Ina Tanaya

Hebohnya para nasabah PT. Bank Syariah Indonesia (BSI) karena tidak dapat melakukan transaksi baik itu ATM, mobile banking atau apapun. Kehebohan itu tidak cepat direspon oleh manajemen BSI dengan keterbukaan apa yang sedang terjadi. 

 Justru manajemen mengatakan tidak trans paran, software maintenance. Jika software maintenance tidak mungkin berhari-hari, hampir 4 hari terjadi. 

 Serangan siber yang terjadi di sebuah bank cukup besar BSI pada tanggal 8 Mei 2023 bukan yang pertama kali terjadi. Lumayan besar data yang dicuri , sebesar 1,5 terabita. Data ini terdiri dari Sembilan basis data informasi pribadi lebih dari 15 juta pelanggan dan pegawai BSI bisa bocor. 

Cakupan informasi pribadi berupa nama , alamat, informasi dokumen, nomor kartu, nomor telepon dan transaksi. Dokumen yang dicuri berupa dokumen hukum, keuangan, sandi (password) untuk semua layanan internal maupun eksternal. 

Kelompok peretas ransomware LockBit 3.0 mengklaim bertanggung jawab atas peretasan data . Peretas juga mengancam kepada pihak manajemen BSI bahwa jika dalam waktu 72 jam untuk menghubungi LockbitSupp dan menyelesaikan ancaman itu (dengan permintaan uang!). 

 Selain itu peretas juga mengancam akan menjual data yang dicuri ke situs gelap (dark web) jika manajemen tidak memenuhi permintaan pada tenggat waktu yang ditentukan. Peretas secara tegas mengancam data perusahaan akan dipublikasikan pada Senin 15 Mei 2023 jam 21.09 UTC atau Selasa 16 Mei pukul 04.09 WIB. 

Peretasan bukan sekali terjadi di bank , di bidang lain pun telah terjadi yaitu kebocoran data pribadi di Badan Penyelenggaran Jaminan Sosial (BPJS) Ketenagakerjaan pada tanggal 13 Maret yang lalu. Peretas yang menamkana dirinya Bjorka sering membocorkan data pribadi yang dicurinya . 

Data itu berkapasitas lumayan besar 5 gigabita berisi nomor induk kependudukan (NIK), nama lengkap, tanggal lahir, alamat, nomor telpon gadget, email, pekerjaan dan nama perusahaan peserta BPJS Ketenagakerjaan. 

Baca juga:  Membuat Foto Jurnalistik yang Bercerita

 Makin canggihnya peretas untuk dapat meretas situs Bank , BPJS Ketenagakerjaan membuktikan banyak wall security yang perlu diperkuat. Pelaku Ransomware ini sangat sulit dilacak. Perlu adanya tindakan berupa dikuncinya sistem , dipasang firewall yang canggih untuk industri perbankan (banyak serangannya) dan disusun disaster recovery dari pihak bank untuk perlindungan serangan yang semakin masif dan kuat. 

 Dana Nasabah BSI ternyata tidak dijamin LPS Ternyata tidak semua dana yang disimpan di Bank bisa diganti oleh LPS apabila terjadi karena ada serangan hacker. Simpanan di Bank akan diganti oleh LPS apabila: 

 1. Saldo simpanan tidak melebihi 2 milyar . 

 2. Tingkat Bunga simpanan tidak melebihi dari tingkatsuku bunga yang ditetapkan oleh penjaminan LPS (hanya 2%). 

3. Tercatat pada pembukuan Bank (daftar diri, simpan semua bukti transaksi ) 

4.Tindakan yang membahayakan bank (hacker). 

 Jadi poin 3 menegaskan jika hacker itu mengambil data sehingga data hilang. Maka transaksi kita yang terakhir pun hilang, maka tidak ada penggantian. Pendekatan Hukum yang tidak bermanfaat Meskipun sudah ada senjata dalam bidang hukum yaitu Undang-Undang No.27 Tahun 2022 tentang Perlindungan Data Prbadi, ternyata kebocoran masih saja tidak terbendung dan hingga kini serangan siber itu makin merajalela dan merugikan nasabah. 

