Pada awal Mei 2023 lalu, jutaan nasabah dari Bank Syariah Indonesia (BSI) tidak bisa mengakses layanan perbankan seperti biasa.
Mobile banking mengalami gangguan, transaksi ATM BSI down, dan sebagian layanan di kantor cabang tidak berjalan normal. Dalam hitungan jam, keluhan pun menyebar di media sosial dan antrean nasabah meningkat.
Insiden ini kemudian dikaitkan dengan serangan ransomware BSI yang menargetkan sistem internal. Kasus tersebut menjadi salah satu contoh nyata bagaimana serangan siber dapat melumpuhkan operasional sektor keuangan dalam waktu singkat.
Bagi sebuah bank besar, gangguan layanan akibat serangan siber bukan sekadar masalah teknis. Setiap menit downtime berdampak pada transaksi, kepercayaan nasabah, dan reputasi perusahaan.
Operasional yang biasanya berjalan real time tiba-tiba melambat. Tim IT juga harus bekerja di bawah tekanan tinggi untuk memulihkan sistem sekaligus memastikan keamanan data tetap terjaga.
Artikel ini membahas studi kasus ransomware Bank BSI 2023. Kita akan melihat apa yang terjadi, bagaimana dampaknya terhadap bisnis terutama keamanan siber perbankan, serta pelajaran penting yang dapat diterapkan untuk mencegah kejadian serupa di industri perbankan.
Serangan Ransomware Bank BSI
Serangan siber yang menimpa BSI pada Mei 2023 menjadi contoh bahwa ransomware tidak sekedar mencuri data, tetapi juga bisa melumpuhkan layanan operasional.
Publik juga merasakan dampaknya lewat gangguan layanan bank BSI. BSSN (Badan Siber dan Sandi Negara) juga menyatakan bahwa mereka mengetahui adanya gangguan pada sistem elektronik BSI yang membuat layanan tidak dapat diakses pengguna pada Senin, 8 Mei 2023.
Berikut timeline dari kasus ransomware BSI yang dikutip dari laman berita The Jakarta Post:
- 8 Mei 2023 : Sistem elektronik BSI mengalami gangguan sehingga layanan tidak dapat diakses pengguna.
- Pekan kedua Mei 2023 Bank dan otoritas terkait melakukan koordinasi pemulihan di mana layanan pulih bertahap seiring upaya stabilisasi sistem.
- Pertengahan Mei 2023 : Kelompok ransomware LockBit 3.0 mengklaim memiliki data BSI dan mengancam akan merilisnya jika negosiasi tidak dilakukan.
- Sekitar 16 Mei 2023 Setelah negosiasi tebusan disebut gagal, LockBit mengklaim telah mempublikasikan sekitar 1,5 TB data yang mereka sebut berasal dari BSI.
Baca Juga : 5 Kasus Serangan Ransomware Terbesar di Indonesia
Bagaimana Ransomware Bisa Masuk ke BSI?
BSSN menyatakan bahwa mereka mengetahui adanya gangguan pada sistem elektronik BSI pada Senin, 8 Mei 2023 dan melakukan koordinasi dengan BSI untuk proses pemulihan.
Dalam banyak kasus, ransomware tidak langsung mengeksekusi enkripsi pada hari pertama. Biasanya biasanya masuk lebih dulu ke dalam sistem, mengamankan akses, memetakan jaringan, lalu menunggu waktu yang tepat untuk mengeksekusi serangan.
Temuan dari Google Mandiant menunjukkan bahwa pada 2023, waktu median dari akses awal hingga eksekusi ransomware sekitar enam hari, dan bisa lebih lama ketika pelaku juga mencuri data.
Artinya, dari kasus ransomware perbankan indonesia ketika layanan bank telah lumpuh, besar kemungkinan penyerang sudah berada di dalam jaringan sebelum fase dampak terjadi.
1. Analisis Jalur Masuk Ransomware
Jika menggunakan kerangka rantai serangan ransomware, prosesnya dimulai dari mendapatkan akses, melakukan persiapan, lalu mengeksekusi dampak.
Pada banyak insiden besar, penyerang masuk melalui beberapa jalur seperti:
a. Penyalahgunaan Akses Jarak Jauh dan RDP
Penyerang mengeksploitasi layanan remote yang terbuka atau tidak terlindungi dengan baik. Contohnya adalah RDP yang terbuka ke internet atau akses VPN yang tidak dilindungi MFA secara ketat.
