Ransomware
Pewarta Nusantara - Akibat dari serangan Ransomware yang mengakibatkan layanan PT Bank Syariah Indonesia Tbk (BSI) terhenti, isu mengenai kebocoran data membuat masyarakat gempar.
Kelompok peretas yang menyebut diri mereka sebagai Lockbit mengklaim berhasil mencuri sekitar 1,5 terabyte (TB) data nasabah dari sistem BSI.
Menurut laporan dari tempo.co (17/5/2023), selain data nasabah, dokumen-dokumen lain yang diklaim telah dicuri meliputi dokumen finansial, dokumen legal, perjanjian kerahasiaan, password akses internal, dan layanan perusahaan. Data nasabah yang diduga bocor terdiri dari informasi seperti nama, nomor HP, alamat, nomor rekening, saldo rekening rata-rata, riwayat transaksi, pekerjaan, dan tanggal pembukaan rekening.
Dalam laporan katadata.co.id (16/5/2023), Konsultan Keamanan Siber, Teguh Aprianto, memastikan bahwa data tersebut memang telah bocor dan tersebar secara luas di situs ilegal atau dark web. Dia menyebutkan, "Data BSI saat ini sudah resmi dibocorkan secara bertahap oleh LockBit. Dengan estimasi total 8.133 file yang akan dibocorkan secara keseluruhan," sebagaimana disampaikan dalam cuitan akun Twitternya @secgron pada Selasa (15/5/2023).
Menurut laporan dari katadata.co.id, Gunawan A. Hartoyo, Sekretaris Perusahaan BSI, memberikan penjelasan bahwa data dan dana nasabah dalam kondisi aman, sehingga nasabah dapat melanjutkan transaksi dengan normal dan aman.
BSI juga berkomitmen untuk bekerja sama dengan otoritas terkait dalam mengatasi isu kebocoran data ini.
BSI mengajak masyarakat dan para pemangku kepentingan untuk lebih sadar akan potensi serangan siber yang bisa menimpa siapa pun. Kesadaran akan keamanan cyber menjadi hal penting dalam melindungi data pribadi.
Ahli Keamanan Siber, Ardi Sutedja, mengingatkan nasabah BSI untuk lebih berhati-hati dalam menjaga data pribadi mereka.
Ia mengungkapkan bahwa jika data internal yang terpublikasi memang merupakan data nasabah, maka ada kemungkinan data nasabah tersebut menjadi target phishing.
"Setelah data bocor, nanti akan diikuti kampanye phishing terhadap basis data yang bocor tersebut," kata Ardi, seperti yang dikutip dari katadata.co.id pada Selasa (16/5/2023).
Ardi memberikan saran agar nasabah lebih teliti dalam membaca email dan hanya membuka email dari alamat yang sudah dikenal.
Selain itu, nasabah disarankan untuk selalu waspada dan tidak membuat asumsi yang dapat membahayakan keamanan data pribadi mereka.
Kebijakan Pelindungan Data Pribadi Pada Sektor Perbankan
Sebelum diberlakukannya Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP), pengaturan terkait data pribadi nasabah lembaga perbankan telah diatur dalam undang-undang perbankan.
Salah satu undang-undang yang mengatur hal ini adalah Undang-Undang Nomor 10 Tahun 1998 tentang Perubahan atas Undang-Undang Nomor 7 Tahun 1992 tentang Perbankan (UU Perbankan), yang telah mengalami beberapa perubahan terakhir dengan Undang-Undang Nomor 4 Tahun 2023 tentang Pengembangan dan Penguatan Sektor Keuangan.
UU Perbankan menetapkan kewajiban bagi bank untuk menjaga kerahasiaan informasi mengenai nasabah dan simpanannya. Selaras dengan itu, Otoritas Jasa Keuangan (OJK) mengeluarkan Surat Edaran Nomor 14/SEOJK.07/2014 tentang Kerahasiaan dan Keamanan Data dan/atau Informasi Pribadi Konsumen.
