Oleh Paul Sutaryono
PADA 8 Mei 2023, Bank Syariah Indonesia (BSI) terkena serangan siber sehingga hampir semua layanan kepada nasabah lumpuh. Pelajaran apa saja yang dapat dipetik?
BSI yang berdiri pada 1 Februari 2021 adalah hasil merger dari 3 bank syariah; Bank BRI Syariah Tbk, Bank Syariah Mandiri dan BNI Syariah. Komposisi pemegang saham BSI meliputi Bank Mandiri 50,83%, Bank Negara Indonesia 24,85% dan Bank Rakyat Indonesia 17,25%. Sisanya adalah pemegang saham di bawah 5%.
Dengan merger itu, BSI digadang-gadang menjadi bank syariah terbesar di Indonesia dan bahkan menduduki 10 besar bank syariah tingkat dunia pada 2025. Kini BSI sebagai bank syariah 14 besar dunia dengan kapitalisasi pasar (market cap) US$ 4,69 miliar per Juni 2022. Posisi pertama diduduki Bank Al Rajhi, Arab Saudi dengan kapitalisasi pasar US$ 87,94 miliar. Kemudian Kuwait Finance (US$ 26,14 miliar) dan Bank Alinma, Arab Saudi (US$ 17,8 miliar).
Bagaimana kinerja BSI per kuartal I-2023? BSI mampu meningkatkan perolehan laba bersih 47,6% menjadi Rp 1,45 triliun dibandingkan Rp 987,68 miliar pada periode yang sama 2022. Pencapaian laba bersih itu berasal dari pendapatan jual beli Rp 2,98 triliun, pendapatan dari bagi hasil Rp 1,39 triliun, pendapatan dari ijarah-bersih Rp 56,18 miliar dan pendapatan usaha utama lainnya Rp 964,73 miliar (CNBC Indonesia, 27/4/2023).
Aneka Pelajaran Berharga
Lantas, apa saja pelajaran berharga yang dapat dipetik dari serangan siber tersebut? Pertama, seberapa parah serangan siber terhadap BSI? Data sebesar 1,5 terabita yang di antaranya memuat sembilan basis data berisi informasi pribadi lebih dari 15 juta pelanggan dan pegawai BSI diduga bocor. Data itu mencakup antara lain nama, alamat, informasi dokumen, nomor kartu, nomor telepon dan transaksi. Kelompok peretas ransomware LockBit 3.0 mengklaim bertanggung jawab atas peretasan data BSI itu (Kompas, 14/5/2023).
Baca juga: Serangan Siber BSI Cerminkan Pertahanan Siber RI Masih Rendah
Kasus itu menyiratkan sistem pengamanan BSI lemah. Kemungkinan besar, peretas sudah mengintip titik lemah sistem pengamanan bank hasil merger yang biasanya belum teruji. Untuk itu, BSI wajib segera memperbaiki sistem tersebut agar tak terulang lagi.
Padahal pemerintah baru saja menerbitkan Undang-Undang (UU) Nomor 27 Tahun 2022 efektif 17 Oktober 2022 tentang Perlindungan Data Pribadi. Perlindungan data pribadi itu bertujuan untuk menjamin hak warga negara atas perlindungan pribadi diri pribadi dan menunjukkan kesadaran masyarakat serta menjamin pengakuan dan penghormatan atas pentingnya perlindungan data pribadi.
Pasal 38 UU itu menitahkan bahwa pengendali data pribadi wajib melindungi data pribadi dari pemrosesan yang tidak sah. Pengendali data pribadi adalah setiap orang, badan publik dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam menentukan tujuan dan melakukan kendali pemrosesan data pribadi.
