Reporter: Nurtiandriyani Simamora | Editor: Herlina Kartika Dewi
KONTAN.CO.ID - JAKARTA. PT Bank Syariah Indonesia Tbk (BRIS) atau Bank BSI selama dua minggu terakhir menjadi buah bibir masyarakat di tanah air, khususnya para nasabahnya. Ini perihal masalah gangguan layanan hingga dugaan serangan siber ransomware yang dialami BSI dan mengancam kebocoran 1,5 TB dengan 15 juta data nasabah dan karyawan.
Berawal dari para nasabah Bank BSI yang mengeluhkan sejumlah layanan yang tidak dapat berfungsi dan digunakan sejak Senin (8/5) pagi. Akibatnya nasabah tidak dapat melakukan transaksi baik dengan menggunakan BSI mobile, mesin ATM hingga mencoba melakukan transaksi melalui teller di kantor cabang bank.
Merespon keluhan tersebut, manajemen Bank BSI tertanda Corporate Secretary melalui kanal sosial medianya di instagram @banksyariahindonesia dan @lifewithbsi dengan menyampaikan permohonan maaf atas gangguan tersebut dan mengaku bank sedang melakukan maintenance sistem sehingga tidak dapat diakses untuk sementara waktu dan akan kembali normal secepatnya.
Baca Juga: Tingkatkan Kepercayaan Nasabah, BSI Beri Promo Biaya BI Fast Rp 5
Selanjutnya pada Selasa (9/5) melalui kanal media sosial instagram tersebut, Bank BSI kembali menyampaikan bahwa layanannya sudah pulih untuk transaksi melalui kantor cabang dan sudah dapat menggunakan transaksi melalui mesin ATM BSI.
Corporate Secretary BSI Gunawan Arief Hartoyo dalam keterangan resminya mengatakan sekitar 1.200 unit ATM BSI sudah pulih secara bertahap dan dapat digunakan. Meski layanan BSI Mobile masih dalam pemulihan secara bertahap.
Dalam hal ini BSI memang tidak menyebutkan layanannya sudah pulih 100%. Manajemen baru mengklaim bahwa seluruh layanan sudah pulih pada Kamis, 11 Mei 2023.
Pada saat itu pula Direktur Utama BSI Hery Gunardi menduga penyebab error semua layanan digital BSI terjadi akibat serangan siber.
Setelahnya pada Sabtu, 13 Mei 2023 jagat media sosial dihebohkan dengan tweet dari akun @darktracer_int yang menyebutkan adanya kelompok peretas spesialis ransomware LockBit 3.0 yang mengaku sebagai pihak yang telah melakukan serangan ke sistem layanan perbankan BSI.
LoctBit juga memberikan ancaman kepada BSI agar segera menghubunginya untuk melakukan negosiasi terkait 1,5 TB data nasabah yang terancam akan disebarluaskan jika tidak memenuhi permintaannya hingga batas waktu yang diberikan yakni Selasa 16 Mei pukul 4 pagi.
Sementara itu hingga lewatnya batas waktu, media sosial kembali dihebohkan terkait postingan LockBit yang memperlihatkan daftar link yang terhubung dengan data-data perbankan.
Meski demikian saat ditanyai terkait hal tersebut, Wakil Direktur BSI Bob Tyasika Ananta mengatakan bahwa data aman.
"Insya Allah data dan dana nasabah amanlah," kata Bob kepada Kontan.co.id minggu lalu.
Bukan hanya itu, persoalan lainnya ditambah lagi dari tweet @RochmatPurwanto yang mengaku sebagai nasabah BSI dan telah kehilangan uangnya dari rekening sebesar Rp 378,25 juta dan setelah dilakukannya cek mutasi ternyata uang tersebut telah berpindah ke 3 rekening asing.
Dalam kanal media sosialnya di twitter, Rochmat bahkan menjelaskan kronologi dari upaya penyelesaian yang coba dia lakukan untuk menyelesaikan masalahnya, mulai dari mulai menelpon call center BSI hingga kantor cabang BSI hingga mengatakan akan menempuh jalur hukum untuk menggugat BSI.
Cuitan tersebut diunggah di tengah kabar gegernya masalah layanan BSI yang alami error dan serangan siber oleh kelompok yang mengaku LockBit dan mengklaim telah mencuri 1,5 TB data milik BSI.
Baca Juga: BSI Gandeng Askrindo Syariah untuk Perkuat Layanan Kustodian Syariah
Namun hal tersebut langsung direspon oleh manajemen BSI dimana kasus tersebut bukan karena adanya gangguan layanan BSI atau pencurian data seperti yang diklaim oleh LockBit.
Disampaikan bahwa nasabah terkena indikasi phising pada bulan April, jauh sebelum terjadinya kendala sistem layanan BSI pada 8 Mei lalu. Hal ini pun dibenarkan oleh Rochmat.