Surat edaran ini mewajibkan pelaku usaha jasa keuangan, termasuk bank, untuk melindungi data dan informasi pribadi konsumen serta melarang memberikan data dan informasi tersebut kepada pihak ketiga.
Menurut Yosea Iskandar, seorang praktisi hukum dan Direktur Eksekutif Bank DBS Indonesia, persetujuan konsumen terhadap dokumen persetujuan data, terutama dalam sektor perbankan, menjadi kewenangan pemilik data.
Oleh karena itu, konsumen sebagai subjek data memiliki hak untuk memberikan atau tidak memberikan data mereka.
Dengan diberlakukannya UU PDP, hak-hak nasabah atau konsumen dalam hal perlindungan data pribadi menjadi lebih jelas.
Ketentuan Hak Nasabah dalam UU PDP Nomor 27 Tahun 2022
Apa itu UU PDP? Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi. Undang-undang ini merupakan peraturan yang mengatur tentang perlindungan dan pengelolaan data pribadi individu di Indonesia.
UU tersebut secara resmi diundangkan oleh pemerintah Indonesia sebagai upaya untuk memberikan perlindungan hukum yang jelas dan transparan terhadap data pribadi individu, serta mengatur penggunaan dan pengolahan data secara bertanggung jawab. Terima kasih telah memberikan klarifikasi tersebut.
UU PDP memperkenalkan konsep baru mengenai persetujuan konsumen dan melibatkan beberapa aspek terkait. Berikut adalah pemahaman baru yang diberikan oleh UU PDP:
1. Hak Informasi untuk Pemberi Data
UU PDP memberikan hak kepada individu untuk memperoleh informasi tentang bagaimana data pribadi mereka dikumpulkan, diproses, dan digunakan oleh pihak yang mengendalikan data. Individu memiliki hak untuk mengetahui secara transparan mengenai penggunaan data pribadi mereka.
2. Kewajiban Pengendali Data dalam Pemrosesan Data Pribadi
UU PDP mewajibkan pengendali data untuk memiliki dasar yang sah dalam memproses data pribadi individu. Dasar ini bisa berupa persetujuan dari individu tersebut, pemenuhan kewajiban hukum, kepentingan vital, atau kepentingan publik.
3. Informasi yang Harus Disampaikan oleh Pengendali Data
Pengendali data wajib memberikan informasi yang jelas dan transparan kepada individu terkait tujuan pengolahan data, jenis data yang dikumpulkan, pihak yang menerima data, serta hak-hak individu terkait data pribadi mereka. Hal ini bertujuan untuk memberikan pemahaman yang lebih baik kepada individu mengenai penggunaan data mereka.
4. Persetujuan yang Legal Jika Diberikan oleh Pemberi Data
UU PDP mengatur bahwa persetujuan harus didasarkan pada penjelasan yang jelas mengenai tujuan pengolahan data. Persetujuan yang diberikan haruslah bersifat sukarela dan informasi yang diberikan harus memadai sehingga individu dapat membuat keputusan yang tepat.
5. Bentuk dan Syarat Persetujuan
Persetujuan dapat diberikan secara tertulis atau terekam. Persyaratan persetujuan haruslah jelas dan mudah dipahami oleh individu, sehingga mereka dapat dengan mudah menentukan apakah mereka setuju atau tidak dengan penggunaan data pribadi mereka.
6. Tidak Semua Persetujuan Dianggap Sah
UU PDP menegaskan bahwa tidak semua persetujuan yang diberikan oleh individu dianggap sebagai persetujuan yang sah. Persetujuan harus memenuhi syarat-syarat yang ditetapkan dalam undang-undang untuk dianggap sah dan sah.
