OPINI: Belajar dari Serangan Siber di BSI

Bank syariah tidak kebal dengan serangan siber. Ini mungkin ungkapan yang cukup tepat untuk melukiskan kondisi yang sempat dialami oleh Bank Syariah Indonesia (BSI) di awal Mei 2023.

Data yang dilansir oleh Kaspersky, Indonesia termasuk target sasaran serangan siber. Ada 131.779 kasus serangan siber di Indonesia, termasuk tertinggi di kawasan Asia Tenggara. Target utama serangan siber, masih menurut Kaspersky, ada di sektor jasa perbankan dan keuangan lainnya. Selain BSI, lembaga atau perusahaan jasa keuangan yang pernah mengalami serangan siber, di antaranya BI, Bank Jatim, dan Ditjen Pajak.

Serangan siber ke BSI berakibat pada lumpuhnya transaksi melalui jaringan ATM dan mobile banking BSI.

Selama serangan siber ini, nasabah BSI tidak bisa melakukan transaksi baik melalui ATM atau mobile banking BSI. Menteri BUMN Erick Thohir dalam pernyataannya, mengamini sistem BSI sedang dalam perbaikan dan tidak menampik terjadinya serangan ransomware.

Adapun ransomware merupakan salah satu model serangan siber dengan cara melemahkan sistem melalui proses penguasaan dan penguncian oleh hacker. Proses selanjutnya hacker akan meminta tebusan imbalan kepada pihak yang menjadi target serangan.

Biasanya modus dari model ransomware, jika tebusannya tidak dibayar, hacker-nya mengancam akan membocorkan data ke publik.

Di sinilah yang menjadi letak ketakutan dari sejumlah nasabah BSI, jika data rahasia nasabah BSI di-share ke publik. Lebih ditakutkan lagi, jika ada pembobolan dana di rekening nasabah BSI yang menjadikan hilangnya dana nasabah BSI.

Berdasarkan laporan keuangan yang dirilis PT Bank BSI, Tbk., per 31 Maret 2023, saat ini BSI telah mengelola aset dengan total aset sebanyak Rp313 triliun, dengan liabilitas Rp278 triliun dan ekuitas Rp34,9 triliun.

BSI merupakan hasil merger dari tiga bank syariah pelat merah, yaitu Bank Syariah Mandiri (BSM), Bank BNI Syariah, dan Bank BRI Syariah. Namun, tantangan yang dihadapi BSI pasca-merger juga sangat besar sekali, khususnya dalam keamanan sistem IT yang digunakannya.

Kelumpuhan jaringan sistem IT BSI yang mengakibatkan tidak berfungsinya transaksi via ATM dan mobile banking akibat serangan siber, menandakan bahwa IT security system yang dimiliki BSI termasuk lemah.

Kelemahan seperti ini sebaiknya bisa dideteksi lebih dini oleh Divisi Manajemen Risiko BSI sebagai bentuk penerapan fungsi pengendalian risiko. Divisi Manajemen Risiko BSI seharusnya menjalankan fungsi sistem peringatan dan deteksi dini, atas kondisi riil IT security system.

Dalam perspektif good corporate gorvenance (GCG), tata kelola perusahaan yang baik, semestinya Divisi Manajemen Risiko setiap bulan memberikan laporan profil risiko ke jajaran top management.

Kelemahan Sistem

Ada beberapa logika dasar yang bisa diajukan sebagai asumsi untuk menganalisis kenapa sistem IT BSI dapat dibobol oleh serangan siber. Pertama, bisa jadi selama ini belum atau tidak terdeteksi adanya kelemahan dalam IT security system BSI.

Di beberapa bank, kondisi seperti ini sangat dimungkinkan terjadi karena disebabkan tidak berjalannya mekanisme audit IT secara mendalam. Problemnya karena tidak adanya SDM yang kompeten dalam audit IT.

Kedua, sedari awal sudah teridentifikasi adanya kelemahan tersebut. Namun, tidak cepat untuk ditindaklanjuti dengan memperkuat pertahanan keamanan sistem IT-nya. Faktor penyebabnya bisa jadi karena tidak ada kebijakan progresif dari manajemen untuk belanja investasi memperkuat pertahanan IT security system-nya.

Alasannya tidak ada anggaran belanja investasi tersebut, karena cost-nya berbiaya tinggi. Terjadinya serangan siber yang melumpuhkan transaksi mobile banking dan ATM di BSI awal bulan Mei 2023 lalu menjadi pelajaran berharga bagi industri jasa keuangan di Indonesia, khususnya industri keuangan syariah.

Ada beberapa catatan yang perlu menjadi perhatian bersama. Pertama, terkait dengan posititioning BSI di tengah industri jasa keuangan di Indonesia merupakan bank syariah yang mengelola aset terbesar. Kedua, serangan siber ke BSI mempunyai banyak motif, termasuk tidak menafikkan adanya motif menahan gerak laju BSI.

Posisi BSI sebagai bank terbesar ke-6 di Indonesia merupakan satu-satunya bank syariah pendatang baru yang berhadapan langsung dengan raksasa bank konvensional lainnya. BSI harus berani mengambil langkah strategis untuk mengembalikan risiko reputasi yang tergerus dari adanya serangan siber.

Langkah tepat sudah dilakukan oleh manajemen BSI dengan merombak susunan pengurus BSI dan fungsi pengawasan yang ada di tangan Dewan Komisaris perlu ditingkatkan dan berjalan secara efektif.

Jajaran Dewan Komisaris BSI perlu dijabat oleh orang yang mempunyai kompetensi dan pengalaman di perbankan. BSI juga perlu merencanakan dalam road map pengembangan IT-nya agar melakukan belanja investasi untuk peningkatan sistem keamanan siber dan teknologi informasi yang andal. 

AM Hasan Ali
Pendiri Sharia Business Intelligence (SBI) & Kandidat Doktor Hukum Ekonomi Syariah UIN Syarif Hidayatullah

Cek Berita dan Artikel yang lain di Google News

Sumber : JIBI/Bisnis Indonesia