Penulis : Redaksi

Jambi — Dugaan serangan siber yang menimpa Bank 9 tidak dapat lagi dipandang sebagai insiden teknis biasa. Dengan nilai kerugian mencapai sekitar Rp143 miliar, serta adanya pengakuan terkait kompromi kredensial dan keterbatasan data forensik, kasus ini menunjukkan indikasi kuat adanya kegagalan sistemik dalam pengelolaan keamanan teknologi informasi.

Lebih dari sekadar serangan, ini adalah ujian terhadap tata kelola, kepatuhan regulasi, dan tanggung jawab hukum.

Fakta Kunci: Deteksi Ada, Pencegahan Gagal

Insiden terdeteksi pada 22 Februari 2026 sekitar pukul 05.00 WIB oleh tim SOC. Namun, tindakan efektif baru dilakukan sekitar 2–3 jam setelahnya. Dalam rentang waktu tersebut, dana dalam jumlah besar tetap berhasil keluar dari sistem.

Baca Juga: CBS dan Kasus Serangan Cyber Bank 9 Jambi: Kelalaian Sistemik atau Risiko Digital?

Dalam praktik incident response, kondisi ini tidak bisa dianggap wajar.

Deteksi tanpa kemampuan containment yang efektif adalah kegagalan fungsi keamanan, bukan keberhasilan.

Lebih jauh, pola transaksi yang terjadi—“many to one”—merupakan pola fraud klasik yang seharusnya sudah dikenali dan dapat diblokir secara otomatis oleh sistem anti-fraud modern.

Kompromi Kredensial: Bukti Kelemahan Kontrol Akses

Pihak terkait mengakui bahwa terjadi transaksi yang bukan dilakukan oleh nasabah, yang berarti terdapat akses tidak sah menggunakan kredensial yang valid.

Baca Juga: Menguji Ketahanan Sistem Perbankan di Tengah Insiden Keamanan Digital

Dalam perspektif penetration testing, ini mengindikasikan:

  • lemahnya mekanisme autentikasi
  • potensi tidak efektifnya multi-factor authentication (MFA)
  • atau kemungkinan sistem dapat dilewati (bypass)

Lebih mengkhawatirkan, pihak bank tidak dapat memastikan implementasi MFA karena sistem berada di bawah kendali pihak ketiga.

Ketidakmampuan memastikan kontrol keamanan dasar seperti MFA merupakan indikator lemahnya pengawasan internal.

Ketergantungan pada Pihak Ketiga: Risiko yang Tidak Dikelola

Pernyataan bahwa sistem berada dalam “kendali penuh pihak ke-3” menimbulkan persoalan serius.

Dalam regulasi Otoritas Jasa Keuangan, khususnya terkait manajemen risiko teknologi informasi, penggunaan vendor tidak menghapus tanggung jawab bank.

Bank tetap wajib:

  • melakukan pengawasan
  • memastikan standar keamanan terpenuhi
  • dan memiliki kontrol atas sistem kritikal

Ketergantungan tanpa kontrol adalah bentuk kegagalan governance, bukan sekadar keputusan teknis.

Kegagalan Forensik: Tidak Ada Log yang Memadai

Dalam investigasi digital, log adalah fondasi utama. Namun dalam kasus ini:

Baca Juga: KUD Tanjung Mulia Utama Unit 17 “Hidup segan, mati tak mau”
  • hanya tersedia transaction log
  • tidak tersedia authentication log
  • tidak jelas apakah log bersifat immutable

Ini berarti:

Tidak ada cara yang valid untuk memastikan bagaimana, kapan, dan oleh siapa akses dilakukan.

Dalam konteks digital forensics, kondisi ini tidak hanya melemahkan investigasi, tetapi juga berpotensi melanggar prinsip dasar keamanan sistem elektronik.

Kerugian Besar, Transparansi Minim

Kerugian sebesar Rp143 miliar telah dikonfirmasi, dengan dana telah ditransfer keluar ke rekening eksternal. Namun:

  • jumlah rekening terdampak belum diketahui
  • kepemilikan rekening tujuan belum jelas

Dalam sistem perbankan modern, kondisi ini menunjukkan keterbatasan dalam:

  • tracking
  • fraud analytics
  • dan kontrol transaksi

Analisis Hukum: Indikasi Pelanggaran Berlapis

1. Undang-Undang Perlindungan Data Pribadi (UU No. 27 Tahun 2022)

Bank sebagai pengendali data pribadi wajib:

  • memastikan keamanan data
  • mencegah akses tidak sah
  • memberikan notifikasi jika terjadi insiden

Kompromi kredensial menunjukkan kemungkinan kegagalan dalam kewajiban ini.

2. Undang-Undang Perlindungan Konsumen (UU No. 8 Tahun 1999)

Nasabah berhak atas:

  • keamanan transaksi
  • informasi yang jelas
  • perlindungan dari kerugian

Kerugian besar dan keterbatasan informasi dapat dikategorikan sebagai pelanggaran hak konsumen.

3. Kitab Undang-Undang Hukum Perdata Pasal 1365

Setiap perbuatan melawan hukum yang menimbulkan kerugian mewajibkan pelaku untuk mengganti kerugian.

Baca Juga: Dari Penataan ke Validasi: Menguji Desain Fiskal Daerah dalam UU HKPD

Jika terbukti:

  • sistem tidak memadai
  • pengawasan vendor lemah

maka unsur kelalaian dapat terpenuhi.

4. Undang-Undang Informasi dan Transaksi Elektronik (UU No. 11 Tahun 2008 jo. UU No. 19 Tahun 2016)

Mengatur kewajiban penyelenggara sistem elektronik untuk memastikan:

  • keamanan sistem
  • keandalan
  • integritas data

Ketiadaan log dan ketidakjelasan vektor serangan menunjukkan potensi pelanggaran terhadap prinsip tersebut.

5. Regulasi Otoritas Jasa Keuangan (POJK Manajemen Risiko TI)

Bank wajib:

  • memiliki sistem monitoring yang efektif
  • melakukan mitigasi risiko
  • mengawasi pihak ketiga

Fakta yang ada menunjukkan indikasi:

  • lemahnya kontrol
  • tidak optimalnya deteksi
  • dan kegagalan mitigasi

Indikasi Kegagalan Sistemik, Bukan Insiden Tunggal

Dari sudut pandang teknis dan hukum, kasus ini menunjukkan:

  • kegagalan dalam kontrol akses
  • ketergantungan vendor tanpa pengawasan memadai
  • kelemahan dalam logging dan forensik
  • tidak efektifnya respons insiden
  • serta potensi pelanggaran terhadap berbagai regulasi

Ini bukan sekadar serangan siber, tetapi indikasi kegagalan sistemik dalam pengelolaan keamanan informasi.

Saatnya Audit Mendalam dan Transparansi

Kasus ini memerlukan:

  • audit forensik independen
  • evaluasi menyeluruh oleh Otoritas Jasa Keuangan
  • serta keterbukaan kepada publik

Tanpa itu, risiko yang lebih besar bukan hanya kerugian finansial, tetapi hilangnya kepercayaan terhadap sistem perbankan itu sendiri.

Berita Terkait

CBS dan Kasus Serangan Cyber Bank 9 Jambi: Kelalaian Sistemik atau Risiko Digital?

Menguji Ketahanan Sistem Perbankan di Tengah Insiden Keamanan Digital

KUD Tanjung Mulia Utama Unit 17 “Hidup segan, mati tak mau”