Ketika Ransomware BSI Menggoyang Qanun LKS

Dr Teuku Aulia Geumpana BIT MSc, Akademisi dan pemerhati dunia IT, Dosen University of Newcastle Australia dan pengurus Ashabul Kahfi Islamic Centre Sydney

MENCEGAH lebih baik daripada mengobati. Semboyan ini mungkin bisa menjadi refleksi kita terhadap kejadian yang saat ini sedang menimpa Bank Syariah Indonesia (BSI). Beberapa hari yang lalu, ramainya pemberitaan di media masa mengenai sistem BSI yang error akibat serangan siber ransomware.

Serangan ransomware BSI ini juga menimbulkan banyak pertanyaan di masyarakat mengenai kekokohan (robustness) qanun Lembaga Keuangan Syariah (LKS) dalam hal menjaga atau mengatur sistem keamanan siber pada bank syariah terbesar di Indonesia ini.

Pada dasarnya, serangan ransomware ini bisa terjadi kepada siapa saja. Jangankan BSI, di tahun 2022 yang lalu, Australia juga dihebohkan secara nasional karena mendapat salah satu ransomware attack terbesar dalam sejarah Australia. Adalah salah satu provider mobile terbesar di Australia (Optus) kena serangan ransomware. Sekitar 10 juta data identitas pelanggan diretas.

Masih di tahun yang sama, Medibank salah satu penyedia jasa asuransi terkenal di Australia juga terkena serangan ransomware. Juga sekitar 10 juta data pelanggannya dicuri. Australian National University (ANU) yang sudah menjadi top worldclass university pun tidak luput dari ransomware attack di tahun 2018. Akibatnya, 200 ribu data mahasiswa dan pegawai ANU ikut terkompromikan oleh serangan ransomware.

Ancaman besar

Setiap tahun Australia mendapat sekitar 300 ribu serangan siber dan sekitar 500 nya adalah serangan ransomware. Walaupun demikian, Australia adalah negara yang menduduki peringkat pertama di dunia di antara negara-negara yang menunjukkan kemajuan dan komitmen terbesar untuk meningkatkan keamanan dunia siber, menurut indeks terbaru yang diterbitkan oleh Massachusetts Institute of Technology (MIT) di 2023. Ini berarti, untuk negara maju sekalipun, serangan ransomware atau serangan siber lainnya tetap menjadi ancaman besar.

Nah bagaimana dengan Indonesia? Badan Siber dan Sandi Negara (BSSN) menyatakan bahwa ada sekitar 1 miliar serangan siber di tahun 2022 saja. BSI adalah salah satu contoh insiden serangan yang bisa saja terjadi pada bank atau institusi lainnya. Tanggung jawab pertahanan keamanan siber seharusnya tidak semata-mata dibebankan hanya kepada pelaku bisnis. Tapi pemerintah juga punya tanggung jawab untuk ikut serta mencegah terjadinya serangan-serangan ini.

Belajar dari Australia, dalam merespons ransomware Optus dan Medibank di tahun 2022, pemerintah Australia membuat banyak kebijakan-kebijakan seperti, meningkatkan infrastruktur keamanan siber, memperkuat regulasi, memperbanyak kolaborasi dan riset pertahanan siber, memperkuat kesigapan dalam merespons insiden siber, melibatkan konsultan siber swasta supaya lebih ramai elemen masyarakat yang terlibat, meningkatkan kesadaran keamanan siber dan lain sebagainya.

Kebijakan-kebijakan di atas telah dimanifestasikan oleh pemerintah Australia ke dalam aturan yang disebut Ransomware Action Plan (RAP). Dimana, RAP bertugas untuk memberikan standar tindakan pencegahan, tanggap dan pemulihan, serta menghambat dan mempersulit ruang gerak penyerang keamanan siber. Di Indonesia, hal serupa sebenarnya sudah ada. Pemberian peringatan insiden keamanan siber telah menjadi salah satu tanggung jawab dari direktorat operasi keamanan siber Indonesia bernama ID-SIRTII (Indonesia Security Incident Response Team on Internet Infrastructure).

ID-SIRTII juga sudah memberikan beberapa rekomendasi demi melindungi diri dari serangan ransomware seperti mengupdate dan memantau perangkat lunak, menerapkan prinsip keamanan lapis ganda, melakukan uji penetrasi dan lain sebagainya. Hanya saja, dari hasil penelusuran penulis mengenai layanan tanggap insiden siber di laman webnya, salah satu syarat untuk mendapatkan pelayanan ini haruslah menjadi konstituen Gov-CSIRT Indonesia yang meliputi pemerintah pusat dan daerah. ID-SIRTII juga memberikan jangka waktu pelayanan selama 18 hari kerja untuk setiap laporan yang masuk.

Dimana waktu layanan tanggap ini terhitung lama jika dibandingkan dengan layanan tanggap 24 jam yang diberikan oleh the Australian Cyber Security Centre (ACSC). Ini menunjukkan bahwa dalam hal tanggap insiden serangan siber di Indonesia masih banyak ruang yang bisa diimprovisasi dari sisi regulasi.

Semangat hijrah

Setelah serangan ransomware BSI santer diberitakan, kini muncul serangan lain yang tidak kalah nyaring disuarakan, yaitu untuk membawa kembali Bank Konven ke Aceh. Hal ini diutarakan oleh beberapa tokoh masyarakat juga bahkan anggota dewan asal Aceh. Terlepas dari apakah perlu membawa kembali bank konven ke Aceh atau cukup memperkuat Qanun LKS (Lembaga Keuangan Syariah), penulis menyerahkan kembali ke para pakar di bidangnya.

Pertanyaannya, apakah dengan membawa balik bank konven, akan ada jaminan tidak ada lagi serangan siber ke depannya? Atau mungkin ada harapan bank konven bisa menghandle situasi serangan siber ini dengan lebih baik? bisa jadi demikian, dengan pertimbangan bank konven sudah jauh lebih lama beroperasi di Indonesia bahkan di dunia. Di sini, penulis teringat akan kisah perjalanan hijrah salah seorang ummahatul mukminin, Ummu Salamah dari Mekkah ke Madinah dalam rangka memenuhi seruan berhijrah.