A-SEC Blog
Want to Contribute? Check our terms.
Home
arisan-security

AADB: Ada Apa Dengan BSI

AADB: Ada Apa Dengan BSI?
Contents
  1. Ransomware itu Mahluk apa sih?
  2. Lantas, siapa Gerangan LockBit 3.0?
  3. Anggaran Kuat, Keamanan Maksiat
  4. Direktur dan Komisaris Dipecat
  5. Bagaimana Memitigasi Serangan Ransomware?
  6. Refleksi-Presumsi

Layanan BSI dikabarkan tidak bisa digunakan semenjak tanggal 8 Mei 2023, layanan tersebut meliputi aplikasi mobile hingga ATM (Anjungan Tunai Mandiri). Cuitan dari akun sosial media resmi @bankbsi_id mengabarkan bahwa layanan mereka sedang dalam masa pemeliharaan rutin sehingga beberapa layanan tidak bisa digunakan untuk sementara. Nyatanya masa pemeliharaan rutin tersebut berlarut-larut selama 3 hari lamanya. Mengingat ini merupakan waktu yang cukup lama untuk "pemeliharaan" rutin, alhasil netizen dan para pakar teknologi pun menjadi detektif konan dadakan. Bertanya-tanya ada apa dengan BSI?

Ternyata: pada hari Minggu, 14 Mei 2023 muncul kampanye ancaman dari geng ransomware LockBit 3.0 melalui Dark Web. Jika pihak bank BSI tidak memberikan tebusan, maka data yang diambil oleh LockBit 3.0 akan disebarkan.

Data Breach Bank BSI By LockBit 3.0
BSI Bank Ransom Announcement at LockBit Dark Web


Ransomware itu Mahluk apa sih?

Ransom Software (Ransomware) alias perangkat lunak untuk memeras itu seperti halnya penculikan. Namun konteksnya adalah sistem komputer kita yang diculik dan disandera oleh peretas, lalu sang peretas ini meminta tebusan jika kita ingin sistem komputer kita kembali normal dan utuh layaknya sedia kala. Ransomware ini bisa saja merugikan 

Lantas, siapa Gerangan LockBit 3.0?

Sederhananya LockBit ini seperti gerombolan penculik profesional. Didalam kelompok mereka mempunyai tugas masing-masing seperti: ada yang memimpin (the leader), mengamati (the observer), pelaksana (the executor), negosiator (the negotiator) Intelijen (the spy), pengawas (the supervisor).

LockBit sendiri mempunyai versi. Dari 1.0 pada tahun 2019, 2.0 pada tahun 2021, sampai yang terakhir 3.0 pada tahun 2023 ini. Tentu saja versi yang paling teraktual maka yang paling 'termutakhir'.

Mereka sendiri mengaku bermarkas di rusia. Tapi bisa jadi ini hanya strategi umpan.

Anggaran Kuat, Keamanan Maksiat

"Tahun 2022 kita spending kurang lebih sekitar Rp280 miliar untuk IT kita. Tahun ini naik lagi Rp580 miliar, hampir Rp600 miliar," kata Direktur Direktur Utama Bank Syariah Indonesia (Tbk), Hery Gunardi saat konferensi pers di Jakarta, Kamis (11/5). merdeka.com

Laporan Tahunan 2022 BSI, halaman 253

Dengan investasi pengadaan perangkat keamanan siber sebanyak itu dan semahal itu, bagaimana bisa masih bisa kena ransomware? Information Security bagaikan samudera: luas serta dalam. Aspek Technology sudah canggih. Aspek Process juga sudah mantap. Tapi bagaimana dengan aspek People? There is no patch for human stupidity.

Direktur dan Komisaris Dipecat

Laporan Tahunan 2022 BSI, halaman 59

Dengan terkenanya ransomware LockBit 3.0 di sistem bank BSI, berdampak kepada direktur teknologi informasi dan direktur risk management bank BSI yang dipecat oleh direktur utama BSI usai diadakan rapat pemegang saham tahunan (RUPST). "RUPST menetapkan pengurus baru perseroan, dengan memberhentikan dengan hormat Achmad Syafii sebagai Direktur Information Technology dan Tiwul Widyastuti sebagai Direktur Risk Management" Ungkap Direktur Utama BSI Hery Gunardi.

Bagaimana Memitigasi Serangan Ransomware?

Untuk memitigasi serangan ransomware ini ada beberapa cara, salah satunya bisa dengan menggunakan cara yang dibuat oleh Cybersecurity & Infrastructure Security Agency tentang artikel cara menangani ransomware.

Pada artikel #StopRansomware yang dibuat oleh cisa.gov, ada beberapa poin penting yaitu: 

1. Rutin backup/snapshot sistem operasi dan menyimpan pada server backup, ini dilakukan untuk memitigasi jika terjadi serangan, untuk business continuity tetap berjalan.

2. Membuat, dan evaluasi terkait tanggap respon insiden ketika terjadi adanya serangan malware

3. Implementasi zero-trust architecture untuk mencegah akses yang tidak terotorisasi pada sistem.

Refleksi-Presumsi

Apakah kita harus menutup-nutupi sesuatu dengan dalih apapun yang seharusnya kita berikan transparansinya ke publik karena ini hak publik, terutama para nasabah? Jika memang klaimnya adalah 'pemeliharaan' tapi memakan waktu berhari-hari, apakah itu namanya benar-benar pemeliharaan? Bukankah nasabah dirugikan jika pemeliharaan dilakukan berhari-hari? Tidak sesuai dengan Service Level Agreement. Lalu bagaimana transparansi dan kompensasinya? Apakah menyangkal suatu fakta di ruang publik itu termasuk menyebarkan hoax? Dan kemudian dengan sengaja melakukan disinformasi ke publik itu tidak melanggar undang-undang?