Bisnis.com, JAKARTA - PT Bank Syariah Indonesia Tbk. atau BSI (BRIS) memiliki tenggat untuk memberitahu nasabah jika seandainya perusahaan benar-benar mengalami kebocoran data nasabah. Batas waktu pelaporan informasi ke nasabah telah diatur sesuai dengan peraturan yang berlaku, yaitu maksimal 14 hari.
Undang-undang No 27/2022 tentang Perlindungan Data Pribadi menyebutkan penyelenggara sistem elektronik memiliki waktu maksimal 3x24 jam sejak diketahui adanya kegagalan perlindungan rahasia data pribadi di dalam Sistem Elektronik yang dikelolanya.
Sementara itu, Pasal 28 Peraturan Menteri Komunikasi dan Informatika (Kemenkominfo) No 20/2016 tentang Perlindungan Data Pribadi Dalam Sistem Elektronik menyebutkan pemberitahuan secara tertulis kepada Pemilik Data Pribadi harus dilakukan maksimall 14 hari setelah diketahui adanya kegagalan.
Ketua Pusat Kajian Kebijakan dan Regulasi Telekomunikasi Institut Teknologi Bandung (ITB) Ian Yosef M. Edward mengatakan UU PDP adalah Lex Specialist. Peraturan ini digunakan ketika peraturan tersebut berlaku pada Oktober 2023.
Sebelum UU PDP berlaku maka yang digunakan adalah peraturan perundang-undangan yang telah aktif atau istilahnya Hukum Positif.
Baca Juga
“Saat ini yang berlaku UU ITE dengan turunannya, termasuk Peraturan Pemerintah dan Peraturan Menteri. Jadi saat ini masih Jadi saat ini merujuk ke PM no.20/2016,” kata Ian kepada Bisnis, Rabu (17/5/2023).
Senada Direktur Eksekutif ICT Institute Heru Sutadi mengatakan peraturan yang digunakan adalah peraturan yang berlaku. Namun, jika memang terjadi kebocoran sebaiknya BSI secepat mungkin memberitahu kepada nasabah data-data pribadi yang bocor.
Pemberitahuan bertujuan agar nasabah segera mengganti nama dan password akun mereka untuk menghindari hal yang tidak diinginkan.
Heru juga meminta Kementerian Komunikasi dan Informatika (Kemenkominfo) untuk bergerak cepat menangani masalah ini.
“Agar tidak terjadi kerugian yang lebih besar lagi akibat peristiwa ini,” kata Heru.
CoChair Jakarta chapter - International Association of Privacy Professionals Satrio Wibowo dalam kasus data nasabah bocor, kata Satrio, risiko akan mengalir kepada nasabah sebagai subyek data.
Peretas dikhawatirkan melakukan serangan secara terukur kepada nasabah-nasabah kaya atau nasabah yang memiliki tabungan besar memanfaatkan data yang berhasil mereka curi.
Menurut UU PDP, kata Satrio, BSI harus segera memberitahu nasabah terkait data-data yang bocor dan potensi kejahatan akibat data bocor tersebut.
“Mereka harus kasih tahu data yang bocor apa saja. Ketentuan PDP seperti itu. Namanya analisis risiko dampak,” kata Satrio.
Satrio juga berpendapat data nasabah BSI telah dibocorkan oleh LockBit dan tersebar di situs gelap. Data bocor tersebut merupakan satu rangkaian dari padamnya layanan BSI beberapa hari lalu.
Dia menjelaskan modus operasi LockBit adalah melakukan serangan sekaligus penguncian. Peretas masuk kemudian merusak sistem cadangan BSI dan sistem krusial lainnya, kemudian data BSI dicuri dan dikunci.
Ketika BSI berhasil membuka data yang terkunci tanpa menebus ransomware LockBit, yang dikabarkan nilai mencapai Rp295 miliar, maka organisasi peretas asal Rusia itu mengambil opsi menjual data pribadi yang telah berhasil dicuri di internet.
"Ini organisasi internasional dan target mereka adalah ransomware," kata Satrio.
Dalam kondisi tersebut, Satrio menyarankan agar BSI memberitahu kepada nasabah mengenai kebocoran data yang terjadi.
Dampak ke Nasabah dan Ekosistem Syariah
Satrio tidak menampik dampak dari pemberitahuan tersebut adalah potensi berkurangnya jumlah nasabah BSI. Menurut Satrio itu adalah harga yang harus dibayar BSI karena gagal menjaga data nasabah. Keterbukaan informasi bagi nasabah adalah yang terpenting untuk saat ini.
“Jadi mereka harus dari awal investasi sungguh-sungguh investasi di keamanan. Jika tidak ingin terkena risiko itu [ditinggal nasabah]” kata Satrio.
Ketua Umum Indonesian Digital Empowering Community (Idiec) M. Tesar Sandikapura menilai permasalahan serupa berpotensi merembet ke bank-bank milik negara, mengingat BSI merupakan gabungan unit usaha syariah himpunan bank milik negara (Himbara).
Dampak lainnya adalah tergerusnya citra industri keuangan syariah, yang saat ini menjadi alternatif bagi sejumlah masyarakat Indonesia dalam menyimpan uang.
“Ada efek ke ekonomi Islam [Syariah] juga,” kata Tesar.
Kabar mengenai kebocoran data nasabah BSI di internet mencuat ke publik kemarin, Selasa (16/5/2023). Kelompok ransomware LockBit mengeklaim telah menyebarkan 1,5 TB data karyawan dan nasabah BSI (Bank Syariah Indonesia) ke situs gelap atau dark web.
Hal itu dilakukan setelah tuntutan kelompok ransomware LockBit, untuk sejumlah uang tidak dipenuhi oleh pihak BSI.
Sementara itu, PT Bank Syariah Indonesia, Tbk. atau BSI meminta kepada nasabah untuk tetap tenang. BSI berkali-kali memastikan data dan dana nasabah dalam kondisi aman.
“Kami berharap nasabah tetap tenang karena kami memastikan data dan dana nasabah aman. Kami juga akan bekerjasama dengan otoritas terkait dengan isu kebocoran data,” kata Corporate Secretary BSI Gunawan A. Hartoyo.
BSI mengajak masyarakat dan para stakeholder untuk makin sadar akan hadirnya potensi serangan siber yang dapat menimpa siapa saja. BSI pun terus meningkatkan upaya pengamanan untuk memperkuat digitalisasi dan keamanan sistem perbankan dengan prioritas utama menjaga data dan dana nasabah.
BSI telah menggandeng Badan Sandi Siber Negara (BSSN) untuk penanganan dugaan serangan siber.
Juru Bicara BSSN Ariandi Putra mengungkapkan, BSSN senantiasa berkoordinasi intens dengan BSI untuk memberikan asistensi serta rekomendasi peningkatan keamanan terhadap penyelenggaraan sistem elektronik di BSI.
BSSN dan BSI juga sudah sepakat untuk menyiapkan langkah-langkah bersama untuk meningkatkan keamanan dan ketahanan sistem BSI sekaligus menangani kelanjutan imbas dari gangguan IT pada sistem BSI pada Senin (8/5/2023).
“BSSN telah melakukan komunikasi dan koordinasi kepada BSI terkait upaya pemulihan sistem berkenaan dengan gangguan yang dialami. Kami siap untuk terus berkolaborasi,” katanya.
BSI terus melakukan langkah preventif penguatan sistem keamanan teknologi informasi terhadap potensi gangguan data, dengan peningkatan proteksi dan ketahanan sistem