Bisnis.com, JAKARTA - Data nasabah milik PT Bank Syariah Indonesia Tbk. (BRIS) atau BSI diduga telah tersebar secara publik pada situs dark web hari ini, Selasa (16/5/2023).
Sementara itu, Indonesia mempunyai Undang-Undang (UU) Perlindungan Dara Pribadi (PDP) yang telah disahkan secara resmi pada September tahun lalu.
Chairman Lembaga Riset Keamanan Siber CISSReC, Pratama Persadha mengatakan mengacu pada regulasi yang sudah disahkan itu, apabila BSI terbukti bersalah, BSI bisa mendapatkan sanksi administratif sesuai dengan Pasal 57 UU PDP.
BSI mendapatkan peringatan tertulis, penghentian sementara kegiatan pemrosesan data pribadi, penghapusan atau pemusnahan data pribadi, serta denda administratif maksimal 2 persen dari pendapatan tahunan atau penerimaan tahunan terhadap variabel pelanggaran.
Selain itu, ada Pasal 70 UU PDP terkait ketentuan pidana. Dalam ketentuan itu, apabila tindak pidana dilakukan oleh korporasi, maka pidana dapat dijatuhkan kepada pengurus, pemegang kendali, pemberi perintah, pemilik manfaat, dan/atau korporasi.
Sementara, pidana yang dapat dijatuhkan terhadap korporasi hanya pidana denda. Kemudian, pidana denda yang dijatuhkan kepada korporasi paling banyak 10 kali dari maksimal pidana denda yang diancamkan.
Baca Juga
"Namun sangat disayangkan hal tersebut [sanksi] belum bisa dilakukan pada saat ini," kata Pratama kepada Bisnis pada Selasa (16/5/2023).
Penyebabnya, UU PDP baru akan berlaku penuh setelah 2 tahun disahkan atau tepatnya pada Oktober 2024. Selain itu, lembaga atau otoritas yang bertugas menyelenggarakan pelindungan data pribadi belum dibentuk. Lembaga ini nantinya berada di bawah Presiden dan bertanggung jawab kepada Presiden.
Peneliti teknologi informasi dari Indonesia ICT Institute Heru Sutadi mengatakan meskipun belum berlaku, BSI mestinya tetap menangani indikasi kebocoran data pribadi nasabahnya mengacu pada UU PDP.
"Memang menjadi tugas penyelenggara sistem elektronik apabila data bocor. Berikan informasi ke nasabah agar nasabah tahu dan melakukan tindakan," katanya.
BSI juga menurutnya mesti melakukan audit secara menyeluruh data apa saja yang bocor. Kementerian Komunikasi dan Informatika (Kominfo), Badan Siber dan Sandi Negara (BSSN), hingga Otoritas Jasa Keuangan (OJK) juga menurutnya harus terlibat.
Sebagaimana diketahui, kelompok ransomware LockBit pada pagi ini diduga telah menyebarkan 1,5 TB data nasabah dan karyawan BSI ke dark web. Data yang disebar hanya sebagian kecil, sedangkan data-data penting lainnya akan digunakan dalam eksploitasi selanjutnya.
Dalam tangkapan layar yang dibagikan di akun Twitter @darktracer_int, terdapat sejumlah data manajemen perseroan mulai dari regional chief executive officer (RCEO) hingga sekretaris perseroan. Ada juga sejumlah dokumen internal mulai dari retail banking data backup hingga database dokumen syarat akad tertanggal 19 April 2022.
LockBit sendiri telah mengaku menjadi dalang dari serangan siber pada sistem BSI. LockBit mengklaim telah mengantongi 15 juta data nasabah dan karyawan BSI. Kelompok peretas tersebut juga sebelumnya melakukan negosiasi tebusan selambat-lambatnya 72 jam sejak pemberitahuan diumumkan atau paling lambat pada 15 Mei 2023 kemarin.
Pihak BSI telah memastikan kerahasiaan data nasabah dalam kondisi aman di tengah kabar dugaan kebocoran data. Corporate Secretary BSI Gunawan A. Hartono mengatakan hingga saat ini nasabah sudah dapat melakukan transaksi secara normal.
"Kami berharap nasabah tetap tenang karena kami memastikan data dan dana nasabah aman, serta aman dalam bertransaksi. Kami juga akan bekerja sama dengan otoritas terkait dengan isu kebocoran data,” kata Gunawan dalam keterangan tertulisnya.
Kepala Eksekutif Pengawas Perbankan OJK Dian Ediana Rae mengatakan saat ini pihak OJK juga sedang melakukan pemeriksaan forensik berlanjut untuk kasus BSI. "Namun, belum bisa kita simpulkan apakah data yang keluar ini merupakan data valid BSI," katanya kepada Bisnis pada Selasa (16/5/2023).
Cek Berita dan Artikel yang lain di Google News dan WA Channel