7. Pembatalan Persetujuan Jika Tidak Disetujui
Jika persetujuan tidak diberikan atau ditarik oleh individu, pengolahan data yang bergantung pada persetujuan tersebut akan batal demi hukum. Individu memiliki hak untuk mencabut persetujuan yang telah mereka berikan jika mereka mengubah pikiran atau tidak setuju lagi dengan penggunaan data pribadi mereka.
8. Adanya Sanksi
UU PDP mengatur adanya sanksi administratif atas pelanggaran perlindungan data pribadi yang dilakukan oleh pengendali data dan/atau pihak yang memproses data pribadi. Hal ini bertujuan untuk mendorong pengendali data dan pihak yang memproses data untuk mematuhi ketentuan perlindungan data pribadi dan mencegah penyalahgunaan data individu.
Itulah 8 poin penting dalam UU PDP yang perlu diketahui oleh nasabah. Ketentuan tersebut merupakan upaya perlindungan terhadap data pribadi yang dimiliki oleh pengendali informasi terkait data pribadi yang dikumpulkan.
Selain itu, Bank memiliki kewajiban untuk memberitahukan kebocoran data nasabah jika hal tersebut terjadi. Hal ini disebabkan oleh dampak negatif yang dapat terjadi jika perusahaan tidak memberitahukan kebocoran tersebut kepada nasabah.
Dalam hal pelanggaran pemrosesan data pribadi, UU PDP juga memberikan hak kepada subjek data pribadi, termasuk nasabah, untuk mengajukan gugatan dan memperoleh ganti rugi sesuai dengan Pasal 12 ayat (1) UU PDP.
Pemberitahuan kebocoran data merupakan langkah yang penting bagi bank untuk menjaga transparansi dan kepercayaan nasabah. Dengan memberitahukan kebocoran data, nasabah dapat segera mengambil langkah-langkah perlindungan tambahan, seperti memantau aktivitas keuangan mereka atau mengganti informasi pribadi yang terdampak.
Baca juga: Benarkah BSI Terkena Serangan Siber, Bagaimana Perusahaan Bertanggung Jawab jika Demikian?
Selain itu, Pasal 12 ayat (1) UU PDP memberikan perlindungan hukum kepada nasabah dalam hal terjadi pelanggaran pemrosesan data pribadi. Hal ini mendorong perusahaan untuk bertanggung jawab dan memastikan keamanan data pribadi nasabah agar tidak terjadi penyalahgunaan yang merugikan.
*Jika ada informasi yang perlu diluruskan, tinggalkan komentar pada kolom komentar dibawah.
Pewarta Nusantara - Ransomware adalah jenis malware yang dirancang untuk mengenkripsi atau mengunci data di perangkat komputer atau sistem, sehingga pengguna tidak dapat mengaksesnya tanpa memiliki kunci dekripsi yang tepat.
Nama "ransomware" berasal dari kata "ransom" yang berarti tebusan, karena serangan ini biasanya melibatkan permintaan tebusan kepada korban agar data mereka dapat dikembalikan.
Cara kerja Ransomware umumnya dimulai dengan infeksi perangkat melalui berbagai metode, seperti mengklik tautan yang mencurigakan, membuka lampiran email yang berbahaya, mengunduh file dari sumber yang tidak dipercaya, atau memanfaatkan kelemahan dalam sistem keamanan.
Setelah masuk ke perangkat, ransomware akan mulai mengenkripsi file-file penting, termasuk dokumen, foto, video, atau data lainnya yang berharga.
Setelah proses enkripsi selesai, pengguna akan menerima pemberitahuan atau pesan yang menuntut pembayaran tebusan dalam bentuk mata uang digital, seperti Bitcoin, sebagai syarat untuk mendapatkan kunci dekripsi dan mengembalikan akses ke data yang terenkripsi. Jumlah tebusan yang diminta biasanya bervariasi dan dapat sangat tinggi.
Ransomware telah menjadi salah satu ancaman keamanan siber yang paling merusak dan mengganggu. Serangan semacam ini dapat menyebabkan kerugian finansial, kehilangan data yang tak ternilai, dan gangguan operasional yang serius bagi individu, perusahaan, atau organisasi.
