Bank Syariah Indonesia atau BSI diduga mengalami serangan Ransomware yang dilakukan oleh kelompok peretas internasional Lockbit 3.0 pada pekan lalu. Kejadian ini diduga berhasil mencuri 1,5 TB data pelanggan, dokumen keuangan, dokumen hukum, perjanjian kerahasiaan dan kata sandi untuk akses internal dan layanan perusahaan.
Terkait kejadian tersebut, Lembaga Studi dan Advokasi Masyarakat atau ELSAM mendesak BSI untuk memberikan penjelasan yang komprehensif kepada nasabah. Sementara itu, regulator diminta menilai kejadian tersebut dan memastikan perlindungan data pribadi, serta pemenuhan hak subjek data.
“BSI perlu memberikan pemberitahuan kepada subjek data paling lambat 3×24 jam, termasuk kepada masyarakat, karena kejadian ini terkait dengan pelayanan publik, mengacu pada Pasal 46 UU Perlindungan Data Pribadi,” tulis ELSAM dalam siaran pers, dikutip Kamis (18/5).
Selain itu, menerapkan pemulihan bencana untuk memastikan kelangsungan operasional bank saat terjadi insiden. BSI harus memastikan bahwa rencana respons dan pemulihan konsisten dengan rencana kesinambungan bisnis, rencana pemulihan bencana, rencana manajemen krisis, dll.
Selain itu, mengacu pada ketentuan Pasal 4 ayat (2) UU PDP, data keuangan pribadi merupakan bagian dari data pribadi yang bersifat spesifik (sensitif) yang memerlukan tingkat perlindungan yang lebih tinggi, termasuk ketika terjadi kegagalan perlindungan data, maka juga memerlukan tindakan khusus dalam penanganannya. .
Melalui pengumuman tertulis, ELSAM menghimbau para pemangku kepentingan untuk segera mengambil langkah-langkah sebagai berikut:
BSI segera memberikan pemberitahuan tertulis tentang kegagalan perlindungan data pribadi kepada pelanggan, tanpa penundaan yang tidak perlu. Pemberitahuan tersebut sekurang-kurangnya memuat informasi mengenai data pribadi yang telah diungkapkan, kapan dan bagaimana data tersebut diungkapkan, serta upaya penanganan dan pemulihan dari kegagalan tersebut. Hal ini sejalan dengan Pasal 46 ayat (2) Undang-Undang Perlindungan Data Pribadi (UU PDP).
BSI juga perlu memberikan penjelasan tentang informasi kontak yang dapat dihubungi oleh subjek data, serta langkah mitigasi yang dapat dilakukan oleh subjek data, untuk meminimalkan risiko kebocoran data.
Otoritas Jasa Keuangan (OJK) segera mengkaji langkah mitigasi dan memastikan pengkinian disaster recovery plan BSI sesuai dengan Peraturan OJK tentang Penerapan Teknologi Informasi. Selain itu, audit dan asesmen terhadap seluruh rencana penanggulangan dan pemulihan sistem teknologi informasi dari industri perbankan Kementerian Informasi dan Komunikasi (Kominfo) melalui otoritas pengawasannya sesuai Pasal 35 PP 71/2019 segera melakukan investigasi dan menyelesaikan kasus secara bertanggung jawab. Ini dilakukan dengan mengidentifikasi penyebab kegagalan perlindungan data pribadi, mengidentifikasi kerugian pada pengontrol, prosesor, dan subjek data. Selain itu, mengumumkan laporan hasil investigasi dan langkah-langkah yang telah diambil. Terakhir, pastikan bahwa proses memulihkan hak subjek data. Badan Siber dan Sandi Negara (BSSN) segera memantau dan menginvestigasi insiden keamanan siber yang dialami BSI, untuk mengidentifikasi sumber serangan, kelemahan sistem keamanan yang memungkinkan terjadinya serangan, serta langkah lanjutan yang harus dilakukan. perlu diambil. dilakukan.
Selain itu, BSSN juga perlu memastikan audit keamanan secara berkala, termasuk penerapan standar keamanan yang kuat untuk seluruh industri perbankan dan keuangan.
Sebelumnya, BSI diduga membocorkan data nasabah yang terdiri dari: nama, nomor handphone, alamat, nomor rekening, rata-rata saldo rekening, riwayat transaksi, pekerjaan dan tanggal pembukaan rekening. Akibat penyerangan ini, layanan ATM dan BSI Mobile lumpuh selama beberapa hari.
Dalam keterangannya, BSI menginformasikan bahwa layanan BSI Mobile telah pulih pada Kamis (11/5), sedangkan layanan ATM kembali normal sehari setelah penyerangan.
Sebagai varian yang lebih canggih dari tipe LockBit sebelumnya, LockBit 3.0 dapat mengumpulkan informasi sistem seperti nama, host, konfigurasi host, informasi domain, konfigurasi drive lokal, pembagian jarak jauh, dan perangkat penyimpanan eksternal.
Analisis Badan Pertahanan Siber AS menyatakan bahwa LockBit jenis ini juga mampu menghentikan layanan, mengeluarkan perintah, menghapus file, dan mengenkripsi data yang disimpan di perangkat lokal atau jarak jauh.
Akibatnya, insiden tersebut telah merugikan pelanggan dalam beberapa bentuk pelanggaran, akibat pencurian data, termasuk risiko kehilangan reputasi subjek data, hilangnya kerahasiaan dan integritas data pribadi, dan juga potensi kerugian finansial.
Insiden keamanan siber ini menunjukkan tiga tingkatan serangan sekaligus, yaitu pelanggaran kerahasiaan atau kerahasiaan, pelanggaran integritas atau pelanggaran integritas, dan pelanggaran ketersediaan atau pelanggaran ketersediaan karena kehilangan kendali atas akses.