Dalam regulasi perbankan, penggunaan vendor tidak mengalihkan tanggung jawab. Bank tetap wajib memastikan: pengawasan aktif, standar keamanan terpenuhi, kontrol atas sistem kritikal tetap dimiliki, Ketergantungan tanpa kontrol bukan sekadar keputusan teknis—ini adalah kegagalan governance.
Forensik Lumpuh: Minimnya Jejak Digital
Dalam investigasi siber, log adalah bukti utama. Namun dalam kasus ini:
hanya tersedia transaction log
tidak ada authentication log
tidak jelas apakah log bersifat immutable
Artinya, tidak ada cara yang valid untuk memastikan bagaimana serangan terjadi, kapan akses dilakukan, dan siapa pelakunya. Kondisi ini tidak hanya melemahkan investigasi, tetapi juga berpotensi melanggar prinsip dasar keamanan sistem elektronik.
Kerugian Besar, Transparansi Dipertanyakan
Kerugian Rp143 miliar telah dikonfirmasi, dengan dana mengalir ke rekening eksternal. Namun hingga kini:
jumlah rekening terdampak belum jelas
identitas rekening tujuan belum terungkap
Dalam sistem perbankan modern, keterbatasan ini menunjukkan lemahnya kemampuan tracking, fraud analytics, dan kontrol transaksi.
Analisis Hukum: Potensi Pelanggaran Berlapis
Dari sisi hukum, kasus ini membuka kemungkinan pelanggaran terhadap sejumlah regulasi:
UU Perlindungan Data Pribadi (UU No. 27 Tahun 2022)
Dugaan kebocoran kredensial mengindikasikan kegagalan dalam menjaga keamanan data.
UU Perlindungan Konsumen (UU No. 8 Tahun 1999)
Nasabah berhak atas keamanan transaksi dan perlindungan dari kerugian.
KUH Perdata Pasal 1365
Kelalaian yang menyebabkan kerugian dapat menimbulkan kewajiban ganti rugi.
UU ITE (UU No. 11 Tahun 2008 jo. UU No. 19 Tahun 2016)
Mengatur kewajiban sistem elektronik untuk menjamin keamanan dan keandalan.
POJK Manajemen Risiko TI
Mengharuskan bank memiliki sistem monitoring, mitigasi risiko, dan pengawasan vendor yang efektif.
Bukan Insiden Tunggal, Tapi Kegagalan Sistemik
Jika dirangkum, kasus ini memperlihatkan rangkaian kelemahan yang saling terkait:
kontrol akses yang lemah, ketergantungan vendor tanpa pengawasan memadai, kegagalan logging dan forensik, respons insiden yang tidak efektif, serta potensi pelanggaran regulasi. Semua ini mengarah pada satu kesimpulan: ini bukan sekadar serangan siber, melainkan indikasi kegagalan sistemik.
