Tumbangnya sistem TI BSI, antara penegakan hukum dan melawan serang siber

Layanan Bank Syariah Indonesia (BSI) mengalami gangguan yang lumayan lama di awal pekan ini. Nasabah dari Bank yang tengah dipoles untuk menarik investor asing masuk sebagai pemegang sahamnya itu bermasalah sejak Senin (8/5) dan kembali normal pada Jumat (13/5).

Mulanya, para nasabah mengeluhkan sulit atau bahkan tak bisa mengakses layanan perbankan BSI, baik ATM maupun mobile banking (m-banking), sejak Senin (8/5). Peristiwa ini sempat menjadi trending di media sosial.

BSI meminta maaf atas insiden ini dan mennyatakan tengah melakukan pemeliharaan sistem. Akibat proses itu, sistem tidak dapat diakses sementara waktu.

Corporate Secretary BSI Gunawan Arief Hartoyo mengklaim layanan ATM dan kantor cabang sudah normal bertahap per Senin sore. "Alhamdulillah, saat ini sekitar 1.200 unit ATM BSI pulih dan secara bertahap kantor-kantor BSI telah kembali beroperasi. Kami senantiasa akan memantau perkembangan secara berkelanjutan," ucapnya.

BSI juga mengaku menormalisasi layanan pada jaringan ATM dan kantor cabang pada Selasa (9/5). Nasabah pun disebut bisa melakukan transaksi di jaringan cabang dan ATM BSI di seluruh Indonesia. Secara bertahap, layanan BSI Mobile juga disebut sudah dapat diakses oleh nasabah dengan fitur-fitur dasar.

Meski demikian, keluhan soal sulitnya akses masih banyak mengemuka di media sosial. Direktur Utama BSI Hery Gunardi mengatakan sedang melakukan proses normalisasi dimana fokus utama untuk menjaga dana dan data nasabah tetap aman.

Ransomware
Sejumlah kalangan menduga BSI menjadi korban serangan ransomware kala isu ini mencuat. Benar saja, platform intelijen dan investigasi dark web yang aktif di Twitter, Dark Tracer, mengungkap kelompok ransomware Lockbit 3.0 terlibat dalam gangguan di BSI.

Dark Tracer juga melampirkan tangkapan layar pengumuman Lockbit 3.0 dalam cuitannya. "Kelompok ransomware LockBit mengaku bertanggung jawab atas gangguan layanan di Bank Syariah Indonesia (BSI). (Mereka) menyatakan bahwa itu (gangguan) adalah akibat dari serangan mereka," tulis @darktracer_int, Sabtu (13/5).

Dalam gambar yang diunggah Dark Tracer, hacker ini mengaku telah mencuri sekitar 1,5 TB (terabyte) data yang ada di dalam sistem bank. Adapun data tersebut diklaim memuat 15 juta data pengguna atau nasabah bank. "Mereka juga mengumumkan telah mencuri 15 juta data nasabah, informasi karyawan, dan sekitar 1,5 terabyte data internal," lanjut cuitnya.

Data pelanggan yang bocor diantaranya adalah nama, nomor ponsel, alamat, saldo di rekening, nomor rekening, history transaksi, tanggal pembukaan rekening, informasi pekerjaan, dan beberapa data lain.

LockBit adalah salah satu geng ransomware yang sangat aktif dan berbahaya seperti disebutkan oleh Kantor Polisi Kriminal Federal Jerman.

Sejumlah perusahaan di beberapa negara sempat jadi korban penyerangan, di antaranya pabrik ban Continental hingga perusahaan pertahanan besar Prancis, Thales Group.

Secara garis besar, ransomware adalah salah satu jenis malware alias viurs berbahaya yang menyerang sistem komputer. Cara kerjanya dengan melakukan enkripsi atau penguncian data korban. Hal itu membuat para korban tidak bisa mengakses data miliknya. Kemudian, seperti skenario hacker pada umumnya, mereka akan meminta uang tebusan agar korban bisa kembali mengaksesnya.

Serangan ransomware dapat menggunakan beberapa metode, untuk menginfeksi perangkat atau jaringan. Beberapa yang paling menonjol ialah email phishing dan rekayasa sosial lainnya.

Email phishing memanipulasi pengguna untuk mengunduh dan menjalankan sebuah file berbahaya yang dilampirkan oleh pengirim. Biasanya para hacker menyamarkannya dalam bentuk pdf, dokumen word atau lain sebagainya.

Mereka juga mengarahkan calon korban untuk mengunjungi suatu situs berbahaya. Di dalamnya, si peretas biasanya telah menyisipkan virus berbahaya.

Selain itu, para hacker turut memanfaatkan kerentanan sistem operasi dan perangkat lunak yang ada. Biasanya, geng ransomware membeli informasi tentang kelemahan zero-day dari peretas lain, lalu digunakan untuk merencanakan sebuah serangan.

Tak hanya itu saja, beberapa vektor lain yang dimanfaatkan oleh peratas juga berasal pencurian kredensial, menggunakan malware yang sudah dikembangkan, atau dari iklan digital di internet.

Parahnya lagi, penjahat dunia maya tidak perlu mengembangkan ransomware mereka sendiri. Hal ini mengingat, beberapa pengembang sengaja membagikan kode malware itu.

Nantinya saat peretas sudah mendapatkan uang tebusan dari korban, maka hasilnya dibagi dengan pengembang. Jadi pelaku tak perlu mengembangkan malware, dan pengembang bisa dapat keuntungan tanpa melakukan serangan siber.

Penegakan Hukum
Kasus yang dialami BSI terjadi pasca Indonesia memiliki peraturan perundangan yang khusus mengatur terkait perlindungan data pribadi melalui Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP) yang telah disahkan pada 17 Oktober 2022.

Beleid ini merupakan landasan hukum yang memberikan kepastian bahwa Indonesia menjamin dan memastikan perlindungan data pribadi bagi warga negaranya.

Walaupun implementasi dari UU PDP masih berada dalam masa transisi dimana organisasi diberikan waktu 2 tahun hingga 2024 untuk menyesuaikan ketentuan pemrosesan Data Pribadinya, bukan berarti organisasi dapat menunda-nunda pengimplementasian ketentuan UU PDP.

Sudah saatnya semua lembaga publik yang mengandalkan Teknologi Informasi (TI) dalam memberikan layanan ke masyarakat berusaha memenuhi ketentuan di UU PDP agar setiap terjadi peristiwa serangan siber ada pihak yang bisa dibawa ke muka hukum untuk diminta pertanggungjawaban.

Sebuah keniscayaan di era digital semua lembaga publik sama rentannya karena faktor manusia berperan besar di setiap kasus serangan siber.

Jika mitigasi dan damage control untuk satu serangan siber bisa melumpuhkan sebuah sistem layanan sampai berhari-hari, ini sudah menunjukkan betapa kacaunya infrasuktur TI yang dibangun, dan wajar rasanya harus ada pihak yang diminta pertanggungjawaban dan mendapat sanksi sesuai hukum yang berlaku.

@IndoTelko