Ketika Ransomware BSI Menggoyang Qanun LKS

Dr Teuku Aulia Geumpana BIT MSc, Akademisi dan pemerhati dunia IT, Dosen University of Newcastle Australia dan pengurus Ashabul Kahfi Islamic Centre Sydney

MENCEGAH lebih baik daripada mengobati. Semboyan ini mungkin bisa menjadi refleksi kita terhadap kejadian yang saat ini sedang menimpa Bank Syariah Indonesia (BSI). Beberapa hari yang lalu, ramainya pemberitaan di media masa mengenai sistem BSI yang error akibat serangan siber ransomware.

Serangan ransomware BSI ini juga menimbulkan banyak pertanyaan di masyarakat mengenai kekokohan (robustness) qanun Lembaga Keuangan Syariah (LKS) dalam hal menjaga atau mengatur sistem keamanan siber pada bank syariah terbesar di Indonesia ini.

Pada dasarnya, serangan ransomware ini bisa terjadi kepada siapa saja. Jangankan BSI, di tahun 2022 yang lalu, Australia juga dihebohkan secara nasional karena mendapat salah satu ransomware attack terbesar dalam sejarah Australia. Adalah salah satu provider mobile terbesar di Australia (Optus) kena serangan ransomware. Sekitar 10 juta data identitas pelanggan diretas.

Masih di tahun yang sama, Medibank salah satu penyedia jasa asuransi terkenal di Australia juga terkena serangan ransomware. Juga sekitar 10 juta data pelanggannya dicuri. Australian National University (ANU) yang sudah menjadi top worldclass university pun tidak luput dari ransomware attack di tahun 2018. Akibatnya, 200 ribu data mahasiswa dan pegawai ANU ikut terkompromikan oleh serangan ransomware.

Ancaman besar

Setiap tahun Australia mendapat sekitar 300 ribu serangan siber dan sekitar 500 nya adalah serangan ransomware. Walaupun demikian, Australia adalah negara yang menduduki peringkat pertama di dunia di antara negara-negara yang menunjukkan kemajuan dan komitmen terbesar untuk meningkatkan keamanan dunia siber, menurut indeks terbaru yang diterbitkan oleh Massachusetts Institute of Technology (MIT) di 2023. Ini berarti, untuk negara maju sekalipun, serangan ransomware atau serangan siber lainnya tetap menjadi ancaman besar.

Nah bagaimana dengan Indonesia? Badan Siber dan Sandi Negara (BSSN) menyatakan bahwa ada sekitar 1 miliar serangan siber di tahun 2022 saja. BSI adalah salah satu contoh insiden serangan yang bisa saja terjadi pada bank atau institusi lainnya. Tanggung jawab pertahanan keamanan siber seharusnya tidak semata-mata dibebankan hanya kepada pelaku bisnis. Tapi pemerintah juga punya tanggung jawab untuk ikut serta mencegah terjadinya serangan-serangan ini.

Belajar dari Australia, dalam merespons ransomware Optus dan Medibank di tahun 2022, pemerintah Australia membuat banyak kebijakan-kebijakan seperti, meningkatkan infrastruktur keamanan siber, memperkuat regulasi, memperbanyak kolaborasi dan riset pertahanan siber, memperkuat kesigapan dalam merespons insiden siber, melibatkan konsultan siber swasta supaya lebih ramai elemen masyarakat yang terlibat, meningkatkan kesadaran keamanan siber dan lain sebagainya.

Kebijakan-kebijakan di atas telah dimanifestasikan oleh pemerintah Australia ke dalam aturan yang disebut Ransomware Action Plan (RAP). Dimana, RAP bertugas untuk memberikan standar tindakan pencegahan, tanggap dan pemulihan, serta menghambat dan mempersulit ruang gerak penyerang keamanan siber. Di Indonesia, hal serupa sebenarnya sudah ada. Pemberian peringatan insiden keamanan siber telah menjadi salah satu tanggung jawab dari direktorat operasi keamanan siber Indonesia bernama ID-SIRTII (Indonesia Security Incident Response Team on Internet Infrastructure).

ID-SIRTII juga sudah memberikan beberapa rekomendasi demi melindungi diri dari serangan ransomware seperti mengupdate dan memantau perangkat lunak, menerapkan prinsip keamanan lapis ganda, melakukan uji penetrasi dan lain sebagainya. Hanya saja, dari hasil penelusuran penulis mengenai layanan tanggap insiden siber di laman webnya, salah satu syarat untuk mendapatkan pelayanan ini haruslah menjadi konstituen Gov-CSIRT Indonesia yang meliputi pemerintah pusat dan daerah. ID-SIRTII juga memberikan jangka waktu pelayanan selama 18 hari kerja untuk setiap laporan yang masuk.

Dimana waktu layanan tanggap ini terhitung lama jika dibandingkan dengan layanan tanggap 24 jam yang diberikan oleh the Australian Cyber Security Centre (ACSC). Ini menunjukkan bahwa dalam hal tanggap insiden serangan siber di Indonesia masih banyak ruang yang bisa diimprovisasi dari sisi regulasi.

