NASIONAL

Serangan Siber Masih Menjadi Ancaman

JAKARTA — Perbaikan instrumen hukum berupa pengesahan Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi ternyata belum efektif membendung kebocoran data pribadi. Sampai saat ini, serangan siber, terutama pencurian data pribadi, masih menjadi ancaman. Pemerintah diharapkan dapat mengoptimalkan penegakan hukum dengan memberikan sanksi yang dapat menimbulkan efek jera bagi para pelaku kejahatan siber.

Serangan siber terbaru dialami PT Bank Syariah Indonesia Tbk (BSI). Data sebesar 1,5 terabita yang di antaranya memuat sembilan basis data berisi informasi pribadi lebih dari 15 juta pelanggan dan pegawai BSI diduga bocor. Data itu mencakup, antara lain, nama, alamat, informasi dokumen, nomor kartu, nomor telepon, dan transaksi.

Dilansir dari Kompas.id, Kelompok peretas ransomware LockBit 3.0 mengklaim bertanggung jawab atas peretasan data BSI itu. Dalam tangkapan layar sebuah situs yang beredar di Twitter.

Sabtu (13/5/2023), kelompok itu menyebut mereka menyerang BSI sejak Senin (8/5/2023) lalu. Mereka juga mengungkapkan bahwa serangan itu telah berdampak pada berhentinya semua layanan BSI.

Data lain yang juga diklaim dicuri ialah dokumen keuangan, dokumen hukum, hingga kata sandi (password) untuk semua layanan internal dan eksternal yang digunakan di bank. Manajemen bank diberi waktu 72 jam untuk menghubungi LockbitSupp dan menyelesaikan urusan itu.

Dalam pengumuman itu, peretas juga mengancam akan menjual data yang telah dicuri ke situs gelap (dark web) jika manajemen tidak menghubungi sesuai tenggat yang diberikan. Peretas juga mengancam bahwa data perusahaan akan dipublikasikan pada Senin, 15 Mei 2023, pukul 21.09 UTC atau Selasa, 16 Mei, pukul 04.09 WIB.

Kebocoran data pribadi sebelumnya juga dialami oleh Badan Penyelenggara Jaminan Sosial (BPJS) Ketenagakerjaan. Pada 13 Maret lalu, pemilik akun Twitter @p4c3n0g3 mengunggah informasi bahwa Bjorka, peretas yang kerap membocorkan data pribadi, memiliki data pribadi berkapasitas 5 gigabita berisi nomor induk kependudukan (NIK), nama lengkap, tanggal lahir, alamat, nomor telepon seluler, e-mail, jenis pekerjaan, dan nama perusahaan peserta BPJS Ketenagakerjaan.

Terus berulang

Peneliti Periksa Data, Arie Sembiring, mengatakan, persoalan kebocoran data ini adalah masalah klasik yang terus berulang. Fenomena ini menunjukkan bahwa selama ini langkah penegakan hukum ataupun administrasi yang dilakukan pemerintah belum optimal.

Kebocoran data yang membahayakan publik terus terjadi, tetapi tidak ada sanksi dari pemerintah yang dapat memberikan efek jera. Padahal, saat ini sudah ada regulasi yang mengatur perlindungan data pribadi, yakni UU Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (PDP).

UU PDP sebenarnya telah mengatur langkah-langkah untuk melindungi data pribadi masyarakat dari peretasan. UU itu mengamanatkan pembentukan lembaga penyelenggara perlindungan data pribadi (Pasal 58). Tak hanya merumuskan kebijakan dan strategi perlindungan data pribadi, lembaga itu juga bertugas mengawasi sekaligus menegakkan hukum administratif terhadap pelanggar.

Lembaga itu juga berwenang mengawasi kepatuhan pengendali data pribadi serta menjatuhkan sanksi atas pelanggaran perlindungan data pribadi yang dilakukan pengendali data pribadi dan atau prosesor data pribadi.

