Reporter: Maria Gelvina Maysha | Editor: Handoyo .
KONTAN.CO.ID - JAKARTA. Bank Syariah Indonesia (BSI) diduga mengalami serangan ransomware yang dilakukan oleh kelompok hacker Lockbit 3.0. Insiden ini diklaim telah berhasil mencuri 1,5 TB data nasabah, dokumen finansial, dokumen legal, perjanjian kerahasiaan, serta password akses internal serta layanan perusahaan.
Sebagai tanggapan atas insiden tersebut, Lembaga Studi dan Advokasi Masyarakat (ELSAM) menghimbau agar BSI berpegang pada imlementasi Undang-undang Perlindungan Data Pribadi (UU PDP) untuk memastikan pelindungan terhadap hak-hak subjek data, dan tetap merujuk pada sejumlah regulasi, seperti seperti Peraturan OJK, Peraturan Pemerintah No. 71/2019 tentang Penyelenggaraan Sistem dan Transisi Elektronik (PP PSTE), serta Permenkominfo No. 20/2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik (Permenkominfo PDPSE).
ELSAM menyebut kehadiran UU PDP dapat menjadi rujukan tambahan dalam mengoptimalkan langkah-langkah pelindungan data pribadi, misalnya terkait dengan langkah-langkah yang harus dilakukan ketika terjadi kegagalan dalam pelindungan data pribadi, termasuk kewajiban untuk memberikan notifikasi.
Baca Juga: Dirut BSI Bertemu dengan Kepala BSSN, Bahas Penanganan Serangan Siber
Tak hanya itu, guna memastikan perlindungan dan pemenuhan hak-hak subjek data, ELSAM mendesak pihak-pihak terkait untuk segera melakukan langkah-langkah berikut ini.
Pertama, BSI segera memberikan notifikasi perihal terjadinya kegagalan pelindungan data pribadi kepada nasabah tanpa penundaan yang tidak perlu (without undue delayed) dan secara tertulis, yang setidaknya memuat informasi mengenai data pribadi yang terungkap, kapan, dan bagaimana data tersebut terungkap, serta upaya penanganan dan pemulihan atas kegagalan. Selain itu BSI juga harus memberikan penjelasan mengenai kontak informasi yang dapat dihubungi oleh subjek data, juga langkah-langkah mitigasi yang dapat dilakukan untuk dapat meminimalisir risiko akibat kebocoran data.
Kedua, Otoritas Jasa Keuangan (OJK) segera melakukan evaluasi terhadap langkah mitigasi dan memastikan pemutakhiran rencana pemulihan bencana BSI telah sesuai dengan POJK PTI, serta audit dan evaluasi keseluruhan rencana mitigasi dan pemulihan sistem teknologi informasi dari industri perbankan.
Baca Juga: Bank-Bank Perkuat Investasi IT dan Talenta Digital
Ketiga, Kementerian Informasi dan Komunikasi (Kominfo), dengan kewenangan pengawasan yang dimilikinya berdasarkan Pasal 35 PP 71/2019 seharusnya segera melakukan proses investigasi dan menyelesaikan kasus secara akuntabel, dengan mengidentifikasi penyebab kegagalan pelindungan data pribadi, mengidentifikasi kerugian baik pada pengendali, prosesor, maupun subjek data, serta mengumumkan laporan hasil investigasi secara akuntabel, serta langkah-langkah yang sudah dilakukan. Kominfo juga harus memastikan proses pemulihan terhadap hak-hak subjek data.
Keempat, Badan Siber dan Sandi Negara (BSSN) harus segera melakukan pemantauan dan investigasi terkait insiden keamanan siber yang dialami BSI, untuk dapat diidentifikasi sumber serangan, kerentanan sistem keamanan yang memungkinkan terjadinya serangan, serta langkah lanjutan yang harus dilakukan. Selain itu, BSSN juga perlu memastikan adanya audit keamanan secara berkala, termasuk juga penerapan standar keamanan yang kuat bagi keseluruhan industri perbankan dan keuangan.
Cek Berita dan Artikel yang lain di Google News