Oleh karena itu, penting untuk menjaga keamanan perangkat dan melaksanakan praktik-praktik yang baik dalam menghadapi ancaman ransomware, termasuk pembaruan perangkat lunak, penggunaan perangkat keamanan yang kuat, serta kehati-hatian saat berinteraksi dengan email atau tautan yang mencurigakan.
Baca juga: Benarkah BSI Terkena Serangan Siber, Bagaimana Perusahaan Bertanggung Jawab jika Demikian?
Ransomware Menurut Kevin Mitnick
Salah satu tokoh yang mengartikan ransomware adalah Kevin Mitnick. Kevin Mitnick adalah seorang mantan peretas komputer yang kemudian berubah menjadi seorang konsultan keamanan dan penulis buku.
Ia terkenal karena keahliannya dalam meretas sistem komputer dan pernah menjadi buronan FBI selama beberapa tahun.
Kevin Mitnick memberikan pengertian ransomware sebagai jenis serangan yang mengeksploitasi kelemahan dalam sistem keamanan untuk mengenkripsi data dan meminta pembayaran tebusan agar data tersebut dapat dikembalikan.
Ia menggarisbawahi bahwa ransomware telah menjadi salah satu ancaman terbesar dalam dunia cyber, dengan serangan yang dapat menyebabkan kerugian finansial yang signifikan dan kerugian reputasi bagi perusahaan serta individu.
Mitnick juga menekankan pentingnya kesadaran akan serangan ransomware dan penerapan tindakan pencegahan yang kuat.
Menurutnya, upaya pencegahan termasuk menjaga sistem keamanan yang terkini, melaksanakan kebijakan pembaruan yang ketat, serta melatih pengguna agar waspada terhadap lampiran dan tautan yang mencurigakan.
Mitnick juga menyoroti pentingnya melakukan backup rutin data penting sebagai langkah untuk memulihkan data tanpa harus bergantung pada pembayaran tebusan.
Sebagai seorang ahli keamanan yang memiliki pengalaman dalam meretas dan melindungi sistem, Kevin Mitnick memberikan wawasan yang berharga tentang ancaman ransomware dan pentingnya mengambil langkah-langkah yang tepat untuk melindungi diri dan organisasi dari serangan tersebut.
Pandangan Ransomware Menurut Pakar
Apa itu Ransomware? Baca ini Agar tidak Keliru
Menurut pakar keamanan digital, ransomware adalah salah satu ancaman paling serius dalam dunia keamanan siber saat ini.
Pakar menggambarkan ransomware sebagai jenis serangan yang sangat merusak dan menguntungkan bagi para penyerang. Berikut adalah beberapa pandangan dan pemahaman dari pakar mengenai ransomware:
- Eugene Kaspersky, pendiri perusahaan keamanan cyber Kaspersky Lab, menggambarkan ransomware sebagai "senjata pemerasan masa depan." Menurutnya, ransomware telah menjadi industri yang sangat menguntungkan bagi penjahat siber, karena mudah dilakukan dan menjanjikan keuntungan finansial yang besar.
- Mikko Hypponen, seorang ahli keamanan cyber dan Chief Research Officer di perusahaan keamanan F-Secure, mengatakan bahwa ransomware adalah "senjata pembobolan yang paling efektif dalam sejarah." Ia mengungkapkan bahwa serangan ransomware dapat menyebabkan kerugian finansial yang signifikan bagi individu maupun perusahaan.
- Kevin Mitnick, seorang hacker terkenal yang berubah menjadi konsultan keamanan cyber, mengungkapkan bahwa ransomware telah menjadi serangan yang sangat populer di kalangan penjahat siber. Ia menekankan bahwa serangan ini terus berkembang dengan variasi baru yang terus muncul, sehingga memerlukan upaya yang berkelanjutan dalam meningkatkan keamanan dan kesadaran.
