BSI Diduga Baru-baru Ini Kena Serangan Siber, Pengamat: 'Sistem Pertahanan Bank Tidak Kuat'

JAKARTA - Gangguan layanan Bank Syariah Indonesia (BSI) baru-baru ini, yang diduga kuat akibat serangan siber ransomware, semestinya menjadi pelajaran bagi perbankan di Indonesia.

Bank-bank di Indonesia, menurut pengamat keamanan siber, perlu memperkuat sistem pertahanan digital karena serangan siber telah menjadi semakin kompleks dan canggih.

Layanan bank syariah terbesar di Indonesia dilaporkan sempat lumpuh selama kurang-lebih lima hari, membuat kesal para nasabahnya. BSI mengatakan seluruh layanan perbankan sudah berangsur normal dan pulih sejak Kamis (11/05).

Direktur Utama BSI, Hery Gunardi, pada Sabtu (13/05) mengatakan gangguan di banknya “telah dapat dipulihkan segera”.

Ia menambahkan, “prioritas utama kami menjaga data dan dana nasabah”.

Meski demikian, menurut Kepala Lembaga Riset Keamanan Siber CISSReC, Dr. Pratama Persadha, sistem pertahanan siber bank-bank di Indonesia tidak kuat. Buktinya, sudah beberapa kali bank di Indonesia kena retas.

Pada 2021, Bank Jatim dan BRI Life – perusahaan asuransi milik BRI – diretas dan data pribadi nasabah diduga bocor di internet. Bahkan awal 2022 silam Bank Indonesia mengaku kena serangan ransomware.

Menurut Pratama, hal ini “agak memalukan” karena banyaknya serangan tidak dijadikan pelajaran oleh perbankan di Indonesia. Apalagi, saat Bank Indonesia mendorong digitalisasi semua layanan perbankan untuk mewujudkan masyarakat tanpa uang tunai atau cashless society.

“Kebayang nggak kalau misalkan nanti semua bank di Indonesia tiba-tiba crash mati total dan masyarakat nggak punya duit tunai?” ujar Pratama Persadha seperti dirilis BBC Indonesia.

Menurut Pratama, ada indikasi gangguan di BSI adalah akibat serangan peretas alias hacker karena sistem mengalami mati total selama beberapa hari.

“Hal yang kemungkinan besar membuat itu terjadi adalah malware yang dikirim peretas,” ucapnya.

Namun ia menekankan bahwa untuk memastikan serangan siber, perlu menunggu hasil resmi investigasi forensik digital yang dilakukan BSI bekerja sama dengan otoritas terkait, termasuk Badan Siber dan Sandi Negara (BSSN).

Grup peretas asal Rusia, Lockbit, mengklaim bertanggung jawab atas serangan siber yang melumpuhkan semua layanan BSI.

Dalam pengumuman yang diunggah ke dark web, mereka juga mengklaim telah mencuri data sebanyak 1,5 terabyte, termasuk 15 juta data pribadi nasabah dan pegawai — meliputi nama, nomor telepon, alamat, informasi dokumen, isi rekening, nomor kartu, transaksi, dan masih banyak lagi.

Mereka memberi tenggat 15 Mei pukul 21:09 UTC (16 Mei, 04:09 WIB) untuk pihak BSI mengontak mereka. Bila tidak, mereka mengancam akan membocorkan semua data tersebut.

Ini adalah jenis serangan siber yang biasa disebut ransomware. Peretas mengenkripsi data-data berharga milik target kemudian meminta sejumlah uang untuk membukanya kembali.

Serangan seperti ini biasanya dapat dimitigasi bila pihak yang diretas memiliki cadangan data yang baik, namun beberapa geng hacker seperti LockBit dan Conti mencuri data-data target sebelum mengenkripsi dan meminta uang tebusan.

Pratama belum yakin Lockbit benar-benar mencuri data BSI karena mereka belum memberikan sampel data. Biasanya, ketika hacker berhasil melakukan pencurian data mereka membagikan sedikit sampel datanya supaya bisa diverifikasi, seperti yang dilakukan Bjorka beberapa waktu lalu.

Ia menyarankan agar BSI tidak membayar tebusan karena tidak ada jaminan data yang dienkripsi akan dapat diakses kembali. “Misalnya nanti malah diperas... [dan] akan mendorong si hacker untuk melanjutkan serangan mereka,” kata Pratama.

Komisaris Independen BSI, Komaruddin Hidayat, mengakui BSI mendapat serangan siber namun ia menyebut klaim LockBit adalah hoaks.

"Itu kabar hoax. Sudah recovery dan yang pasti data serta uang nasabah aman," kata Komaruddin kepada Tempo.co. Ia menambahkan bahwa BSI sudah menurunkan tim ahli untuk menyelesaikan masalah ini.

