
Ilustrasi Hack
Dugaan Kebocoran Data BSI, Ujian Penanganan Pelanggaran Pelindungan Data Pribadi
Selasa, 16 Mei 2023
Siaran Pers Elsam
Dugaan Kebocoran Data BSI, Ujian Penanganan Pelanggaran Pelindungan Data Pribadi
Bank Syariah Indonesia (BSI) diduga mengalami serangan ransomware yang dilakukan oleh kelompok hacker Lockbit 3.0 pada Senin, 8 Mei 2023. Insiden ini diklaim telah berhasil mencuri 1,5 TB data nasabah, dokumen finansial, dokumen legal, perjanjian kerahasiaan, serta password akses internal serta layanan perusahaan. Sementara itu data nasabah yang diduga bocor terdiri atas nama, nomor HP, alamat, nomor rekening, saldo rekening rata-rata, riwayat transaksi, pekerjaan, serta tanggal pembukaan rekening. Akibat serangan ini, layanan ATM dan BSI Mobile lumpuh beberapa hari. Dalam keterangannya, BSI menginformasikan layanan BSI Mobile, baru pulih pada Kamis 11 Mei 2023, sementara layanan ATM telah normal sehari setelah serangan.
Sebagai varian lebih canggih dari jenis LockBit sebelumnya, LockBit 3.0 dapat mengumpulkan sistem informasi seperti nama, host, konfigurasi host, informasi domain, konfigurasi local drive, berbagi jarak jauh, dan perangkat penyimpanan eksternal. Analisis America’s Cyber Defense Agency menyebutkan LockBit jenis ini juga mampu menghentikan layanan, memberikan perintah, menghapus file, serta mengenkripsi data yang disimpan ke perangkat lokal atau jarak jauh. Akibatnya, kejadian ini telah merugikan nasabah dalam beberapa bentuk pelanggaran, sebagai dampak dari pencurian data, termasuk risiko kerugian reputasi subjek data, hilangnya kerahasiaan dan integritas data pribadi, dan bahkan potensi kerugian finansial. Insiden keamanan siber ini menunjukan tiga level serangan sekaligus: confidentiality breach (pelanggaran kerahasiaan), integrity breach (pelanggaran integritas), sekaligus availability breach (pelanggaran ketersediaan), akibat hilangnya kontrol atas akses.
Periode transisi UU PDP memang menjadi masa kritis dalam memastikan kepatuhan pengendali dan prosesor data untuk menerapkan standar pelindungan data pribadi, termasuk juga respon dari otoritas dari setiap insiden yang terjadi. Risiko pembiaran kemungkinan besar terjadi karena aturan peralihan UU PDP mengharuskan adanya penyesuaian berbagai regulasi terkait pelindungan data pribadi, termasuk kelembagaannya. Apalagi khusus di sektor keuangan dan perbankan, telah ada sejumlah regulasi dan kebijakan yang relatif mature dalam penerapannya, seperti Peraturan OJK No. 11/POJK.03/2022 tentang Penyelenggaraan Teknologi Informasi oleh Bank Umum (POJK PTI), SE OJK No. 21/SEOJK.03/2017 tentang Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum (SE OJK 21/2017), SE OJK No. 29/SEOJK.03/2022 tentang Ketahanan dan Keamanan Siber bagi Bank Umum (SE OJK 29/2022). Berbagai kebijakan tersebut bersanding dengan sejumlah regulasi terkait sistem elektronik, yang secara khusus mengatur pelindungan data pribadi, seperti PP No. 71/2019 tentang Penyelenggaraan Sistem dan Transisi Elektronik (PP PSTE) dan Permenkominfo No. 20/2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik (Permenkominfo PDPSE).
Oleh karenanya, dalam masa transisi implementasi UU PDP, untuk memastikan pelindungan terhadap hak-hak subjek data, semestinya otoritas berwenang tetap merujuk pada sejumlah regulasi di atas. Justru kehadiran UU PDP dapat menjadi rujukan tambahan dalam mengoptimalkan langkah-langkah pelindungan data pribadi, misalnya terkait dengan langkah-langkah yang harus dilakukan ketika terjadi kegagalan dalam pelindungan data pribadi, termasuk kewajiban untuk memberikan notifikasi. Mengacu pada regulasi saat ini, merespon kegagalan pelindungan data yang terjadi, BSI sebagai pengendali data setidaknya wajib untuk:
Pertama, memberikan notifikasi kepada subjek data paling lambat 3x24 jam, termasuk kepada masyarakat mengingat insiden ini terkait dengan layanan publik, mengacu pada Pasal 46 UU PDP. Problemnya dalam pasal ini memang tidak diatur perihal hitungan 3x24 jam sejak kapan? Menjawab ketidakjelasan ini dapat merujuk pada Permenkominfo 20/2016 dengan menghitung periode setelah insiden. Bahkan POJK PTI mewajibkan adanya notifikasi awal paling lambat 1x24 jam serta melaporkan insiden TI tersebut paling lama 5 hari kerja setelah insiden pada OJK. Surat Edaran OJK No. 29/SEOJK.03/2022 mengamanatkan apabila otoritas lain (Kominfo/BSSN), mengatur jangka waktu penyampaian notifikasi awal dan/atau laporan insiden siber lebih lama dari jangka waktu sebagaimana diatur dalam POJK PTI, maka harus menyampaikan notifikasi awal dan/atau laporan insiden siber kepada OJK.