Sebelumnya, pasal 19 menjelaskan bahwa pengendali data pribadi dan prosesor data pribadi meliputi setiap orang, badan publik dan organisasi internasional. Kemudian, pasal 58 menitahkan kepada pemerintah untuk berperan dalam mewujudkan penyelenggaraan perlindungan data pribadi. Sayangnya, Lembaga Penyelenggaraan Perlindungan Data Pribadi belum terbentuk. Mengapa? Lantaran pengendali data pribadi dan prosesor data pribadi dan pihak lain wajib menyesuaikan dengan ketentuan dalam aturan tersebut paling lama dua tahun sejak UU itu diundangkan.
Kedua, padahal tidak menutup kemungkinan ada nasabah yang minta ganti kerugian. Misalnya, karena keterlambatan membayar angsuran kredit pemilikan rumah (KPR) kepada bank lain sehingga dikenakan denda. Atau keterlambatan pemenuhan perjanjian antara nasabah dan pihak lain. Bagaimana menyelesaikan pengaduan seperti itu?
Sejatinya, Otoritas Jasa Keuangan (OJK) dapat membantu dalam menyelesaikan masalah antara bank dan nasabahnya. Hal itu tertuang dalam Peraturan OJK Nomor 6/POJK.07/2022 tentang Perlindungan Konsumen dan Masyarakat di Sektor Jasa Keuangan efektif 18 April 2022.
Pasal 11 butir (5) POJK menitahkan dalam hal Pelaku Usaha Jasa Keuangan (PUJK) menggunakan teknologi informasi untuk mengelola data dan/atau informasi pribadi konsumen, PUJK wajib menggunakan teknologi informasi yang andal serta menjamin keamanan data dan/atau informasi pribadi konsumen dengan melakukan pengecekan kelayakan dan/atau keamanan secara berkala. Pasal 36 menegaskan bahwa PUJK wajib menjaga keamanan dana dan/atau aset konsumen yang berada dalam tanggung jawab PUJK.
Tentang pengaduan konsumen terhadap PUJK, pasal 52 menitahkan bahwa untuk perlindungan konsumen dan masyarakat, OJK berwenang melakukan pembelaan hukum meliputi (a) memerintahkan atau melakukan tindakan tertentu kepada PUJK untuk menyelesaikan pengaduan konsumen dan/atau (b) mengajukan gugatan.
Dengan bahasa lebih bening, meski pemerintah belum membentuk Lembaga Penyelenggaraan Perlindungan Data Pribadi, konsumen tetap dapat mengajukan pengaduan kepada PUJK. PUJK meliputi antara lain bank, manajer investasi, dana pensiun, perusahaan asuransi dan perusahaan pembiayaan.
Ketiga, sejatinya, industri perbankan sudah sangat diatur (highly regulated) oleh regulator OJK, Bank Indonesia (BI) dan Lembaga Penjamin Simpanan (LPS). Tetapi mengapa masih ada yang bank yang didera serangan siber?
Untuk mencegah risiko teknologi, OJK melalui Peraturan OJK Nomor 11/POJK.03/2022 tentang Penyelenggaraan Teknologi Informasi oleh Bank Umum efektif 7 Oktober 2022 telah mewajibkan bank untuk memiliki Pusat Pemulihan Bencana (Disaster Recovery Center). Hal itu merupakan fasilitas yang digunakan untuk memulihkan kembali data atau informasi serta fungsi penting sistem elektronik yang terganggu atau rusak akibat terjadinya bencana yang disebabkan oleh alam atau manusia.
Bank pun wajib memiliki Rencana Pemulihan Bencana (Disaster Recovery Plan) yang merupakan dokumen yang berisi rencana dan langkah untuk menggantikan dan/atau memulihkan kembali akses data, perangkat keras dan perangkat lunak yang diperlukan agar bank dapat menjalankan kegiatan operasional bisnis yang kritikal setelah adanya gangguan dan/atau bencana.
Selain itu, bank wajib memiliki komite pengarah teknolog informasi (TI). Komite itu bertanggung jawab memberikan rekomendasi kepada direksi antara lain terkait dengan rencana strategis TI sejalan dengan rencana korporasi dan upaya penyelesaian berbagai masalah terkait TI.