Komaruddin mengatakan BSI tengah mempertimbangkan untuk memberikan kompensasi kepada para nasabah yang dirugikan akibat gangguan layanan perbankan. "Kami memang tengah pikirkan kompensasi," katanya kepada Tempo.co.

Dirut BSI, Hery Gunardi, menuturkan pihaknya terus memperkuat keamanan teknologi perseroan dalam divisi khusus yang berada di bawah CISO (Chief Information and Security Officer).

“CISO ini kerjanya sama seperti satpam fisik, melakukan ronda, tapi ronda dari sisi teknologi. CISO akan melihat titik-titik weak point yang harus ditutup. Itu adalah satu upaya untuk melindungi data-data nasabah,” kata Hery.

Warga Aceh ingin bank konvensional kembali

Dampak lumpuhnya layanan BSI sangat dirasakan di Aceh, tempat bank tersebut menjadi salah satu dari sedikit pilihan setelah bank-bank konvensional di sana tutup pada pertengahan 2021. Bahkan, sedemikian parahnya gangguan layanan BSI, beberapa anggota DPR Aceh menyerukan agar bank konvensional kembali ke Aceh.

Berbagai proses transaksi di Aceh yang harus menggunakan BSI gagal karena sistem yang bermasalah, membuat banyak pelaku usaha merugi.

“Setiap hari banyak permintaan pembelian baju dari customer, normalnya bisa Rp1 juta sampai Rp2 juta per hari. Tapi sejak kasus BSI bermasalah, semuanya tidak bisa dilakukan, sehingga saya merugi,” kata Aina Kuntum Khaira, Senin (15/05).

Pedagang gerai daring itu mengatakan dirinya hanya menggunakan satu jenis rekening sejak berimigrasi dari bank konvensional ke perbankan syariah.

Aina menjelaskan, bahwa dia juga was-was karena tidak bisa melakukan pengecekan saldo pada rekeningnya sejak system BSI lumpuh, walaupun sekarang sesekali bisa dilakukan untuk melakukan pengecekan mutasi rekening dari aplikasi.

“Kalau seperti ini terus, saya harus membuat rekening pada bank lain. Bagaimanapun jualan online sangat bergantung pada aplikasi mobile banking, Semoga para pemangku jabatan bisa menyelesaikan masalah ini sesegera mungkin,” jelas Aina Kuntum Khaira.

Bank Syariah Indonesia (BSI) hadir di Aceh karena Qanun No. 11, tahun 2018 tentang Lembaga Keuangan Syariah (LKS) dan beroperasi penuh pada 2022. Sejak awal kehadirannya, pelaku Usaha Mikro Kecil Menengah (UMKM) dan nelayan sering mengeluh karena sistem yang sering bermasalah.

Pemilik kapal nelayan di Banda Aceh, Harry Fadly, mengatakan sudah sepekan kapal nelayan miliknya tidak bisa melaut, karena tidak tersedianya bahan bakar bio solar di Stasiun Pengisian Bahan Bakar Nelayan (SPBN). Sementara untuk sekali melaut dia membutuhkan sekitar 1 ton bahan bakar untuk sekali pelayaran.

“Kita butuh 1 ton bahan bakar untuk 10 hari melau. Karena kondisi BSI yang bermasalah, bio solar tidak ada. Kata orang SPBN mereka tidak bisa memesan minyak ke pihak Pertamina, padahal saya sudah beli belanja makanan untuk melaut sampai Rp15 juta,” kata Harry.

Menurut Harry, kondisi BSI bermasalah sudah sering kali terjadi, antara lain penarikan uang yang terpotong pada rekening, tapi uang tidak keluar dari Anjungan Tunai Mandiri (ATM).

Ketua Himpunan Wiraswasta Nasional Minyak dan Gas (Hiswana Migas) Aceh, Nahrawi Nurdin, meminta kepada DPR Aceh agar bank konvensional bisa hadir kembali di provinsi tersebut. Ia lebih menyukai sistem bank konvensional yang menurutnya sangat baik serta menawarkan banyak pilihan menu bagi pelaku usaha Migas.

“Di bank konvensional, sudah ada menu untuk Delivery Order (DO) bahan bakar minyak, kita tinggal memilih apa yang menjadi kebutuhan, tidak perlu repot, jadi saya sangat berharap kalau bank konvensional bisa hadir lagi di Aceh,” ujarnya.

Ketua Dewan Perwakilan Aceh (DPRA), Saiful Bahri, mengatakan bahwa sampai saat ini sudah sangat banyak laporan dan aduan masyarakat yang sampai ke pihak DPRA, sehingga pembahasan terkait BSI sudah sampai ke meja Badan Legislasi (Banleg).

“Semua laporan masyarakat kita tampung dengan baik, kita sudah melakukan tahapan diskusi untuk mencari solusi, nantinya tim Banleg juga akan melakukan pemanggilan ahli ekonomi Syariah, apakah Qanun LKS perlu direvisi,” jelas Saiful Bahri, Ketua DPRA.

