Keempat, Kementerian Informasi dan Komunikasi (Kominfo), dengan kewenangan pengawasan segera menginvestigasi dan menyelesaikan kasus secara akuntabel, dengan mengidentifikasi penyebab kegagalan pelindungan data pribadi. Kemudian mengidentifikasi kerugian pada pengendali, prosesor, maupun subjek data. Serta mengumumkan laporan hasil investigasi secara akuntabel serta langkah-langkah yang sudah dilakukan. Begitupula memastikan proses pemulihan terhadap hak-hak subjek data.
Kelima, Badan Siber dan Sandi Negara (BSSN) segera memantau dan menginvestigasi insiden keamanan siber yang dialami BSI, untuk dapat diidentifikasi sumber serangan, kerentanan sistem keamanan yang memungkinkan terjadinya serangan, serta langkah lanjutan yang harus dilakukan. Selain itu, BSSN perlu memastikan adanya audit keamanan secara berkala, termasuk penerapan standar keamanan yang kuat bagi keseluruhan industri perbankan dan keuangan.
Mitigasi kebocoran data nasabah
Terpisah, anggota Komisi VI DPR, Amin Ak mendesak agar Kementerian BUMN melakukan mitigasi perlindungan data nasabah BSI. Dugaan pembocoran 15 juta nasabah Bank BSI oleh kelompok ransomware LockBit 3.0 harus disikapi serius oleh pemerintah, terutama Kementerian BUMN. Dia mendesak pemerintah bergerak cepat memitigasi dan melindungi data nasabah.
Amin menjelaskan kelompok ransomware LockBit 3.0 mengklaim telah menyebarkan semua data itu di dark web setelah sejumlah permintaan uang yang diminta tak dipenuhi BSI. Data sekitar 80% nasabah diklaim telah dicuri saat kelompok tersebut melumpuhkan sistem teknologi informasi (IT) Bank BSI dari Senin (8/5) hingga Kamis (11/5) lalu.
Grup peretas asal Rusia, Lockbit, mengklaim bertanggung jawab atas serangan siber yang melumpuhkan semua layanan BSI. Menurutnya jenis serangan siber yang biasa disebut ransomware yakni meretas mengenkripsi data-data berharga milik target. Kemudian meminta sejumlah uang untuk membukanya kembali.
“Harus ada langkah-langkah mitigasi untuk mencegah munculnya aksi kejahatan terhadap nasabah dengan penyalahgunaan data pascaserangan ransomware. Kementerian BUMN harus ikut bertanggungjawab dan berkoordinasi dengan instansi terkait keamanan siber,” tegasnya.
Politisi Partai Keadilan Sejahtera (PKS) itu menilai, Kementerian BUMN yang bertugas membina dan mengawasi manajemen bank-bank BUMN tidak bisa lepas tangan. Pasalnya, peretasan sistem IT bank-bank BUMN sudah beberapa kali terjadi. Hal itu menunjukkan pertahanan siber bank-bank di Indonesia tidak kuat.
Amin mengaku heran karena banyaknya serangan tidak dijadikan pelajaran oleh perbankan di Indonesia. Apalagi, saat Bank Indonesia mendorong digitalisasi semua layanan perbankan untuk mewujudkan masyarakat tanpa uang tunai. Baginya, manajemen BSI agar berani membuka hasil investigasi digital forensik terhadap serangan siber sistem IT BSI. Bagaimanapun nasabah membutuhkan jaminan keamanan atas data pribadi mereka.
Merjuk Pasal 4 UU No. 8 Tahun 1999 tentang Perlindungan Konsumen, nasabah atau konsumen berhak untuk dilindungi. Berdasarkan aturan yang ada, pihak pengelola atau manajemen bank, harus melindungi dan bertanggungjawab terhadap nasib konsumen yang dirugikan. Selain perorangan, banyak di antara nasabah BSI adalah nasabah ultramikro, mikro, dan kecil, bahkan berpenghasilan rendah.
“Saya melihat respon BSI pasca serangan ransomware belum cukup membuat nasabah tenang. Seharusnya BSI bergerak cepat mencegah penyalahgunaan data yang bisa merugikan nasabah. Apapun alasannya, ini merupakan kelalaian pengelola BSI,” pungkasnya.