Apa Penyebab Sistem BSI Jebol

Sampai kini Awi pun masih khawatir uang yang telah disetorkan ke BSI nyangkut, tak bisa buat membayar bahan bakar minyak ke Pertamina. Ketika layanan BSI benar-benar tak bisa digunakan, Pertamina mau memberikan fasilitas kredit. "Tapi cuma tiga hari," tutur Awi. Kini Awi dan para pengusaha lain di Aceh mengambil inisiatif lain, termasuk menyetorkan dana lewat skema RTGS ke Bank Syariah Aceh. 

Di antara semua daerah di Indonesia, Aceh paling terkena dampak gangguan layanan BSI. Maklum saja, daerah yang menerapkan aturan syariah itu melarang warganya memakai jasa bank konvensional. Larangan ini berlaku setelah Aceh menerapkan Qanun Nomor 11 Tahun 2018 tentang Lembaga Keuangan Syariah. Di Aceh, pangsa pasar pembiayaan BSI melampaui 50 persen dan porsinya lebih besar untuk transaksi keuangan. 

Kini manajemen BSI sedang memperbaiki sistem sekaligus menelisik penyebab jebolnya sistem keamanan siber mereka. Direktur Penjualan dan Distribusi BSI Anton Sukarna mengatakan layanan host-to-host sudah normal pada Senin, 15 Mei lalu, atau sepekan setelah gangguan terjadi. Menurut Anton, BSI terus memperbaiki layanan dan sistem jaringan di semua wilayah, termasuk di Aceh. Anton pun mengakui ada dampak gangguan operasi, antara lain peluang bisnis yang hilang. “Bayangkan kalau sehari saja kami tidak beroperasi, ada berapa ratus miliar pembiayaan yang tidak bisa kita rilis," ujarnya di kantor Tempo pada Kamis, 25 Mei lalu.

•••

GEJALA gangguan operasi Bank Syariah Indonesia sudah terasa sejak Senin pagi, 8 Mei lalu. Pada jam-jam itu, biasanya jaringan komputer bank mulai panas karena arus transaksi meningkat. Tapi saat itu sistem tersebut tidak bekerja optimal. Walhasil, Direktur Penjualan dan Distribusi BSI Anton Sukarna mengungkapkan, mekanisme restart atau penyetelan ulang sistem terpaksa dilakukan. "Tetap tidak bisa. Setelah dicek, ketemu masalahnya, langsung kami matikan sistemnya," ucapnya. "Kalau tidak dimatikan, virus bisa masuk ke sistem." 

Anton menganalogikan sistem operasi BSI seperti mesin pesawat. Ada tiga peladen atau server yang menjalankan sistem tersebut. Salah satunya berada di jaringan komputasi awan atau cloud computing. Saat serangan ransomware atau virus yang disebar peretas jahat pertama kali terdeteksi, tim teknologi informasi BSI mencoba menghidupkan mesin yang lain.

Saat sistem ini dimatikan, gangguan operasi pun terjadi. Nasabah BSI tak bisa menggunakan layanan Internet dan mobile banking ataupun bertransaksi di kantor cabang. Kartu debit dan kredit BSI tak bisa dipakai berbelanja, anjungan tunai mandiri pun ogah mengeluarkan uang. Semua mati total. "Karena kami sengaja mematikan sistem dari pusat," kata Anton.

Bank Indonesia sebagai regulator sistem pembayaran kemudian mendapat laporan tentang dugaan serangan ransomware. Bank sentral itu lantas mengeluarkan BSI dari sistem pembayaran nasional dan transaksi ke bank ini diblokir. Tujuannya adalah sistem perbankan nasional tak ikut terkontaminasi.

Otoritas Jasa Keuangan mendapat laporan yang sama. Kepala Eksekutif Pengawas Perbankan OJK Dian Ediana Rae mengatakan, setelah menerima laporan, lembaganya langsung mengirim pengawas teknologi informasi ke BSI. "Pengawas sampai sekarang masih di sana, ikut mengawasi pemulihan dan audit forensik," tuturnya di kantornya pada Jumat, 26 Mei lalu.

Aktivitas pelayanan keuangan di booth Bank Aceh di Lapangan Alun-Alun Kota Sigli, Pidie, Aceh, 21 Maret 2023. Foto: Bankaceh.co.id

Yang jadi masalah pada hari itu adalah publik tidak tahu apa yang sedang terjadi. Senyampang dengan situasi itu, muncul kekhawatiran bank syariah terbesar di Indonesia ini mengalami sesuatu yang buruk dan dampaknya merembet ke bank-bank lain serta mempengaruhi dana nasabah.