Hal ini pula yang didesak oleh Lembaga Studi dan Advokasi Masyarakat (ELSAM) kepada BSI dan pihak-pihak yang terkait yakni Otoritas Jasa Keuangan (OJK), Badan Siber Sandi Negara (BSSN) hingga Kementerian Informasi dan Komunikasi (Kominfo) yang berhubungan dengan hak-hak subjek data.
ELSAM menghimbau agar BSI berpegang pada imlementasi Undang-undang Perlindungan Data Pribadi (UU PDP) untuk memastikan pelindungan terhadap hak-hak subjek data, dan tetap merujuk pada sejumlah regulasi, seperti seperti Peraturan OJK, Peraturan Pemerintah No. 71/2019 tentang Penyelenggaraan Sistem dan Transisi Elektronik (PP PSTE), serta Permenkominfo No. 20/2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik (Permenkominfo PDPSE)./2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik (Permenkominfo PDPSE).
ELSAM mengatakan BSI harusnya segera memberikan notifikasi perihal terjadinya kegagalan pelindungan data pribadi kepada nasabah tanpa penundaan yang tidak perlu dan secara tertulis, yang setidaknya memuat informasi mengenai data pribadi yang terungkap, kapan, dan bagaimana data tersebut terungkap, serta upaya penanganan dan pemulihan atas kegagalan.
Selain itu BSI juga harus memberikan penjelasan mengenai kontak informasi yang dapat dihubungi oleh subjek data, juga langkah-langkah mitigasi yang dapat dilakukan untuk dapat meminimalisir risiko akibat kebocoran data.
Sementara itu Badan Siber dan Sandi Negara (BSSN) mengatakan sejak awal BSI mengalami ganguan layanan pada 8 Mei, BSSN sudah mengetahui hal tersebut. Untuk itu BSSN telah melakukan komunikasi dan koordinasi kepada pihak BSI secara internal terkait upaya pemulihan sistem berkenaan dengan gangguan yang dialami.
BSSN juga mengatakan hasil koordinasi yang disampaikan dimana tim insiden siber BSI melakukan penanganan dan perbaikan sistem secara mandiri.
"BSI menyampaikan bahwa recovery berhasil dilakukan pada tanggal 8 Mei 2023 pukul 10.00 WIB, namun untuk memenuhi aspek keamanan dilakukan penundaan aktivasi sampai dengan 9 Mei 2023," kata Juru Bicara BSSN Ariandi Putra kepada Kontan, Sabtu (20/5).
Sesuai dengan amanat PP No.71 Tahun 2019 pasal 24 (3), “Dalam hal terjadi kegagalan atau gangguan sistem yang berdampak serius sebagai akibat perbuatan dari pihak lain terhadap Sistem Elektronik, Penyelenggara Sistem Elektronik wajib mengamankan Informasi Elektronik dan/atau Dokumen Elektronik dan segera melaporkan dalam kesempatan pertama kepada aparat penegak hukum dan Kementerian atau Lembaga terkait.”
Baca Juga: BSI Gandeng Kemenag Gelar Manasik Akbar, Diikuti 165 RIbu Calon Jemaah Haji
Oleh karenanya, BSI akan memberikan laporan kepada POLRI, BI, OJK, dan BSSN.
"BSSN senantiasa berkoordinasi intens dengan pihak BSI dan siap untuk memberikan asistensi serta rekomendasi peningkatan keamanan terhadap penyelenggaraan sistem elektronik di BSI," kata Ariandi.
Lebih lanjut BSSN menegaskan sesuai dengan amanat UU ITE Pasal 15 ayat (2), bahwa Penyelenggara Sistem Elektronik bertanggung jawab terhadap Penyelenggaraan Sistem Elektroniknya.
"BSSN dalam hal ini mendorong BSI selaku penyelenggara sistem elektronik untuk senantiasa memberikan update informasi yang akurat secara berkala kepada publik," kata Ariandi.
Sementara itu Kepala Eksekutif Pengawas Perbankan (KEPP) Otoritas Jasa Keuangan (OJK) Dian Ediana Rae menyampaikan tim pengawas dan pemeriksa IT OJK telah melakukan komunikasi dan koordinasi untuk mengevaluasi sumber gangguan layanan yang dialami BSI dan meminta BSI untuk melakukan percepatan penyelesaian audit forensik yang saat ini sedang berjalan.
OJK meminta BSI untuk mengoptimalkan pemberian tanggapan atas pengaduan yang diterima dari nasabah dan masyarakat, antara lain dengan mengacu pada Peraturan Otoritas Jasa Keuangan (POJK) Nomor 6/POJK.07/2022 tentang Perlindungan Konsumen dan Masyarakat di Sektor Jasa Keuangan.
"Industri perbankan perlu senantiasa memperhatikan tata kelola, keamanan informasi, dan pelindungan konsumen dalam menghadapi tantangan penggunaan teknologi informasi di era digital," kata Dian minggu lalu.