Tak hanya itu. Bank wajib memiliki arsitektur TI. Penyusunan arsitektur TI meliputi perencanaan, desain, implementasi dan kontrol. Satu lagi, bank wajib menjaga ketahanan siber. Karena itu, bank melakukan proses paling sedikit (a) indentifikasi aset, ancaman dan kerentanan, (b) pelindungan aset, (c) deteksi insiden siber dan (d) penanggulangan dan pemulihan siber.
Baca juga: Ramsomware Lockbit Curi 1,5 TB Data Nasabah BSI, Ini Kata Pengamat
Keempat, apakah semua bank sudah memenuhi kewajiban itu? Celakanya, bank yang melanggar ketentuan itu “hanya” dikenai sanksi administratif berupa teguran tertulis. Ketika bank telah dikenai sanksi adminsitratif tetapi belum juga memenuhi ketentuan tersebut, bank dikenai sanksi administratif berupa (a) larangan menerbitkan produk baru, (b) pembekuan kegiatan usaha tertentu, (c) penurunan penilaian faktor tata kelola dalam penilaian tingkat kesehatan bank.
Namun, jangan lupa bahwa nasabah pun bisa “menghukum” bank. Apa bentuknya? Nasabah lari ke bank lain. Hal yang paling menakutkan adalah ketika banyak nasabah menarik simpanan mereka secara serentak (bank run) seperti yang dialami Silicon Valley Bank (SVB) yang berpusat di Santa Anna, California, AS sehingga ambruk pada 10 Maret 2023.
Potensi Risiko Reputasi
Kelima, karena itu, bank yang sedang menderita risiko terlebih serangan siber wajib memulihkan gangguan secepat mungkin. Ketika risiko itu tidak segera dipulihkan, bisa muncul risiko reputasi.
Risiko reputasi adalah risiko yang disebabkan oleh menurunnya tingkat kepercayaan pemangku kepentingan (stakeholders) yang bersumber dari pengaduan nasabah dan/atau pemberitaan negatif. Pemangku kepentingan itu meliputi antara lain pemerintah, OJK, BI, LPS, rekanan, pemasok, nasabah dan investor.
Keenam, terkait dengan sumber risiko reputasi, bolehlah kita simak laporan The Economist Intelligence Unit dari The Global Risk Briefing pada Desember 2005. Laporan yang disponsori Ace, Cisco Systems, Deutche Bank, IBM dan KPMG itu melaporkan hasil riset terhadap 269 senior eksekutif yang bertanggung jawab atas manajemen risiko.
Inilah jawaban responden atas pertanyaan sejauh mana tindakan yang menjadi sumber risiko reputasi bagi organisasi mereka. Sumber risiko reputasi paling tinggi dari 11 sumber risiko adalah ketidakmampuan memenuhi peraturan atau kewajiban hukum (legal obligations) (66% responden) yang disusul pemaparan praktik tidak etis (58%).
Sumber risiko reputasi ketiga adalah pelanggaran keamanan (security breaches) misalnya kebocoran data sensitif, peretasan data keuangan pelanggan (57%). Hal itu sangat mirip dengan kasus BSI. Karena itu, bank sudah sepatutnya terus meningkatkan sistem pengamanan mereka untuk mampu menepis risiko reputasi. Sistem pengamanan pun harus berlapis-lapis sehingga tidak mudah dijebol.
Pada awalnya, risiko reputasi memang tidak berkaitan dengan kerugian finansial. Namun ketika pemulihan risiko reputasi itu berjalan lambat, risiko reputasi bisa menelan biaya lebih tinggi lagi!
*) Penulis adalah pengamat perbankan, Assistant Vice President BNI (2005-2009), Staf Ahli Pusat Pariwisata Berkelanjutan Indonesia (PPBI), Unika Indonesia Atma Jaya dan Staf Ahli Pusat Studi Bisnis (PSB), Universitas Prof. Dr. Moestopo (Beragama). Tulisan merupakan pendapat pribadi penulis.