Pada 8 Mei itu, manajemen BSI hanya mengatakan sedang mengadakan pemeliharaan sistem sehingga semua layanan tidak bisa diakses untuk sementara waktu. Sehari kemudian, BSI mengumumkan sebagian layanan mereka telah pulih, antara lain transaksi di kantor cabang. Fitur-fitur dasar BSI Mobile juga bisa digunakan. Namun kepulihan itu tak bertahan lama.

Pada Rabu, 10 Mei lalu, Menteri Badan Usaha Milik Negara Erick Thohir membuka sinyal adanya serangan peretas terhadap sistem BSI. Kepada para jurnalis di Labuan Bajo, Nusa Tenggara Timur, Erick mengatakan gangguan tersebut adalah bagian dari proses transisi perbaikan sistem teknologi informasi BSI, meski dia juga tak menampik kabar tentang masuknya peretas. "Saya bukan ahlinya. Disebutkan ada tiga poin, apa, lah, itu, sehingga mereka down hampir satu hari," ujarnya. Erick pun meminta BSI segera mengembalikan pelayanan dan memperbaiki kualitas keamanan siber. 

Indikasi serangan peretas makin kuat setelah pada Jumat, 12 Mei lalu, LockBit 3.0 mengklaim serangan mereka yang membuat layanan BSI terganggu. LockBit 3.0 adalah kelompok peretas yang biasa menebar ransomware alias virus penjebol sistem keamanan untuk meminta uang tebusan. LockBit dikenal dengan aksi pemerasannya terhadap perusahaan atau lembaga yang datanya mereka gasak. LockBit mengklaim sudah mengambil 15 juta data nasabah, informasi karyawan BSI, dan data lain dengan ukuran 1,5 terabita. Mereka mengancam akan menjual data tersebut ke pasar gelap jika sampai 15 Mei 2023 BSI tak mau memberi tebusan.

Setelah tenggat itu terlampaui, LockBit merilis data yang mereka garong di forum-forum gelap. Sampelnya pun dibagikan di media sosial. Koran Tempo mencoba memeriksa keaslian data yang diklaim LockBit. Dua di antaranya adalah rekening milik seorang pelajar dengan saldo rata-rata Rp 425 ribu dan seorang karyawan swasta dengan saldo rata-rata Rp 813 ribu. Tempo mencoba mengirim dana memakai aplikasi mobile banking bank lain, terbukti rekening tersebut benar nasabah BSI.

Tak cukup membuka sampel data curian, LockBit menyebar tangkapan layar berisi percakapan yang mereka sebut sebagai negosiasi dengan BSI. Dalam tangkapan layar yang beredar di media sosial itu, LockBit meminta US$ 20 juta dan BSI menawar US$ 100 ribu. Ihwal negosiasi ini dibantah oleh Anton Sukarna dan Dian Ediane Rae. Dian bahkan mengaku sudah memerintahkan manajemen BSI tidak bernegosiasi dengan LockBit. "Jangan sampai orang menyandera lalu kita menyerah, bisa menjadi modus buat para penjahat," ucapnya. 

Perihal nomor rekening yang bocor, Anton membenarkan data tersebut milik BSI. "Nomor rekening bukan hal confidential hari ini. Nomor rekening saya bisa diketahui orang lain kalau pas saya jual mobil," ujarnya. Menurut Anton, sebagian besar data yang diklaim milik BSI adalah angka statistik dan laporan. 

Contoh data yang terlihat antara lain bernama "Berkas Rumah Dinas BSI", "Dokumen Syarat Akad 19 April 2022", "Dokumentasi Area Bjm (Banjarmasin)", "Perpanjangan Sewa ATM Pelita Insani", "All Employeers BSI", "Wholesale Banking", "Financing Risk & Recovery", dan "Fahmi CBO". "Itu bukan data inti (core), tapi data yang tersimpan di komputer," kata Anton. Data inti yang dia maksudkan antara lain catatan rinci transaksi keuangan.

Menurut Anton, BSI menyimpan data inti pada platform sistem operasi perbankan buatan Temenos, perusahaan asal Swiss. Di Indonesia, agen Temenos adalah Anabatic Technologies. "Data yang tersebar tidak terkait dengan data yang dikelola oleh Temenos," tutur Anton.