- Brian Krebs, seorang jurnalis keamanan cyber yang terkenal, menyebut ransomware sebagai "bisnis kejahatan yang paling menguntungkan dalam sejarah." Menurutnya, serangan ransomware telah menghasilkan jutaan dolar bagi para penyerang, dan bisnis ini terus berkembang dengan tingkat keberhasilan yang tinggi.
Pandangan para pakar ini menekankan betapa seriusnya ancaman ransomware dan dampaknya yang merugikan. Mereka menyarankan perlunya perhatian yang lebih besar terhadap keamanan siber, perlindungan data yang kuat, serta pendidikan dan kesadaran masyarakat mengenai serangan ransomware untuk mengurangi risiko yang dihadapi.
Pewarta Nusantara - Perkembangan terbaru terkait dugaan Serangan Siber yang menimpa PT Bank Syariah TBk (BSI) masih menjadi perhatian banyak pihak.
Hingga Kamis kemarin, layanan BSI dikabarkan masih mengalami gangguan, dan banyak yang menduga bahwa hal tersebut disebabkan oleh serangan siber.
Seorang pakar forensik digital dari Vaksin.com, Alfons Tanujaya, mengakui adanya rumor mengenai serangan siber bernama Ransomware terhadap sistem BSI.
Namun, tanpa bukti yang solid, sulit untuk memastikan kebenaran dugaan tersebut.
Ransomware, seperti yang dijelaskan dalam laman resmi Telkom University, merupakan jenis virus malware yang mengenkripsi file pada perangkat yang terinfeksi.
Akibatnya, data menjadi tidak bisa dibaca oleh komputer atau laptop yang digunakan. Biasanya, dalam serangan ransomware, para pelaku akan meminta uang tebusan dengan ancaman akan mempublikasikan data korban atau memblokir akses permanen.
Menanggapi dugaan serangan tersebut, Direktur Utama BSI, Hery Gunardi, menyatakan bahwa perlu dilakukan pembuktian lebih lanjut melalui audit dan digital forensik.
Hal ini menunjukkan bahwa BSI mengambil langkah serius dalam menangani situasi ini dan akan melakukan investigasi lebih lanjut untuk mengungkap kebenaran terkait serangan siber yang mungkin terjadi.
Seiring berjalannya waktu, diharapkan akan ada informasi lebih lanjut mengenai dugaan serangan siber terhadap BSI dan tanggung jawab perusahaan dalam mengatasi masalah ini.
Langkah-langkah keamanan dan mitigasi risiko yang dilakukan oleh BSI akan menjadi penting dalam menjaga data dan kepercayaan nasabah.
Meskipun masih dalam dugaan, pakar forensik digital, Alfons, mengungkapkan bahwa serangan siber seperti yang terjadi pada BSI tidaklah baru dan pernah terjadi sebelumnya pada beberapa perusahaan di Indonesia.
Tidak hanya sektor perbankan, tetapi juga lembaga kementerian, perusahaan pertambangan, perusahaan pertanian, hingga perusahaan otomotif terbesar di Indonesia, semuanya pernah menjadi korban serangan siber.
Alfons memberikan contoh konkret mengenai serangan siber ransomware pada suatu lembaga kementerian. Data dari mail server kementerian tersebut berhasil diterobos, dienkripsi, dan kemudian disebarluaskan.
Hal ini menunjukkan bahwa serangan ransomware telah menjadi tren, dengan mayoritas aktivitas malware yang berakhir dengan permintaan uang tebusan.
Melihat fakta bahwa serangan siber tidak terbatas pada sektor perbankan, perusahaan dan lembaga di Indonesia harus meningkatkan kesadaran dan langkah-langkah keamanan mereka.
Serangan serupa dapat terjadi di berbagai industri, dan langkah-langkah pencegahan dan pemulihan harus menjadi perhatian utama dalam menghadapi ancaman ini.
