PenjuruNegeri.Com – Jambi — Dugaan serangan siber yang menghantam Bank 9 kini berkembang jauh melampaui sekadar insiden teknis. Dengan kerugian ditaksir mencapai Rp143 miliar, serta pengakuan adanya kompromi kredensial dan keterbatasan data forensik, kasus ini mengarah pada indikasi kuat kegagalan sistemik dalam pengelolaan keamanan teknologi informasi.
Ini bukan hanya soal peretasan—ini adalah ujian serius terhadap tata kelola, kepatuhan regulasi, dan tanggung jawab hukum institusi perbankan.
Deteksi Ada, Tapi Pencegahan Gagal
Insiden diketahui terdeteksi pada 22 Februari 2026 sekitar pukul 05.00 WIB oleh tim Security Operation Center (SOC).
Namun, langkah penanganan efektif baru dilakukan 2–3 jam kemudian—waktu yang cukup bagi pelaku untuk menguras dana dalam jumlah besar.
Dalam standar penanganan insiden siber, kondisi ini tidak bisa dianggap wajar.
Deteksi tanpa kemampuan menghentikan serangan secara cepat (containment) justru mencerminkan kegagalan sistem keamanan, bukan keberhasilan.
Lebih mengkhawatirkan, pola transaksi yang terjadi—“many to one”—merupakan pola fraud klasik yang lazim terdeteksi dan diblokir otomatis oleh sistem anti-fraud modern. Fakta bahwa pola ini lolos memperkuat dugaan adanya celah serius dalam sistem pengawasan transaksi.
Kompromi Kredensial: Alarm Lemahnya Kontrol Akses
Pengakuan bahwa transaksi dilakukan bukan oleh nasabah menandakan adanya akses ilegal menggunakan kredensial sah. Dalam perspektif keamanan siber, hal ini mengindikasikan: lemahnya mekanisme autentikasi,bkemungkinan tidak efektifnya multi-factor authentication (MFA), atau bahkan potensi sistem berhasil ditembus (bypass)
Ironisnya, pihak bank mengaku tidak dapat memastikan implementasi MFA karena sistem berada di bawah kendali pihak ketiga. Ketidakmampuan memastikan kontrol keamanan mendasar ini menjadi sinyal kuat lemahnya pengawasan internal.
Ketergantungan Vendor: Risiko yang Tidak Dikendalikan
Pernyataan bahwa sistem berada dalam “kendali penuh pihak ke-3” membuka persoalan serius dalam tata kelola risiko.
Dalam regulasi perbankan, penggunaan vendor tidak mengalihkan tanggung jawab. Bank tetap wajib memastikan: pengawasan aktif, standar keamanan terpenuhi, kontrol atas sistem kritikal tetap dimiliki, Ketergantungan tanpa kontrol bukan sekadar keputusan teknis—ini adalah kegagalan governance.
Forensik Lumpuh: Minimnya Jejak Digital
Dalam investigasi siber, log adalah bukti utama. Namun dalam kasus ini:
hanya tersedia transaction log
tidak ada authentication log
tidak jelas apakah log bersifat immutable
Artinya, tidak ada cara yang valid untuk memastikan bagaimana serangan terjadi, kapan akses dilakukan, dan siapa pelakunya. Kondisi ini tidak hanya melemahkan investigasi, tetapi juga berpotensi melanggar prinsip dasar keamanan sistem elektronik.
Kerugian Besar, Transparansi Dipertanyakan
Kerugian Rp143 miliar telah dikonfirmasi, dengan dana mengalir ke rekening eksternal. Namun hingga kini:
jumlah rekening terdampak belum jelas
identitas rekening tujuan belum terungkap
Dalam sistem perbankan modern, keterbatasan ini menunjukkan lemahnya kemampuan tracking, fraud analytics, dan kontrol transaksi.
Analisis Hukum: Potensi Pelanggaran Berlapis
Dari sisi hukum, kasus ini membuka kemungkinan pelanggaran terhadap sejumlah regulasi:
UU Perlindungan Data Pribadi (UU No. 27 Tahun 2022)
Dugaan kebocoran kredensial mengindikasikan kegagalan dalam menjaga keamanan data.
UU Perlindungan Konsumen (UU No. 8 Tahun 1999)
Nasabah berhak atas keamanan transaksi dan perlindungan dari kerugian.
KUH Perdata Pasal 1365
Kelalaian yang menyebabkan kerugian dapat menimbulkan kewajiban ganti rugi.
UU ITE (UU No. 11 Tahun 2008 jo. UU No. 19 Tahun 2016)
Mengatur kewajiban sistem elektronik untuk menjamin keamanan dan keandalan.
POJK Manajemen Risiko TI
Mengharuskan bank memiliki sistem monitoring, mitigasi risiko, dan pengawasan vendor yang efektif.
Bukan Insiden Tunggal, Tapi Kegagalan Sistemik
Jika dirangkum, kasus ini memperlihatkan rangkaian kelemahan yang saling terkait:
kontrol akses yang lemah, ketergantungan vendor tanpa pengawasan memadai, kegagalan logging dan forensik, respons insiden yang tidak efektif, serta potensi pelanggaran regulasi. Semua ini mengarah pada satu kesimpulan: ini bukan sekadar serangan siber, melainkan indikasi kegagalan sistemik.
Saatnya Audit dan Transparansi Total
Kasus ini menuntut langkah tegas dan terbuka: audit forensik independen, evaluasi menyeluruh oleh otoritas terkait, transparansi kepada publik dan nasabah.
Tanpa itu, dampak terbesar bukan hanya kerugian finansial, melainkan runtuhnya kepercayaan terhadap sistem perbankan.
Dan dalam industri keuangan, hilangnya kepercayaan adalah risiko paling mahal yang tak mudah dipulihkan.