Lingkungan perbankan memang membutuhkan akses jarak jauh untuk administrasi, pemeliharaan, dan integrasi sistem. Namun, jika kontrol ini longgar, maka jalur akses menjadi pintu masuk yang cepat dan efektif bagi penyerang.
b. Penggunaan Akun Valid yang Bocor
Penyerang tidak perlu membobol sistem jika mereka sudah memiliki kredensial yang sah. Temuan Mandiant pada 2023 menunjukkan bahwa akses awal paling sering terjadi melalui kredensial yang dicuri atau melalui sistem yang menghadap internet.
Banyak insiden bermula dari login ke VPN perusahaan menggunakan akun yang valid. Kredensial bisa bocor melalui berbagai cara, seperti phishing, malware pencuri kata sandi, penggunaan ulang kata sandi, hingga brute force terhadap password yang lemah.
c. Eksploitasi Sistem atau Perangkat yang Menghadap Internet
Penyerang juga sering mengeksploitasi celah pada sistem yang dapat diakses publik, seperti gateway, firewall, appliance keamanan, atau aplikasi web tertentu.
Mandiant menilai bahwa eksploitasi kerentanan pada sistem public-facing masih menjadi vektor akses awal yang umum, bahkan sering dilakukan secara otomatis.
2. Kerentanan yang Biasanya Dimanfaatkan Setelah Akses Awal
Setelah memperoleh akses, biasanya penyerang tidak langsung mengenkripsi sistem. Mereka mempersiapkan serangan pada banyak lingkungan sistem yang rentan agar dampaknya maksimal. Tahap ini sering tidak terdeteksi jika organisasi memiliki celah kontrol pada:
a. Segmentasi Jaringan yang Lemah
Jika jaringan tidak dipisahkan dengan baik, penyerang bisa bergerak dari satu sistem ke sistem lain dengan mudah. Lateral movement ini memungkinkan mereka menjangkau server penting, termasuk sistem inti dan server backup.
b. Kontrol Akun Admin yang Longgar
Target utama penyerang adalah akun dengan hak akses tinggi, seperti domain admin, admin server, atau admin backup. Jika penyerang berhasil menguasai akun tersebut, mereka dapat mengendalikan penyebaran ransomware dan memperluas dampaknya.
c. Minimnya Visibilitas pada Endpoint dan Log
Tanpa EDR yang merata dan logging yang terpusat, aktivitas berbahaya dapat terlihat seperti aktivitas administrator biasa. Kondisi inilah yang membuat tim keamanan terlambat menyadari adanya penyusupan.
d. Backup yang Tidak Tahan Serangan
Banyak organisasi yang sudah memiliki backup, tetapi backup tersebut berada di jaringan yang sama dan menggunakan kredensial yang sama. Selain itu, banyak organisasi tidak pernah menguji proses restore secara nyata.
Dampak dari Kasus Ransomware BSI
Selain dampak ransomware berupa layanan yang down, tentunya biaya terbesar ada pada pemulihan sistem, audit keamanan, peningkatan kontrol, hingga dampak reputasi yang jatuh.
BSI sendiri tidak mempublikasikan kerugian yang mereka alami secara pasti, namun berikut estimasi dampak yang terjadi ketika sebuah perusahaan terkena serangan ransomware:
1. Financial Loss Estimate
Untuk menghitung berapa dampak finansial ransomware, berikut ini beberapa cara untuk memperkirakannya:
a. Downtime Cost
Biaya yang langsung terliat karena layanan tidak tersedia atau tidak stabil seperti:
- Transaksi gagal/tertunda: kartu, ATM, mobile/internet banking.
- Beban operasional meningkat: cabang menjadi padat, call center melonjak, tim IT bekerja lembur.
- Efek ke merchant/partner: jika transaksi terganggu, gangguan bisa merambat ke ekosistem.
b. Incident Response Cost
Biaya yang dikeluarkan perusahaan untuk menghentikan serangan dan menstabilkan kondisi.
- Forensik digital (mengamankan bukti, mencari titik masuk, memetakan pergerakan pelaku)
- Konsultan IR / vendor keamanan
- Legal & compliance (kewajiban pelaporan, audit, koordinasi regulator)
- Komunikasi krisis (PR, customer communication, call center script)
Berkaca dari kasus ransomware yang ada, perusahaan sangat membutuhkan dukungan eksternal karena serangannya kompleks dan waktunya sempit.
c. Recovery and Rebuild Cost
Yang ketiga adalah biaya untuk membangun ulang kepercayaan sistem, seperti:
- Reimage endpoint dan server yang terinfeksi
- Reset kredensial besar-besaran (terutama privileged accounts)
- Rebuild Active Directory (jika terdampak)
- Restore data dan validasi integritas
- Hardening konfigurasi, segmentasi, penutupan celah
Proses recovery untuk membangun ulang kepercayaan terhadap sistem ini seringkali lebih lama dari yang dibayangkan.
d. Security Uplift Cost
Setelah insiden besar, organisasi biasanya meningkatkan kontrol untuk mencegah kejadian berulang:
- EDR/XDR yang cakupannya merata
- SIEM use-case khusus ransomware (lateral movement, mass encryption behavior)
- PAM untuk privileged access
- Backup immutable/offline + uji restore rutin
- Zero Trust/segmentation
Bagian ini sering tidak terlihat sebagai kerugian, tetapi tetap ada biaya signifikan yang keluar.