 Dalam UU itu telah diatur untuk langkah-langkah melindungi data pribadi masyarakat dan dibentuknya Lembaga untuk pengawasan dan penegakkan hukum terhadap pelanggar. Sayangnya Lembaga tersebut sampai saat ini belum juga terbentuk. 

 Hingga kapan peretasan yang merugikan warga dapat dicegah? 

 Tentunya kita tak boleh nunggu sesuatu yang belum pasti terwujud dan kapan terlaksananya. Langkah-langkah antisipasi bagi nasabah sebuah Bank dari serangan siber Sebagai calon nasabah sebuah bank kita perlu mengambil langkah-langkah berikut sebelum kerugian terjadi pada diri kita , baik data bocor maupun hilangnya dana kita yang ada di bank yang bersangkutan.

 BErikut langkah-langkahnya:

 Dalam memilih bank, bukan hanya punya kreditiblitas yang baik, sekarang ini dibutuhkan juga informasi tentang mitigasi dari bank dalam serangan siber. Pada saat kita akan membuka rekening di suatu bank, pertimbangannya bukan lokasi bank yang dekat dengan rumah kita. Tetapi pertimbangan bagaimana mitigasi bank terhadap serangan siber.

 Jika terjadi serangan siber dan merugikan nasabah, apa janji atau komitmen bank terhadap masalah ini? Jika tidak ada, silahkan cari bank lain. Biasanya customer service, hanya menyodorkan formular yang berisi standar klausa tentang peraturan bank yang harus dipatuhi nasabah. Pihak nasabah selalu harus tunduk klausa yang tercantum. Sangat melemahkan nasabah. Justru yang penting adalah klausa tentang komitmen bank tentang serangan siber, jika ada kerugian bocor data dan hilang dana, apa kompensasi yang dibeirkan bank kepada nasabah. 

Seperti filosofi "Do not put all your eggs in one basket" merujuk kepada risiko yang harus kita tanggung apabila terjadi sesuatu yang tidak diharapkan. Sebaiknya kita perlu buka rekening bukan hanya satu bank tetapi 2 atau 3 bank. Jika satu bank diserang , dana kita di bank lain masih bisa terselamatkan.

Apabila kita sudah buka di rekening di suatu bank, untuk bisnis dan datanya sering kita bagikan kepada supplier atau kepada siapa pun dalam bisnis, sebaiknya bukan 1 atau 2 rekening lagi. 1 rekening khusus untuk bisnis yang datanya kita berikan kepada orang lain 1. rekening khusus untuk penyimpanan 1. rekening untuk operasional Khusus untuk penyimpanan kita tak perlu meminta ATM karena tujuannya untuk penyimpanan. Sedangkan untuk operasional usahkan jumlahnya juga tidak terlalu besar karena setiap kali ditarik dan disetor. Jika Anda anggap buka rekening banyak akan terkena banyak biaya administrasi, pikirkanlah besarnya biaya administrasi dengan biaya risiko jika Anda kehilangan dana karena serangan siber. 

 Meskipun OTP tidak ada relevansinya dengan serangan siber, tapi berkaitan dengan klaim kita kepada bank jika dana kita hilang di bank dimana kita buka rekening. Bank akan menginvestigasi kita dalam penggunaan mobile banking , apakah kita berhati-hati penggunaannya termasuk ketika transaksi , apakah OTP diberitahukan kepada orang lain. 

 Bank akan mencari kelemahan dari tindakan kita sebelum Bank punya bukti kuat bahwa nasabah tidak melakukan hal yang salah dan berhak untuk klaim. Jadi jangan ada kelemahan dari pihak kita apabila Anda tidak ingin Bank ingkar janji apabila dana kita hilang karena peretasan.

 Serangan siber belum bisa dibendung dengan perangkat hukum, jadi kita sebagai pemilik dana dan pemilik data harus punya mitigasi yang smart.