Dugaan Kebocoran Data BSI, Ujian Penanganan Pelanggaran Pelindungan Data Pribadi

Siaran Pers Elsam

Dugaan Kebocoran Data BSI, Ujian Penanganan Pelanggaran Pelindungan Data Pribadi

 

Bank Syariah Indonesia (BSI) diduga mengalami serangan ransomware yang dilakukan oleh kelompok hacker Lockbit 3.0 pada Senin, 8 Mei 2023. Insiden ini diklaim telah berhasil mencuri 1,5 TB data nasabah, dokumen finansial, dokumen legal, perjanjian kerahasiaan, serta password akses internal serta layanan perusahaan. Sementara itu data nasabah yang diduga bocor terdiri atas nama, nomor HP, alamat, nomor rekening, saldo rekening rata-rata, riwayat transaksi, pekerjaan, serta tanggal pembukaan rekening. Akibat serangan ini, layanan ATM dan BSI Mobile lumpuh beberapa hari. Dalam keterangannya, BSI menginformasikan layanan BSI Mobile, baru pulih pada Kamis 11 Mei 2023, sementara layanan ATM telah normal sehari setelah serangan.

 

Sebagai varian lebih canggih dari jenis LockBit sebelumnya, LockBit 3.0 dapat mengumpulkan sistem informasi seperti nama, host, konfigurasi host, informasi domain, konfigurasi local drive, berbagi jarak jauh, dan perangkat penyimpanan eksternal. Analisis America’s Cyber Defense Agency menyebutkan LockBit jenis ini juga mampu menghentikan layanan, memberikan perintah, menghapus file, serta mengenkripsi data yang disimpan ke perangkat lokal atau jarak jauh. Akibatnya, kejadian ini telah merugikan nasabah dalam beberapa bentuk pelanggaran, sebagai dampak dari pencurian data, termasuk risiko kerugian reputasi subjek data, hilangnya kerahasiaan dan integritas data pribadi, dan bahkan potensi kerugian finansial. Insiden keamanan siber ini menunjukan tiga level serangan sekaligus: confidentiality breach (pelanggaran kerahasiaan), integrity breach (pelanggaran integritas), sekaligus availability breach (pelanggaran ketersediaan), akibat hilangnya kontrol atas akses.

 

Periode transisi UU PDP memang menjadi masa kritis dalam memastikan kepatuhan pengendali dan prosesor data untuk menerapkan standar pelindungan data pribadi, termasuk juga respon dari otoritas dari setiap insiden yang terjadi. Risiko pembiaran kemungkinan besar terjadi karena aturan peralihan UU PDP mengharuskan adanya penyesuaian berbagai regulasi terkait pelindungan data pribadi, termasuk kelembagaannya. Apalagi khusus di sektor keuangan dan perbankan, telah ada sejumlah regulasi dan kebijakan yang relatif mature dalam penerapannya, seperti Peraturan OJK No. 11/POJK.03/2022 tentang Penyelenggaraan Teknologi Informasi oleh Bank Umum (POJK PTI), SE OJK No. 21/SEOJK.03/2017 tentang Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum (SE OJK 21/2017), SE OJK No. 29/SEOJK.03/2022 tentang Ketahanan dan Keamanan Siber bagi Bank Umum (SE OJK 29/2022). Berbagai kebijakan tersebut bersanding dengan sejumlah regulasi terkait sistem elektronik, yang secara khusus mengatur pelindungan data pribadi, seperti PP No. 71/2019 tentang Penyelenggaraan Sistem dan Transisi Elektronik (PP PSTE) dan Permenkominfo No. 20/2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik (Permenkominfo PDPSE).

 

Oleh karenanya, dalam masa transisi implementasi UU PDP, untuk memastikan pelindungan terhadap hak-hak subjek data, semestinya otoritas berwenang tetap merujuk pada sejumlah regulasi di atas. Justru kehadiran UU PDP dapat menjadi rujukan tambahan dalam mengoptimalkan langkah-langkah pelindungan data pribadi, misalnya terkait dengan langkah-langkah yang harus dilakukan ketika terjadi kegagalan dalam pelindungan data pribadi, termasuk kewajiban untuk memberikan notifikasi. Mengacu pada regulasi saat ini, merespon kegagalan pelindungan data yang terjadi, BSI sebagai pengendali data setidaknya wajib untuk:

 

Pertama, memberikan notifikasi kepada subjek data paling lambat 3x24 jam, termasuk kepada masyarakat mengingat insiden ini terkait dengan layanan publik, mengacu pada Pasal 46 UU PDP. Problemnya dalam pasal ini memang tidak diatur perihal hitungan 3x24 jam sejak kapan? Menjawab ketidakjelasan ini dapat merujuk pada Permenkominfo 20/2016 dengan menghitung periode setelah insiden. Bahkan POJK PTI mewajibkan adanya notifikasi awal paling lambat 1x24 jam serta melaporkan insiden TI tersebut paling lama 5 hari kerja setelah insiden pada OJK. Surat Edaran OJK No. 29/SEOJK.03/2022 mengamanatkan apabila otoritas lain (Kominfo/BSSN), mengatur jangka waktu penyampaian notifikasi awal dan/atau laporan insiden siber lebih lama dari jangka waktu sebagaimana diatur dalam POJK PTI, maka harus menyampaikan notifikasi awal dan/atau laporan insiden siber kepada OJK.

 

Kedua, melakukan pemulihan, sebagaimana mengacu pada UU PDP, PP 71/2019, Permenkominfo 20/2016, maupun juga POJK PTI yang mewajibkan bank/lembaga keuangan untuk memiliki rencana pemulihan bencana untuk memastikan kelangsungan operasional bank tetap berjalan selama insiden. BSI harus memastikan rencana penanggulangan dan pemulihan sesuai dengan rencana kelangsungan usaha (business continuity plan), rencana pemulihan bencana (disaster recovery plan), crisis management plan, dan/atau kebijakan atau rencana Bank lainnya yang terkait. Apalagi mengacu pada ketentuan Pasal 4 ayat (2) UU PDP, data keuangan pribadi merupakan bagian dari data pribadi yang spesifik (sensitif) sehingga memerlukan tingkat perlindungan yang lebih tinggi, termasuk ketika terjadi kegagalan dalam perlindungan data, juga memerlukan langkah-langkah khusus dalam penanganannya.

 

Guna memastikan pelindungan dan pemenuhan hak-hak subjek data, merespons insiden ini, Lembaga Studi dan Advokasi Masyarakat (ELSAM) mendesak pihak-pihak terkait untuk segera melakukan langkah-langkah berikut ini:

 

 

Jakarta, 16 Mei 2023

Lembaga Studi dan Advokasi Masyarakat (ELSAM)

 

Untuk informasi lebih lanjut silahkan menghubungi: Parasurama Pamungkas (Peneliti ELSAM), telepon: 082232001783, atau Wahyudi Djafar (Direktur Eksekutif ELSAM) telepon: 081382083993.