Serangan Ransomware terhadap Bank Indonesia Kian Bertambah, Segera Lakukan Mitigasi dan Investigasi Lanjutan untuk Pengamanan Sistemnya

20 Januari 2022, akun Twitter @darktracer_int mengunggah cuitan “Conti ransomware gang has announced "BANK OF INDONESIA" on the victim list” dengan melampirkan tangkapan layar sebagai bukti. Dalam tangkapan layar yang dibagikan tersebut, terlihat ada 838 dokumen dengan ukuran 487,09 MB yang sedang diunggah. Atas informasi tersebut, Kepala Departemen Komunikasi BI, Erwin Haryono, mengungkapkan bahwa serangan ransomware telah terjadi Desember 2021 lalu, dan tidak ada data yang secara spesifik diincar. Dikatakannya, BI telah melakukan pemulihan, asesmen, audit, hingga mitigasi. Mengamini respons BI, Kementerian Kominfo dan BSSN menegaskan bahwa BI telah melakukan berbagai upaya atas terjadinya serangan ransomware tersebut, diantaranya berkoordinasi dengan BSSN. Sementara Anton Setiawan, Juru Bicara BSSN, mengatakan bahwa serangan hanya terjadi pada BI Cabang Bengkulu. Dijelaskan pula bahwa terdapat 16 komputer yang terkena dampak dari serangan siber ini. Data-data yang dicuri berisi pekerjaan personal pada kantor BI Cabang Bengkulu dan tidak ada data terkait sistem kritikal BI, sehingga tidak berdampak pada data kritikal.

Sayangnya, serangan tidak hanya berhenti di situ. Pada 21 Januari 2022, akun Twitter @darktracer_int kembali mengunggah cuitan dan menginformasikan bahwa ransomware Conti terus mengunggah data yang didapatnya dari BI. Akun tersebut mengabarkan pula bahwa terdapat 175 komputer yang menerima serangan ransomware Conti. Dari tangkapan layar yang juga diunggah bersamaan dengan cuitan tersebut, diketahui bahwa total data yang bocor sebanyak 35.200 dokumen dengan kapasitas data 44,70 GB. Selanjutnya, 24 Januari 2022, akun Twitter @darktracer_int kembali lagi menginformasikan ransomware Conti telah menyerang 237 komputer. Total data yang bocor saat ini sebanyak 52.767 dokumen dengan kapasitas data 74,82 GB. Melihat pola terus meningkatnya jumlah serangan ransomware dan data yang bocor, BI bekerja sama dengan BSSN, dan Kominfo, harus sigap dalam melakukan investigasi—mengoptimalkan peraturan dan kapasitas kemampuan teknis.

Bahkan dalam perkembangannya kemudian, dikabarkan adanya dugaan kebocoran data pribadi, sebagai dampak dari serangan ransomware tersebut, termasuk beberapa data yang masuk kualifikasi kritikal. Apalagi mengingat BI termasuk sebagai institusi yang memiliki data elektronik strategis, mengacu pada Pasal 99 PP No. 71/2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik. Oleh karenanya, langkah mitigasi dan investigasi untuk menghentikan serangan, menghentikan kebocoran data, dan perbaikan sistem keamanannya perlu segera dilakukan. Mengacu pada Pasal 9 (1) Peraturan BSSN 8/2020 tentang Sistem Pengamanan Dalam Penyelenggara Sistem Elektronik, BI setidaknya wajib menerapkan: (i) SNI ISO/IEC 27001; (ii) standar keamanan lain yang terkait dengan keamanan siber yang ditetapkan oleh BSSN; dan (iii) standar keamanan lain yang terkait dengan keamanan siber yang ditetapkan oleh kementerian atau lembaga. Serangkaian kewajiban tersebut juga sekaligus dapat menjadi rujukan awal dalam proses investigasi, untuk mengetahui apakah seluruh prosedur kepatuhan tersebut sudah dijalankan atau belum?

Lebih jauh, dari proses investigasi yang dilakukan, selain dimaksudkan untuk menghentikan serangan dan kebocoran data, juga untuk mengetahui sejauh mana dampaknya pada: (i) kerahasiaan (confidentiality) dari sistemnya, sebagai akibat dari serangan yang berefek pada pengungkapan sejumlah data tersebut; (ii) integritas (integrity) dari sistem, termasuk juga integritas dari data yang sudah diungkap, yang akan sangat terkait erat dengan kehandalan dari sistemnya itu sendiri; dan (iii) ketersediaan (availability) dari sistem, termasuk juga ketersediaan data-data yang telah diungkap, memungkinkan untuk dipanggil (retrieval) dan digunakan kembali atau sudah dalam penguasaan pihak lain, sehingga tidak mungkin lagi dilakukan pemrosesan.

Merespons situasi tersebut, Lembaga Studi dan Advokasi Masyarakat (ELSAM) menekankan sejumlah rekomendasi berikut ini:

1. Badan Siber dan Sandi Negara (BSSN) melakukan proses investigasi lanjutan secara mendalam atas terjadinya insiden serangan siber ini, untuk kemudian dapat memberikan rekomendasi sistem keamanan yang handal dalam pengelolaan sistem terkait;
2. Kementerian Komunikasi dan Informatika, mengoptimalkan keseluruhan regulasi dan prosedur yang diatur dalam PP No. 71/2019 dan Permenkominfo No. 20/2016, untuk mengambil langkah dan tindakan terhadap pengendali dan pemroses data selaku penyelenggara sistem dan transaksi elektronik, termasuk mitigasi, dan, jika diperlukan, langkah pemulihan bagi subjek data. Bila dari proses investigasi yang dilakukan ditemukan adanya kebocoran data pribadi dari serangan tersebut;
3. Bank Indonesia dan pihak terkait lainnya, melakukan evaluasi sekaligus meningkatkan kebijakan internal terkait pelindungan data, juga audit keamanan secara berkala, untuk memastikan kepatuhan dengan prinsip-prinsip pelindungan data pribadi, sekaligus penerapan sistem keamanan siber yang handal;
4. DPR dan Pemerintah segera mempercepat proses pembahasan dan pengesahan RUU Pelindungan Data Pribadi, dengan tetap membuka partisipasi yang bermakna, dan menjaga kualitas substansinya. Selain itu, rentetan insiden penyalahgunaan data pribadi, termasuk yang melibatkan institusi publik seperti BI, juga kian memperlihatkan pentingnya pembentukan otoritas pelindungan data pribadi yang independen, guna menjamin efektivitas implementasi dan penegakan UU PDP nantinya.

Jakarta, 25 Januari 2022

Lembaga Studi dan Advokasi Masyarakat (ELSAM)

Untuk informasi lebih lanjut silahkan menghubungi Wahyudi Djafar (Direktur Eksekutif ELSAM), telp: 081382083993, Miftah Fadhli (Peneliti ELSAM), telp: 087885476336, Shevierra Danmadiyah (Peneliti ELSAM), telp: 081236325338.