LockBit Klaim Jual Data BSI ke Dark Web, Pakar IT: Perusahaan Sudah Punya SOP Serangan Siber

Warta Ekonomi, Yogyakarta -

Chairman Lembaga Riset Keamanan Siber Communication & Information System Security Research Centre (CISSRec) Pratama Persadha mengatakan bahwa negosiasi dengan peretas bukan langkah yang tepat untuk dilakukan dalam kasus serangan ransomware.

Sebelumnya, kelompok peretas LockBit mengatakan bahwa mereka akan menjual data nasabah dan karyawan PT Bank Syariah Indonesia (BSI) Tbk yang ada di tangan mereka ke dark web, setelah gagal melalui proses negosiasi.

“Belum tentu kita betul-betul mendapatkan kunci untuk membuka file yang sudah terenkripsi. Kita juga tidak mendapat jaminan bahwa file serta data yang mereka dapatkan tidak akan mereka umbar atau bahkan dijual ke dark web, ditambah pembayaran tebusan akan semakin memacu geng ransomware untuk terus melakukan serangan siber kepada target lainnya, terutama yang termasuk dalam Infrastruktur Informasi Vital (IIV) lainnya seperti perusahan listrik, telekomunikasi, perbankan, dan lain-lain,” ungkap Pratama kepada Warta Ekonomi, Rabu (17/5/2023). 

Baca Juga: Data Nasabah & Karyawan BSI Diduga Bocor ke Tangan Peretas, Ini Kata Pakar Keamanan Siber

Pratama meyakini bahwa lembaga yang termasuk IIV sudah memiliki standar operasional prosedur (SOP) yang cukup lengkap untuk melakukan mitigasi terhadap setiap kejadian.

Salah satu prosedur yang secara umum dimiliki oleh perbankan adalah melakukan backup secara berkala, sehingga dapat segera dilakukan pemulihan jika terjadi gangguan pada file atau database.

Ada pula prosedur pemantauan aktivitas jaringan, sampai prosedur pengecekan kerawanan dan celah keamanan.

Sementara itu, menurut Pratama, pihak yang bertanggung jawab dalam kasus kebocoran data adalah perusahaan sebagai pengendali atau pemroses data dan pelaku kejahatan siber yang menyebarkan data pribadi ke ruang publik. UU Perlindungan Data Pribadi (PDP) yang telah disahkan September 2022 lalu pun dapat menjadi dasar hukum.

“Untuk pihak-pihak yang berdomisili di Indonesia, kita bisa menggunakan UU PDP Pasal 57 sebagai dasar tuntutan, meskipun hal tersebut masih belum bisa dilaksanakan saat ini karena UU PDP baru akan aktif mulai Oktober 2024, ditambah belum adanya lembaga atau otoritas yang bertugas menyelenggarakan PDP seperti disebutkan di Pasal 58 s.d. Pasal 60 UU PDP, di mana lembaga pengawas PDP ini berada di bawah Presiden dan bertanggung jawab pada Presiden. Sedangkan untuk pelaku kejahatan yang berada di luar negeri, kita harus bekerja sama dengan dinas lain terkait seperti FBI,” terang Pratama.

Langkah yang perlu segera diambil, menurut Pratama, adalah membentuk Komisi PDP sesuai UU PDP. Dengan melakukan pembentukan lembaga ini, proses penegakan hukum dapat segera diterapkan.