Jika Terjadi Kebocoran Data, Apa Tanggung Jawab Perusahaan?
Ransomware, seperti yang dijelaskan oleh Central Data Technology, merupakan jenis malware yang dapat merusak dan mengunci data pada perangkat.
Dalam hal ini, banyak pihak yang mengkhawatirkan nasib data dan dana nasabah BSI. Namun, Direktur Utama BSI, Hery, telah memastikan bahwa data dan dana nasabah tetap aman meskipun layanan mengalami gangguan.
Hal ini menjadi tanggung jawab perusahaan untuk memitigasi risiko dan menjaga keamanan data dan dana nasabah.
Namun, jika terjadi kebocoran data akibat serangan tersebut, perusahaan memiliki tanggung jawab sebagai Pengendali Data Pribadi sesuai dengan Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP).
Pasal 47 dalam UU tersebut menegaskan bahwa Pengendali Data Pribadi bertanggung jawab atas pemrosesan data pribadi dan harus memenuhi kewajiban dalam melaksanakan prinsip pelindungan data pribadi.
Berikut adalah sanksi administratif yang dapat dikenakan kepada perusahaan jika tidak memenuhi kewajiban dalam mengatasi kebocoran data, sebagaimana diatur dalam Pasal 57 ayat (2) Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP):
- Peringatan tertulis: Perusahaan dapat menerima peringatan tertulis sebagai tindakan pertama dalam menegaskan kewajiban mereka dan memberikan kesempatan untuk memperbaiki keadaan.
- Penghentian sementara kegiatan pemrosesan Data Pribadi: Jika pelanggaran yang dilakukan oleh perusahaan cukup serius, otoritas yang berwenang dapat memerintahkan penghentian sementara kegiatan pemrosesan data pribadi. Langkah ini bertujuan untuk mencegah risiko lebih lanjut terhadap data pribadi yang terkait.
- Penghapusan atau pemusnahan Data Pribadi: Jika perusahaan tidak mengambil langkah yang memadai untuk melindungi data pribadi atau mengatasi kebocoran data, otoritas yang berwenang dapat memerintahkan penghapusan atau pemusnahan data pribadi yang terdampak. Tindakan ini bertujuan untuk menghindari penyalahgunaan data dan melindungi privasi subjek data pribadi.
- Denda administratif: Selain sanksi-sanksi di atas, perusahaan juga dapat dikenakan denda administratif. Besaran denda tersebut akan ditetapkan berdasarkan ketentuan yang berlaku dan dapat bervariasi tergantung pada tingkat pelanggaran yang dilakukan oleh perusahaan.
Perlu diingat bahwa sanksi-sanksi ini ditujukan untuk mendorong perusahaan agar mematuhi peraturan pelindungan data pribadi dan bertanggung jawab dalam mengatasi kebocoran data.
Sanksi tersebut diharapkan dapat memberikan efek jera dan memastikan perlindungan data pribadi yang lebih baik di masa depan.
Jika terjadi kebocoran data, yaitu kegagalan dalam melindungi data pribadi oleh pengendali data pribadi, dalam hal ini perusahaan, maka perusahaan diharuskan memberikan pemberitahuan tertulis kepada subjek data pribadi dan lembaga terkait.
Jika perusahaan tidak memenuhi kewajiban tersebut, maka dapat dikenai sanksi administratif sesuai dengan Pasal 57 ayat (2) UU PDP, seperti peringatan tertulis, penghentian sementara kegiatan pemrosesan data pribadi, penghapusan atau pemusnahan data pribadi, serta denda administratif.
Dalam hal kebocoran data, penting bagi perusahaan untuk bertanggung jawab dan mengambil langkah-langkah yang tepat dalam memulihkan keamanan data serta memberikan pemberitahuan kepada pihak yang terkena dampak.
Hal ini menjadi bagian integral dalam menjaga kepercayaan nasabah dan menjalankan kewajiban sesuai dengan peraturan yang berlaku.