Semangat hijrah

Setelah serangan ransomware BSI santer diberitakan, kini muncul serangan lain yang tidak kalah nyaring disuarakan, yaitu untuk membawa kembali Bank Konven ke Aceh. Hal ini diutarakan oleh beberapa tokoh masyarakat juga bahkan anggota dewan asal Aceh. Terlepas dari apakah perlu membawa kembali bank konven ke Aceh atau cukup memperkuat Qanun LKS (Lembaga Keuangan Syariah), penulis menyerahkan kembali ke para pakar di bidangnya.

Pertanyaannya, apakah dengan membawa balik bank konven, akan ada jaminan tidak ada lagi serangan siber ke depannya? Atau mungkin ada harapan bank konven bisa menghandle situasi serangan siber ini dengan lebih baik? bisa jadi demikian, dengan pertimbangan bank konven sudah jauh lebih lama beroperasi di Indonesia bahkan di dunia. Di sini, penulis teringat akan kisah perjalanan hijrah salah seorang ummahatul mukminin, Ummu Salamah dari Mekkah ke Madinah dalam rangka memenuhi seruan berhijrah.

Perjalanan tersebut tidaklah mudah, dimana hijrah tersebut dicegah dengan memisahkan Ummu Salamah, Abu Salamah dan anak mereka secara paksa. Sehingga, hanya Abu Salamah yang berhasil melanjutkan perjalanan hijrahnya menuju Madinah. Sedangkan Ummu Salamah, harus hidup sebatang kara di Mekkah terpisah dari suami dan anaknya sampai lebih dari setahun lamanya. Singkat cerita, setelah setahun lebih berlalu, barulah Ummu Salamah dipersatukan kembali dengan anaknya.

Walaupun sudah setahun lamanya, niat Ummu Salamah untuk hijrah tidaklah kendur. Beliau tetap melanjutkan perjalanan hijrah berdua dengan anaknya walaupun keduanya tidak tahu jalan menuju Madinah. Semangat untuk hijrah yang ditunjukkan oleh Ummu Salamah harus menjadi sikap dan nafas yang menghidupi qanun LKS dalam menerapkan syariah di Bumi Serambi Mekkah. Setiap permasalahan yang dialami harus dievaluasi dan dicari jalan keluar terbaiknya.

Penulis berpendapat bahwa ketika Aceh meresmikan qanun LKS tentu Aceh punya mimpi untuk mewujudkan negeri yang bersyariat. Haruskah mimpi memiliki negeri bersyariat ini dikubur dengan sebuah insiden ransomware? Memang benar, kejadian serangan siber BSI yang lalu terkesan bertolak belakang dengan salah satu tujuan maqasid al-khamsa yaitu untuk menjaga harta (Hifdz Al-Maal), sedangkan serangan yang lalu telah membahayakan harta para nasabahnya.

Dan harus diakui bahwa insiden ini telah memperburuk citra bank syariah karena menunjukkan adanya kelemahan pada bidang mitigasi bencana siber. Akan tetapi, mengambil ibrah dari kejadian hijrah Ummu Salamah, penulis melihat insiden ransomware BSI bisa menjadi momen evaluasi untuk perbaikan dan penguatan qanun LKS. Jangan sampai satu dua permasalahan menghalangi niat mulia untuk membangun negeri bersyariat.
Implementasinya, penguatan regulasi siber Indonesia dan khususnya qanun LKS harus bisa bersinergi dengan baik. Qanun LKS harus terus dikuatkan dan didukung oleh seluruh elemen masyarakat. Praktisi IT dan akademisi lintas disiplin harus bahu membahu memberikan masukan dan rekomendasi untuk menciptakan qanun yang lebih kuat ke depannya.

Sehingga ada mekanisme yang bisa diambil secara standar ketika serangan serupa terjadi lagi di kemudian hari dan bank syariah, tetap terlindungi dengan baik dalam menghadapi tantangan teknologi yang terus berkembang. Dan lagi, bank syariah di Aceh bukan hanya BSI, di samping mencontoh usulan perbaikan dari negara tetangga Australia, mungkin ke depannya perlu dilakukan kerja sama dengan bank-bank syariah lainnya dalam hal penguatan keamanan siber demi mengantisipasi serangan-serangan lainnya.

Jadi, kesimpulannya, serangan ransomware BSI ini bisa terjadi pada organisasi mana saja. Mitigasi dan kontingensi ketika insiden harus lebih diperkuat termasuk dalam menciptakan regulasi siber yang berpihak dan membantu korban serangan siber di Indonesia.

Tidak perlu lagi saling menyalahkan, tapi marilah saling bekerja sama baik dari elemen pemerintah, akademik, praktisi keamanan siber dan juga pelaku bisnis demi menciptakan keamanan siber yang merata sehingga bisa lebih sigap mencegah serangan-serangan siber lainnya ke depan. Ingat, mencegah lebih baik daripada mengobati.