Kedua, melakukan pemulihan, sebagaimana mengacu pada UU PDP, PP 71/2019, Permenkominfo 20/2016, maupun juga POJK PTI yang mewajibkan bank/lembaga keuangan untuk memiliki rencana pemulihan bencana untuk memastikan kelangsungan operasional bank tetap berjalan selama insiden. BSI harus memastikan rencana penanggulangan dan pemulihan sesuai dengan rencana kelangsungan usaha (business continuity plan), rencana pemulihan bencana (disaster recovery plan), crisis management plan, dan/atau kebijakan atau rencana Bank lainnya yang terkait. Apalagi mengacu pada ketentuan Pasal 4 ayat (2) UU PDP, data keuangan pribadi merupakan bagian dari data pribadi yang spesifik (sensitif) sehingga memerlukan tingkat perlindungan yang lebih tinggi, termasuk ketika terjadi kegagalan dalam perlindungan data, juga memerlukan langkah-langkah khusus dalam penanganannya.
Guna memastikan pelindungan dan pemenuhan hak-hak subjek data, merespons insiden ini, Lembaga Studi dan Advokasi Masyarakat (ELSAM) mendesak pihak-pihak terkait untuk segera melakukan langkah-langkah berikut ini:
- BSI segera memberikan notifikasi perihal terjadinya kegagalan pelindungan data pribadi kepada nasabah tanpa penundaan yang tidak perlu (without undue delayed), secara tertulis, yang setidaknya memuat informasi mengenai data pribadi yang terungkap, kapan, dan bagaimana data tersebut terungkap, serta upaya penanganan dan pemulihan atas kegagalan tersebut (Pasal 46 ayat (2) UU PDP). Selain itu penting juga bagi BSI untuk memberikan penjelasan mengenai kontak informasi yang dapat dihubungi oleh subjek data, juga langkah-langkah mitigasi yang dapat dilakukan oleh subjek data, untuk dapat meminimalisir risiko akibat kebocoran data tersebut.
- Otoritas Jasa Keuangan (OJK) segera melakukan evaluasi terhadap langkah mitigasi dan memastikan pemutakhiran rencana pemulihan bencana BSI telah sesuai dengan POJK PTI, serta audit dan evaluasi keseluruhan rencana mitigasi dan pemulihan sistem teknologi informasi dari industri perbankan.
- Kementerian Informasi dan Komunikasi (Kominfo), dengan kewenangan pengawasan yang dimilikinya (Pasal 35 PP 71/2019) segera melakukan proses investigasi dan menyelesaikan kasus secara akuntabel, dengan mengidentifikasi penyebab kegagalan pelindungan data pribadi, mengidentifikasi kerugian baik pada pengendali, prosesor, maupun subjek data, serta mengumumkan laporan hasil investigasi secara akuntabel serta langkah-langkah yang sudah dilakukan. Juga memastikan proses pemulihan terhadap hak-hak subjek data.
- Badan Siber dan Sandi Negara (BSSN) segera melakukan pemantauan dan investigasi terkait insiden keamanan siber yang dialami BSI, untuk dapat diidentifikasi sumber serangan, kerentanan sistem keamanan yang memungkinkan terjadinya serangan, serta langkah lanjutan yang harus dilakukan. Selain itu, BSSN juga perlu memastikan adanya audit keamanan secara berkala, termasuk juga penerapan standar keamanan yang kuat bagi keseluruhan industri perbankan dan keuangan.
Jakarta, 16 Mei 2023
Lembaga Studi dan Advokasi Masyarakat (ELSAM)
Untuk informasi lebih lanjut silahkan menghubungi: Parasurama Pamungkas (Peneliti ELSAM), telepon: 082232001783, atau Wahyudi Djafar (Direktur Eksekutif ELSAM) telepon: 081382083993.
A R T I K E L T E R K A I T
Jumat, 11 Mar 2022
Anggota Komnas HAM periode 2017-2022 akan segera berakhir masa jabatannya pada tahun ini, sehingga Komnas HAM...
Rabu, 27 Jul 2022
Pengusutan dan pengungkapan kasus pelanggaran HAM berat di Paniai, Papua tahun 2014 telah memasuki babak baru.