Namun, sampai saat ini, lembaga penyelenggara perlindungan data pribadi belum juga terbentuk. Ini karena UU PDP membutuhkan masa transisi selama dua tahun sebelum berlaku efektif.

Direktur Eksekutif Information Communication Technology (ICT) Institute Heru Sutadi mengungkapkan, persoalan peretasan di Indonesia meningkat, baik secara kuantitas maupun kualitas, dalam 2-3 tahun terakhir.

”Kejadian seperti ini tak bisa terus-menerus dibiarkan dan kita butuh satgas keamanan siber. Apalagi, misal yang diserang perbankan atau industri keuangan seperti ini, nilai (kerugian)-nya sangat besar,” ujarnya.

Sudah pulih

Laporan gangguan sistem elektronik BSI sudah diterima Badan Siber dan Sandi Negara (BSSN). Juru Bicara BSSN Ariandi Putra mengatakan, dari laporan yang diterima BSSN, data BSI sudah dapat dipulihkan pada 8 Mei pukul 10.00 WIB. Namun, untuk memenuhi aspek keamanan dilakukan penundaan aktivasi sampai 9 Mei 2023. Semua layanan perbankan perseroan sudah berangsur normal dan pulih sejak Kamis lalu.

Kepala Eksekutif Pengawas Perbankan Otoritas Jasa Keuangan (OJK) Dian Ediana Rae juga menyatakan bahwa saat ini layanan BSI sudah berjalan normal secara bertahap melalui delivery channel yang tersedia. Tim pengawas dan pemeriksa teknologi informasi OJK terus melakukan komunikasi dan koordinasi untuk mengevaluasi sumber gangguan layanan yang dialami BSI. OJK juga meminta BSI untuk melakukan percepatan penyelesaian audit forensik yang saat ini sedang berjalan.

Tak hanya itu, OJK juga mendukung langkah BSI untuk mengedepankan stabilisasi dan peningkatan layanan kepada nasabah, antara lain melalui perluasan layanan weekend banking. Lebih jauh, OJK meminta BSI untuk mengoptimalkan pemberian tanggapan atas pengaduan yang diterima dari nasabah dan masyarakat.

Direktur Utama BSI Hery Gunardi menegaskan, pihaknya telah meningkatkan dan melakukan perbaikan pengamanan sistem teknologi informasi perseroan. Hal tersebut dilakukan berdasarkan pedoman dan standar yang ditetapkan. ”Prioritas utama kami menjaga data dan dana nasabah,” ujarnya.

BSI juga telah memperkuat keamanan teknologi perseroan di divisi khusus yang berada di bawah CISO (Chief Information and Security Officer). ”CISO ini kerjanya sama seperti satpam fisik, melakukan ronda. Tapi, ronda dari sisi teknologi. CISO akan melihat titik-titik weak point yang harus ditutup. Itu adalah satu upaya untuk melindungi data nasabah,” ujarnya.

Meski begitu, pakar teknologi informasi Alfons Tanujaya mengingatkan, ancaman peretas BSI bukan sekadar gertak sambal. Ia menduga peretasan sudah terjadi jauh sebelum 8 Mei 2023. Pasalnya, pencurian data sebesar 1,5 terabita membutuhkan waktu yang sangat panjang. Diduga, aksi peretas terjadi sejak libur Lebaran.

Arie Sembiring menambahkan, peretasan seharusnya bisa dideteksi lebih awal jika sistem pencegahan serangan siber di BSI berfungsi dengan baik.

Oleh karena itu, menurut Arie, kasus kebocoran data ini harus diinvestigasi secara serius. Sebab, ada kemungkinan keterlibatan oknum dari dalam sehingga kebocoran data 1,5 gigabita itu tidak terdeteksi. (KOM)

Tinggalkan Balasan

Situs ini menggunakan Akismet untuk mengurangi spam. Pelajari bagaimana data komentar Anda diproses.

Copy Protected by Chetan's WP-Copyprotect.