Pada intinya menurut Saiful, semua ini demi peningkatan ekonomi masyarakat, kemajuan infrastruktur Aceh, dan hidupnya investasi di wilayah yang dijuluki Serambi Mekah itu.

“Memanggil bank konvensional hadir kembali ke Aceh, bukan berarti kita anti syariat Islam. Boleh saja BSI tetap beroperasi, tetapi tetap harus ada bank konvensional jika memang masyarakat membutuhkan dan mengharapkannya,” ujarnya.

Perlu ditanggapi serius

Pratama Persadha mengatakan dugaan serangan siber terhadap BSI perlu ditanggapi dengan serius. Pihak BSI perlu memastikan sistem benar-benar bersih dari trojan atau malware yang bisa digunakan para peretas untuk kembali masuk. Cadangan data juga wajib diperhatikan, karena akan menjadi “senjata utama” untuk mengembalikan sistem jika diretas.

Unruk melindungi masyarakat seandainya kebocoran data pribadi kembali terjadi, Pratama mendorong Presiden Joko Widodo untuk segera membentuk lembaga perlindungan data pribadi sesuai amanat undang-undang perlindungan data pribadi.

Lembaga ini bertugas melakukan asesmen dan investigasi ketika terjadi kebocoran data, sehingga lembaga atau korporasi yang tidak maksimal melindungi data pribadi masyarakat bisa dituntut di pengadilan.

“Kalau lembaganya belum dibentuk, undang-undang [PDP] ini enggak akan bisa jalan, karena semua jika terjadi insiden kebocoran data pribadi yang urusi itu adalah lembaga ini,” kata Pratama.

Menurut Pratama, peretasan dan kebocoran data yang sering terjadi juga harusnya menjadi peringatan bagi pemerintah untuk lebih menaruh perhatian terhadap Badan Siber dan Sandi Negara (BSSN).

Meski mengemban amanah untuk melakukan pengamanan siber di seluruh Indonesia, anggaran lembaga tersebut dinilai Pratama masih sangat kurang, yaitu Rp624 miliar pada 2023.

Sebagai perbandingan, anggaran Amerika Serikat untuk keamanan siber mencapai $10,9 miliar (Rp161 triliun) pada 2023 namun mereka masih bisa terkena serangan siber, sampai pemerintahnya menawarkan $10 juta (Rp147 miliar) bagi siapapun yang memberikan informasi yang berujung pada penangkapan geng ransomware Conti.

Direktur Eksekutif Indonesia ICT Institute, Heru Sutadi, mengatakan setiap bank perlu memiliki sistem keamanan standar internasional, minimal sertifikasi ISO 27001. Hal yang tak kalah penting menurutnya ialah melatih SDM internal tentang keamanan data, termasuk cara melindungi dari serangan phishing.

“Sekarang peretasan juga ada kaitannya dengan orang dalam ya. Kelemahan ada di orang dalam itu juga yang [kurang] secara kemampuan, atau mungkin juga gampang digoda untuk menyerahkan username, password, segala macam. Jadi memang perlu kerja keras juga pemerintah dan PSE, utamanya sektor perbankan,” ujarnya.

Jika serangan siber terlanjur terjadi dan data pribadi nasabah diduga bocor, pihak perbankan perlu segera memberi tahu publik supaya orang-orang dapat mengambil tindakan keamanan. Ia menyoroti selama ini perusahaan yang diretas kerap tidak transparan, tidak mengaku data mereka telah dicuri sampai data tersebut dijual di dark web.

“Karena bisnis digital ini termasuk sektor keuangan kan basisnya trust [kepercayaan]. Jadi kalau misalnya masyarakat nggak mempercayai lagi layanannya, tentu akibatnya lebih buruk lagi bagi BSI, bagi sektor perbankan, keuangan,” ujarnya.

Kepala Indonesia Cyber Security Forum, Ardi Sutedja, mengatakan sekadar penguatan infrastruktur dan regulasi tidaklah cukup. Senada dengan Heru, ia mengatakan penyedia sistem elektronik (PSE) harus transparan tentang serangan siber dan kebocoran data untuk membangun “budaya keterbukaan”.

Menurut Ardi, dari keterbukaan itu masyarakat akan tumbuh kepekaannya dan kesadarannya bahwa ini serangan siber itu nyata dan serius serta bisa berdampak pada mereka.

“Artinya kalau ini keterbukaan ini dijalankan sebagai suatu budaya, masyarakat juga akan ikut berpartisipasi untuk cari akal, ikut terlibat, bagaimana melindungi semua juga. Jadi tanggung jawab masalah siber terhadap berbagai institusi itu ya bukan hanya misalkan pada si pemilik jaringan, pemilik infrastruktur, ini adalah tanggung jawab kolektif,” ujarnya. (*)