Oleh: Agdelia Meiva Azarine
Kabar peretasan data nasabah sempat menghebohkan dunia perbankan. Kali ini datang dari salah satu bank syariah milik Badan Usaha Milik Negara. Pada tanggal 8 Mei, layanan mobile banking dan ATM BSI (Bank Syariah Indonesia) terganggu selama sepekan. Awalnya, BSI menjelaskan bahwa gangguan tersebut terjadi karena sedang dilakukan pemeliharaan sistem sehingga layanan tidak dapat diakses untuk sementara waktu. Namun, pada tanggal 14 Mei 2023, fakta baru terungkap bahwa gangguan layanan BSI sebenarnya disebabkan oleh serangan ransomware dari sekelompok hacker. Ransomware adalah jenis perangkat lunak berbahaya yang mengunci akses ke sistem komputer korban dengan mengenkripsi data untuk meminta uang tebusan. Para pelaku ransomware yang dikenal sebagai Lock Bit memberikan batas waktu 72 jam kepada manajemen bank untuk menghubungi mereka. Tidak main-main, hacker tersebut mengancam akan meruntuhkan reputasi bank secara menyeluruh jika tuntutan mereka tidak dipenuhi. Alih-Alih menghiraukan hacker, pihak manajemen BSI justru berdalih bahwa layanan BSI sedang dalam masa maintenance. Namun, pada akhirnya, hacker berhasil menginfeksi sistem perbankan BUMN tersebut dan menyandera data nasabah.
Di era digital yang semakin maju, kebocoran data menjadi tantangan yang serius di berbagai sektor, termasuk sektor perbankan, seperti yang baru-baru ini terjadi pada BSI. Kebocoran data pribadi sebenarnya bukanlah hal baru, namun merupakan masalah yang sangat serius dan memprihatinkan. Terungkapnya informasi pribadi nasabah seperti nomor rekening, informasi kartu kredit, data identitas, dan detail keuangan dapat memiliki dampak yang merugikan. Kebocoran semacam ini dapat terjadi karena serangan siber, pelanggaran keamanan internal atau kelalaian dalam pengelolaan data. Selain menimbulkan resiko pencurian identitas, penipuan, dan penyalahgunaan finansial, kebocoran data pribadi perbankan juga dapat mengancam kepercayaan nasabah terhadap institusi perbankan dan menyebabkan kerugian reputasi yang signifikan.
Serangan siber yang semakin kompleks dan terorganisir kini dapat menyusup ke dalam sistem keamanan perbankan dan mencuri informasi sensitif. Sektor perbankan menjadi sektor yang rentan terhadap serangan siber karena mengelola data sensitif, seperti informasi pribadi, rekening bank, dan transaksi keuangan yang sangat berharga bagi penjahat siber untuk melakukan pencurian identitas. Dalam rangka menjaga keamanan transaksi digital, Otoritas Jasa Keuangan (OJK) telah mengeluarkan peraturan melalui POJK No.12/POJK.03/2018 yang berkaitan dengan penyelenggaraan layanan perbankan digital oleh bank umum. Tujuan utama peraturan ini adalah memastikan bahwa bank penyelenggara memiliki infrastruktur dan manajemen teknologi informasi (TI) yang memadai serta wajib menerapkan prinsip perlindungan nasabah.
Menindaklanjuti peraturan tersebut, Direktur Jenderal Aplikasi dan Informatika Kementerian Komunikasi dan Informatika (“Kemenkominfo”), Semuel Abrijani Pangerapan mengungkapkan bahwa bahwa selama periode peralihan, tanggung jawab menangani kasus serangan siber terkait kebocoran data akan tetap menjadi kewajiban Kemenkominfo (Tempo, 2023). Partisipasi Kementerian Kominfo dalam menangani serangan siber terhadap BSI merupakan bagian dari proses transisi menuju implementasi penuh Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (“UU PDP”) yang dijadwalkan akan berlaku sepenuhnya pada tahun 2024. BSI yang menurut Pasal 1 ayat 4 UU PDP adalah Pengendali Data Pribadi karena melakukan kendali atas pemrosesan data secara praktik telah gagal dalam menjalankan pengelolaan data pribadi. Meskipun Pasal 46 UU PDP memuat ketentuan yang harus dilakukan oleh Pengendali Data Pribadi saat terjadi kegagalan perlindungan data, BSI mengabaikan tanggung jawab yang seharusnya dijalankan. BSI tidak menyampaikan pemberitahuan secara tertulis kepada subjek data pribadi terkait serangan siber yang berdampak pada peretasan data nasabah. Sebaliknya, BSI justru mengklaim lumpuhnya sistem dan pelayanan bank disebabkan oleh proses maintenance (CNN, 2023).
Alfons Tanujaya, seorang pakar keamanan siber dari Vaksincom menyatakan bahwa jika bank mengalami gangguan selama lebih dari 4 jam, hal itu mengindikasikan adanya gangguan sistem inti yang mungkin disebabkan oleh serangan ransomware (Tempo, 2023). Meski banyak media telah berupaya untuk mendapatkan konfirmasi dari manajemen BSI mengenai kebenaran serangan ransomware ini, pihak terkait tidak memberikan tanggapan lebih lanjut. Hingga saat ini, perlindungan nasabah perbankan masih belum mendapatkan perhatian yang memadai dalam sistem perbankan nasional. Melalui UU PDP, Pengendali Data Pribadi yang tidak melaksanakan perlindungan data pribadi dengan baik dapat dituntut di pengadilan melalui proses investigasi yang dilakukan oleh sebuah lembaga yang disebut “Lembaga Perlindungan Data Pribadi”.
Lembaga inilah yang nantinya akan menangani insiden kebocoran data pribadi. Namun, karena lembaga tersebut belum terbentuk, mekanisme penegakan hukum dalam UU PDP belum dapat berjalan dengan baik dan jelas. Lalu, bagaimana mekanisme pertanggungjawaban BSI? Kepala Lembaga Riset Keamanan Cyber CISSReC, Dr. Pratama Persadha mengungkapkan bahwa BSI sedang mempertimbangkan pemberian ganti rugi kepada nasabah yang mengalami kerugian akibat gangguan dalam layanan perbankan (BBC, 2023). Jika melakukan komparasi regulasi terkait Perlindungan Data Pribadi milik Eropa yang tertuang dalam GDPR (General Data Protection Regulation) Pasal 83 ayat 5, di dalamnya diatur mengenai besaran ganti rugi yang dapat dibayarkan oleh Pengendali Data Pribadi sebesar 20 juta Euro atau setara dengan 320 miliar rupiah.
Dari kasus peretasan data nasabah BSI ini, diharapkan adanya perbaikan yang signifikan dalam mencegah dan menangani kebocoran data pribadi. Dengan penegakan ketat terhadap kebijakan keamanan data, penerapan teknologi yang aman, dan transparansi yang tinggi dalam mengatasi insiden kebocoran, sektor perbankan dapat memulihkan kepercayaan nasabah dan melindungi privasi serta keamanan informasi pribadi mereka. Harapan ini juga mencakup upaya pemerintah dan regulator untuk menguatkan kerangka hukum yang efektif dan lembaga perlindungan data pribadi yang kompeten. Dengan upaya bersama, diharapkan bahwa kebocoran data pribadi di sektor perbankan dapat ditekan sejauh mungkin sehingga nasabah merasa lebih aman dan terlindungi dalam menggunakan layanan perbankan.