Dunia keamanan siber Tanah Air kembali digegerkan oleh dugaan kebocoran data dalam skala besar. Seorang pelaku ransomware diketahui mengancam akan membocorkan sekitar 2 terabyte (TB) data yang diduga kuat berasal dari salah satu bank pelat merah, yakni Bank Negara Indonesia (BNI).

Berdasarkan pantauan, pelaku telah mempublikasikan sekitar 200 gigabyte (GB) data yang terbagi dalam dua bagian, mencakup periode 2024 dan 2025. Hasil analisis sementara menunjukkan mayoritas dokumen yang bocor berkaitan dengan nasabah Kredit Usaha Rakyat (KUR) BNI, di antaranya Surat Keputusan Kredit (SKK), dokumen pencairan, fidusia, polis, nota intern, hingga disposisi.

Yang lebih mengkhawatirkan, di dalam tumpukan data tersebut juga ditemukan dokumen pribadi nasabah, seperti foto KTP, kartu keluarga (KK), NPWP, hingga foto wajah saat proses akad kredit berlangsung.

Dari penelusuran terhadap struktur penamaan berkas dan metadata, dokumen-dokumen itu diduga bersumber dari object storage atau CDN penyimpanan dokumen yang umumnya terintegrasi dengan sistem aplikasi internal bank.

Payung Hukum Ada, Penegakan Masih Lemah

Secara regulasi, Indonesia sebenarnya telah memiliki Undang-Undang Pelindungan Data Pribadi (UU PDP) sebagai dasar hukum untuk menindak insiden semacam ini. Namun, hingga kini belum ada tindak lanjut yang signifikan, salah satunya karena Lembaga Penyelenggara Pelindungan Data Pribadi yang diamanatkan undang-undang tak kunjung dibentuk.

Padahal, sebagai pengendali data, bank wajib menjamin keamanan data nasabah dengan sistem enkripsi dan proteksi yang memadai. Jika terbukti lalai, lembaga terkait dapat dikenai sanksi administratif, penghentian kegiatan pemrosesan data, hingga denda maksimal 2 persen dari pendapatan tahunan. Di sisi lain, nasabah selaku subjek data berhak mendapatkan pemberitahuan apabila datanya bocor, paling lambat dalam waktu 3×24 jam.

Sederet Risiko Mengintai Nasabah

Kebocoran ini tidak sekadar berarti hilangnya data, melainkan membuka pintu bagi beragam ancaman siber bagi para korban, antara lain:

  • Penyalahgunaan pinjaman online (pinjol). Dengan foto KTP, KK, dan data biometrik wajah, pelaku dapat dengan mudah mengajukan pinjaman daring atas nama korban.
  • Rekayasa sosial (social engineering). Berbekal data lengkap seperti nomor surat, nominal kredit, dan nama pejabat bank, penipu dapat menghubungi nasabah secara meyakinkan untuk memeras atau meminta transfer dana.
  • Pencurian identitas. Identitas korban berpotensi disalahgunakan untuk membuka rekening fiktif guna menampung dana hasil kejahatan atau pencucian uang.
  • Pemerasan. Adanya data aset (fidusia) membuat nasabah rentan menjadi sasaran pemerasan oleh oknum yang mengatasnamakan pihak penagihan.

Hingga kini, penegakan hukum terhadap kasus kebocoran data yang melibatkan instansi besar dinilai masih belum agresif. Akibatnya, efek jera belum benar-benar dirasakan sejak UU PDP diberlakukan.