Dian Ediane, yang menerjunkan para pengawas teknologi informasi OJK, mendapat konfirmasi bahwa yang tersebar adalah data lama. Sebagian adalah data tiga tahun lalu warisan PT Bank Syariah Mandiri, satu dari tiga bank syariah milik negara yang digabung menjadi BSI bersama Bank Rakyat Indonesia Syariah dan Bank Negara Indonesia Syariah.  

Dari data yang beredar itu, mengerucut dugaan asal-muasal serangan siber terhadap BSI. Para peretas diduga menembus sistem BSI melalui virus yang tertanam dalam sebuah perangkat eksternal, semacam flashdisk, yang tersambung ke komputer lama di sebuah kantor cabang. Komputer lama ini masih tersambung ke jaringan BSI. "Mungkin masuknya dari situ," ujar Dian.

Virus ransomware itu kemudian menjalar ke berbagai perangkat yang belum menggunakan perangkat lunak dan antivirus terbaru. Virus ini menyedot data perusahaan. Ketika virus tersebut masuk, BSI memang belum selesai memperbarui semua perangkat mereka. "Sebetulnya pergantian dan pembaruan perangkat ini sudah masuk rencana BSI. Tapi insiden ini terjadi bersamaan dengan perombakan perangkat tersebut," kata Dian.

•••

MASA kritis akibat serangan peretas sudah lewat. Manajemen Bank Syariah Indonesia kini sedang menjalankan audit forensik terhadap sistem keamanan siber dan teknologi informasinya. Direktur Penjualan dan Distribusi BSI Anton Sukarna menargetkan audit forensik bisa rampung pada akhir Mei atau awal Juni mendatang.

Meski begitu, kejadian ini sempat membuat nasabah menarik dana mereka di BSI. Anton menyebutkan penarikan dana yang cukup besar terjadi beberapa hari setelah 8 Mei karena nasabah harus memenuhi kebutuhan pembayaran mereka yang tertahan sebelumnya. "Posisi sekarang sudah positif, kami menang kliring. Jumlah pembukaan rekening juga sudah naik," tuturnya.

Berdasarkan catatan BSI, pada Rabu, 24 Mei lalu, frekuensi setoran tunai ke BSI mencapai 39 ribu transaksi dengan nilai nominal Rp 1,578 triliun. Sedangkan jumlah penarikan tunai mencapai 14 ribu transaksi dengan nilai Rp 926 miliar. Artinya, pergerakan uang kas BSI sebesar Rp 650 miliar. "Transaksi positif ini sudah terjadi sejak 15 Mei," ujar Anton.

Meski BSI berhasil melewati masa kritis, Kepala Eksekutif Pengawas Perbankan OJK Dian Ediana Rae mengatakan, serangan peretas terhadap bank itu harus menjadi momentum buat pembenahan sistem keamanan siber. Kendati yang bocor bukan data vital, Dian menjelaskan, kejadian ini sudah cukup menggerus kepercayaan nasabah. "Yang paling kritis dalam mengurus bank itu adalah menjaga kepercayaan," katanya.

Itu sebabnya Dian tak heran jika masyarakat dan pemerintah Aceh mulai mempertimbangkan revisi qanun tentang lembaga keuangan syariah. Revisi aturan ini antara lain mengizinkan kembali bank konvensional beroperasi di Aceh. "OJK sebetulnya sudah mengingatkan, jangan membatasi layanan bank karena dampaknya pada ekonomi bisa berat," ucapnya.

Dian mengakui Pemerintah Provinsi Aceh sudah datang dan berdiskusi tentang revisi qanun yang akan membolehkan kembali beroperasinya bank konvensional di daerah Serambi Mekah. Dengan begitu, Dian melanjutkan, masyarakat Aceh memiliki lebih banyak opsi. "Mana yang didukung masyarakat, terserah. OJK hanya ingin memastikan pelayanan bank tersedia."

Ketua Himpunan Wiraswasta Nasional Minyak dan Gas Aceh Nachrowi Nurdin termasuk yang berharap bank konvensional beroperasi kembali di Aceh. Salah satu alasannya adalah layanan bank konvensional bisa meringankan bebannya. Dia memberi contoh, salah satu bank konvensional di masa lalu menyediakan layanan penjemputan dana tunai pengusaha SPBU. Dia dan kawan-kawannya pun tidak perlu menggotong bergepok-gepok duit dengan risiko keamanan tinggi.