2. Trust Impact
Gangguan layanan yang dirasakan oleh nasabah bank tentunya memukul kepercayaan mereka karena nasabah mengandalkan bank untuk kebutuhan harian. Begitu layanan tidak bisa diakses, nasabah bisa mulai melakukan hal berikut:
- memindahkan dana ke bank lain untuk berjaga-jaga,
- memakai aplikasi/layanan kompetitor,
- menunda transaksi besar.
Dampak kepercayaan ini bisa berarti kehilangan nasabah atau penurunan aktivitas transaksi atau penurunan fee-based income dan memperlambat akuisisi nasabah baru.
3. Reputational Damage
Kerusakan reputasi pada sektor perbankan biasanya lebih berat karena bank memegang data dan uang nasabah. Recovery setelah serangan ransomware pun bisa terhambat karena:
- meningkatnya pertanyaan keamanan dari nasabah dan korporasi,
- audit tambahan dari mitra bisnis,
- hambatan kerja sama baru (due diligence jadi lebih ketat),
- biaya komunikasi yang lebih besar untuk memulihkan kepercayaan.
Cara Pencegahan Ransomware
Studi kasus ransomware BSI menunjukkan bahwa serangan berhasil karena ada kombinasi dari kelemahan teknis, proses yang longgar, dan kesiapan respons yang kurang matang.
Karena itu, pencegahan harus dibangun dalam tiga lapisan. Mulai dari lapisan teknologi, proses, hingga lapisan manusia yang ketiganya harus berjalan bersamaan.
Baca Juga : Cara Mengatasi Virus Ransomware Paling Efektif
1. Technical Controls (Lapisan Teknologi)
Lapisan ini bertujuan untuk memperkecil peluang penyerang masuk dan membatasi dampak jika mereka berhasil masuk. Caranya dengan:
a. Menggunakan MFA untuk semua akses penting
b. Terapkan segmentasi jaringan yang ketat
c. Gunakan EDR/XDR dan monitoring terpusat
d. Lindungi dan uji backup secara berkala
e. Tutup celah di perimeter dengan melakukan patching secara rutin dan menonaktifkan layanan yang tidak digunakan
2. Process Controls (Lapisan Tata Kelola & Prosedur)
Teknologi tanpa proses yang jelas akan sulit dijalankan secara konsisten.
a. Patch Management dengan SLA jelas
b. Least Privilege & Access Review
c. Vendor & Third-Party Governance
d. Dokumentasi Incident Response Playbook yang terdokumentasi
3. People Controls (Lapisan Manusia)
Serangan siber sering memanfaatkan kelemahan manusia. Karena itu, awareness terhadap keamanan siber pada karyawan tidak boleh diabaikan.
a. Awareness berbasis peran
b. Simulasi phishing rutin
c. Budaya pelaporan cepat ketika ada aktivitas mencurigakan
Siap Menguji Ketahanan Sistem Anda dari Serangan Ransomware?
Kasus ransomware BSI menunjukkan bahwa satu celah saja dapat berdampak pada jutaan nasabah dan mengganggu operasional dalam hitungan jam. Serangan ini nyata, terstruktur, dan menyasar organisasi dengan sistem yang kompleks seperti perbankan dan financial services.
Apakah perusahaan atau organisasi Anda sudah siap untuk menghadapi serangan ini?
Jika Anda belum pernah menguji restore backup secara nyata, belum pernah melakukan simulasi incident response, atau belum mengevaluasi segmentasi dan akses privileged, maka risiko ransomware akan selalu terbuka.
DSG membantu perusahaan Anda untuk asesmen kesiapan sistem terhadap ransomware, audit backup, hingga ransomware data recovery. Tim kami bekerja dengan pendekatan terstruktur, berbasis standar keamanan, dan fokus pada pemulihan operasional yang cepat tanpa mengorbankan integritas sistem.Ingin mengetahui seberapa siap sistem Anda menghadapi ransomware? Hubungi kami untuk sesi konsultasi awal dan evaluasi keamanan secara menyeluruh.
