diamankan dengan baik atau akses intranet bank digunakan untuk mengakses Internet luar,” katanya.
Sebab, kata dia, pada dasarnya, pelaku ransomware akan berusaha semaksimal mungkin untuk mengenkripsi data penting, backup, dan sistem yang bertujuan mengganggu jalannya perusahaan. Dengan demikian, ransomware akan mengunci data dan akses sehingga sistem operasional menjadi kacau. “Pada akhirnya, BSI tampaknya mampu melakukan pemulihan sendiri dari data-data backup mereka,” ujarnya. Adapun layanan BSI dilaporkan mulai pulih secara bertahap sejak Jumat pekan lalu. BSI menargetkan seluruh transaksi nasabah berjalan normal pada 15 Mei 2023.
Baca berita dengan sedikit iklan, klik di sini
Nasabah keluar dari ruang anjungan tunai mandiri (ATM) Bank Syariah Indonesia (BSI) di Meulaboh, Aceh Barat, Aceh, 14 Mei 2023. ANTARA/Syifa Yulinnas
Ancaman Kebocoran Data
Menurut Alfons, risiko kebocoran data tak dapat dihindari karena tidak ada sistem yang mampu menarik kembali data yang telah bocor di dunia maya. “Di Internet itu ada hukum yang berbunyi sekali data bocor, dia akan di sana selamanya. Jadi tidak mungkin membatalkan data yang bocor, copy-nya sudah ada di mana-mana,” ucapnya.
Hal senada diungkapkan pakar keamanan siber dari Communication & Information System Security Research Center (CISSReC), Pratama Persadha. Menurut dia, sudah ada bukti-bukti kuat yang mengindikasikan serangan ransomware yang menimpa BSI. “Jika cuma gangguan layanan karena permasalahan teknis atau perawatan rutin, hanya akan membutuhkan waktu dalam hitungan jam, tidak seperti ini,” kata dia.
Guna memastikan serangan ransomware tersebut, Pratama mengatakan harus menunggu hasil resmi audit serta investigasi forensik digital yang dilakukan BSI bekerja sama dengan otoritas terkait, seperti Badan Siber dan Sandi Negara. “BSI seharusnya memiliki business continuity management sehingga mengetahui prosedur yang harus dilakukan jika sistem utama layanan mengalami gangguan,” ucapnya. Sistem tersebut pun perlu direncanakan, diimplementasikan, dipelihara, serta disimulasikan secara berulang. Termasuk di dalamnya melakukan proses pencadangan data dan pemulihan. “Yang juga penting dilakukan adalah secara berkala melakukan asesmen terhadap keamanan siber dari sistem yang dimiliki.”
Direktur Eksekutif Indonesia ICT Institute, Heru Sutadi, menambahkan, perlu koordinasi dengan Kementerian Komunikasi dan Informatika bekerja sama dengan Badan Siber dan Sandi Negara serta OJK untuk memverifikasi dan mengevaluasi kasus yang terjadi pada BSI. “Dalam praktik dan sejarahnya memang tidak ada satu pun lembaga penyelenggara sistem elektronik yang mengakui bahwa sistemnya diretas, tidak ada yang benar-benar mengaku bahwa mereka terkena ransomware,” ucapnya.
Padahal penyampaian informasi yang transparan ke publik menjadi syarat mutlak dalam Undang-Undang Pelindungan Data Pribadi (PDP) yang baru dirilis. Begitu juga item Undang-Undang Informasi dan Transaksi Elektronik (ITE). “Padahal sudah jelas sistemnya bocor walau tidak diakui, tapi kemudian datanya kan disebar di dark web,” kata Heru.
Dia mengimbau nasabah BSI untuk segera mengganti password atau kata sandi dan senantiasa menerapkan verifikasi ganda dalam setiap transaksi agar tidak dirugikan lagi di kemudian hari. “Di sisi lain, di dalam UU PDP juga terdapat sanksi jika perusahaan tak dapat menjaga sistem data sehingga berakhir dengan kebocoran data. Namun sayangnya aturan ini baru berlaku pada 2024.”
Adapun Komisaris Independen BSI, Komaruddin Hidayat, membenarkan kabar adanya serangan siber di BSI. Namun dia membantah serangan siber tersebut dari LockBit. “Itu kabar hoaks, sudah recovery dan yang pasti data serta uang nasabah aman,” ucapnya.
Direktur Utama BSI, Hery Gunardi, mengungkapkan seluruh layanan perbankan perseroan sudah berangsur normal dan pulih, setelah melakukan perbaikan serta pengamanan sistem. “Gangguan sudah dapat dipulihkan segera dan ini merupakan respons recovery yang baik. Prioritas utama kami, menjaga data dan dana nasabah,” katanya.
Dia menambahkan, BSI juga terus memperkuat keamanan dan sistem teknologi perseroan dalam satu divisi khusus yang ditempatkan di bawah Chief Information and Security Officer (CISO). “Sistem ini kerjanya seperti satpam dari sisi teknologi. Dia akan melihat titik-titik kelemahan yang harus ditutup sebagai upaya melindungi data nasabah.”
RIANI SANUSI PUTRI | GHOIDA RAHMAH
- Akses edisi mingguan dari Tahun 1971
- Akses penuh seluruh artikel Tempo+
- Baca dengan lebih sedikit gangguan iklan
- Fitur baca cepat di edisi Mingguan
- Anda Mendukung Independensi Jurnalisme Tempo