Sebagai pedoman, OJK telah menerbitkan Peraturan Otoritas Jasa Keuangan Nomor 11/POJK.03/2022 tentang Penyelenggaraan Teknologi Informasi oleh Bank Umum dan Surat Edaran Otoritas Jasa Keuangan Nomor 21/SEOJK.03/2017 tentang Penerapan Manajemen Risiko Dalam Penggunaan Teknologi Informasi oleh Bank Umum.
Industri perbankan dituntut untuk meningkatkan ketahanan Sistem Elektronik yang dimiliki dan mampu memulihkan keadaan pasca-terjadinya gangguan layanan.
OJK mengatakan berupaya terus memastikan ketahanan digital perbankan Indonesia sesuai dengan Surat Edaran Otoritas Jasa Keuangan Nomor 29/SEOJK.03/2022 tentang Ketahanan dan Keamanan Siber bagi Bank Umum untuk dipedomani dengan konsisten oleh seluruh perbankan.
Kepala Eksekutif Pengawas Perilaku Pelaku Usaha Jasa Keuangan, Edukasi dan Pelindungan Konsumen (KE PEPK) OJK Friderica Widyasari Dewi menyampaikan bahwa OJK memberikan perhatian besar kepada pelindungan nasabah dan konsumen.
"Kita berharap agar sistem IT yang digunakan bank semakin memperkuat aspek pelindungan konsumen. Masyarakat juga harus berhati-hati dalam melakukan transaksi, mewaspadai potensi penipuan maupun tindak kejahatan lainnya yang mengatasnamakan suatu bank, serta melakukan verifikasi kebenaran informasi," katanya.
Berkaca pada kejadian ini juga, manajemen BSI mengimbau para nasabah untuk tetap menjaga sejumlah akses rahasia. Misalnya kata sandi, Personal Identification Number (PIN) hingga one time password (OTP).
Saat ini layanan BSI sudah pulih seluruhnya dimana BSI juga telah membayarkan pelunasan dana haji dimana tercatat pelunasan 161.455 calon jemaah ibadah haji 1444 H atau 100% dari kuota haji yang diberikan pada BSI.
BSI juga telah melayani transaksi MPN (Modul Penerimaan Negara) dan Sistem Perbendaharaan Anggaran Negara (SPAN) Kementerian Keuangan Republik Indonesia.
Sebelumnya di sosial media para nasabah BSI ramai berkomentar terkait kekecewaan mereka atas hal yang menimpa BSI. Atas keraguan pada sisi keamanannya, para netizen yang mengaku nasabah ini akan memindahkan seluruh dananya kepada bank lain dan akan berhenti menggunakan BSI.
Menyoroti persoalan yang menimpa BSI selama 2 minggu terakhir ini, Lembaga Studi dan Advokasi Masyarakat (ELSAM) menyampaikan ada beberapa hal yang perlu diberitahukan kepada masyarakat terkhusus nasabah BSI, dimana Kominfo dengan kewenangan pengawasan yang dimilikinya berdasarkan Pasal 35 PP 71/2019 seharusnya segera melakukan proses investigasi dan menyelesaikan kasus secara akuntabel, dengan mengidentifikasi penyebab kegagalan pelindungan data pribadi, mengidentifikasi kerugian baik pada pengendali, prosesor, maupun subjek data, serta mengumumkan laporan hasil investigasi secara akuntabel, serta langkah-langkah yang sudah dilakukan.
Sementara itu BSSN harus segera melakukan pemantauan dan investigasi terkait insiden keamanan siber yang dialami BSI, untuk dapat diidentifikasi sumber serangan, kerentanan sistem keamanan yang memungkinkan terjadinya serangan, serta langkah lanjutan yang harus dilakukan.
BSSN juga perlu memastikan adanya audit keamanan secara berkala, termasuk juga penerapan standar keamanan yang kuat bagi keseluruhan industri perbankan dan keuangan.
Di sisi yang sama, Indonesia Cyber Security Forum ikut merespon perihal insiden Informasi Teknologi (IT) yang dialami Bank BSI, dimana ini bukan pertama kalinya di alami industri perbankan tanah air, dan dipastikan akan ditangani dengan baik oleh tim berpengalaman.
Namun memang proses assesment dan forensik digitalnya menurut Chairman Indonesia Cyber Security Forum, Ardi Sutedja perlu memakan waktu cukup panjang, dan tidak bisa cepat.
"Karena butuh kehati-hatian melihat apa saja yang terdampak. Masyarakat perlu bersabar karena proses restorasi perlu penilaian menyeluruh yang memakan waktu," kata Ardi minggu lalu.
Lebih lanjut Ardi mengatakan sejak tim restorasi sudah masuk ke BSI dan OJK juga sudah mengawasi, nasabah tidak perlu khawatir lagi terhadap dana simpanannya.
Cek Berita dan Artikel yang lain di Google News
