Peretasan Sistem BI-Fast Mencuat, Asosiasi Dorong Penguatan Deteksi Fraud
- Peretasan melalui BI-Fast mencuat setelah kasus gangguan sistem Bank Jakarta dan Bank Jatim, dengan transaksi anomali lebih dari Rp 200 miliar.
- Ketua Umum ASPI, Santoso, menekankan perlunya penguatan fraud detection system secara menyeluruh bagi provider IT, Penyedia Jasa Pembayaran (PJP), dan Penyelenggara Infrastruktur Sistem Pembayaran (PIP).
- Pakar IT Alfons Tanujaya menilai bahwa sistem IT Bank Pembangunan Daerah (BPD) masih rentan, terutama karena banyak BPD yang menggunakan infrastruktur BI-Fast dengan skema sharing untuk menghemat anggaran belanja IT.
Jakarta, FORTUNE — Modus peretasan atau serangan siber pada sistem teknologi perbankan melalui BI-Fast mencuat setelah kasus gangguan sistem Bank Jakarta–dulu bernama Bank DKI–muncul ke permukaan dan ramai diperbincangkan masyarakat pada libur lebaran 2025. Sebelumnya, Bank Jatim juga sempat mengalami serangan serupa pada 2024.
Dari hasil terbaru penyelidikan Bareskrim Polri menyatakan bahwa peretasan di Bank Jakarta terjadi sejak 2024 hingga akhir Maret 2025 dan mengakibatkan transaksi anomali lebih dari Rp 200 miliar. Bahkan, laporan dari Tempo juga menyebut, terdapat delapan bank yang turut menjadi korban dari modus peretasan melalui sistem BI-fast.
Pusat Pelaporan dan Analisis Transaksi Keuangan (PPATK) juga sempat menyatakan secara teknis peretasan ini terjadi dengan mengimitasi script server yang digunakan untuk akses BI-Fast. Sehingga dana bank bisa dipindahkan tanpa verifikasi dari pihak bank itu sendiri.
Menanggapi kondisi tersebut, Ketua Umum Asosiasi Sistem Pembayaran Indonesia (ASPI), Santoso menyatakan bahwa insiden ini menjadi pembelajaran bersama bagi seluruh pihak. Ia menyebut, provider IT, Penyedia Jasa Pembayaran (PJP) berupa bank & e-wallet hingga Penyelenggara Infrastruktur Sistem Pembayaran (PIP) yang terdiri dari jaringan switching & kliring harus menerapkan fraud detection system secara menyeluruh.
“Ini menjadi pembelajaran bagi industri, masalahnya bagaimana lembaga pendukung atau penyelenggara penunjang yaitu IT provider dan switching ini perlu dilakukan pengendalian ketangguhan terhadap cybercrime. Memang yang saya dengar bukan hanya satu korbannya, ada beberapa BPD juga terkena,” kata Santoso ketika dihubungi Fortune Indonesia di Jakarta, Jumat (5/12).
Perbankan juga diminta terus meningkatkan ketahanan siber melalui pengawasan sistem IT selama 24 jam agar tidak terjadi anomali transaksi. Apalagi, Bank Indonesia (BI) juga mewajibkan bank untuk melakukan audit Keamanan dan Ketahanan Siber (KKS) secara berkala yang diatur dalam PBI No. 2/2024 dan PADG 24/2024.
Audit ini mencakup penilaian tingkat kematangan, identifikasi infrastruktur vital, dan pelaporan insiden siber (notifikasi awal maksimal 1 jam, laporan lengkap maksimal 3 hari kalender) untuk memastikan keamanan sistem pembayaran dan data nasabah, dengan sanksi bagi yang tidak patuh.
“Bahkan, dalam blueprint sistem pembayaran BI 2023 ke depan harus ada konsolidasi industri sistem pembayaran berdasarkan TIKMI, yakni transaksi, interkoneksi, kapasitas, manajemen risiko, dan informasi teknologi,” jelas Santoso.
Sistem IT BPD masih rentan, Pakar IT: banyak BPD hemat capex
Sementara itu, Pengamat Teknologi Informasi (IT) dan Keamanan Siber dari Vaksincom, Alfons Tanujaya menilai kejadian ini menjadi bukti bahwa sistem IT Bank Pembangunan Daerah (BPD) masih rentan. Apalagi, saat penerapan awal, masih banyak BPD yang menggunakan infrastruktur BI-Fast dengan skema sharing atau bersama-sama untuk menghemat anggaran belanja IT (Capex IT).
“Karena menghemat capex, mereka pakai satu vendor untuk BI-Fast, di situ ada celah pihak ketiga bisa nakal. Benang merahnya di situ dan harus diteliti,” kata Alfons.
Dalam penyediaan infrastruktur BI-Fast, BI memang mengizinkan penggunaan empat alternatif untuk peserta, yakni pertama independen dalam arti peserta membangun infrastruktur secara mandiri, kedua sharing infrastruktur fisik antar peserta dalam group afiliasi, ketiga sharing multitenancy dengan pihak ketiga, dan keempat melalui API gateway.
Alfons juga menduga ada keterlibatan pihak internal baik oknum dari bank hingga dari lembaga switching pembayaran dalam kasus peretasan yang belakangan terjadi. Untuk itu, diperlukan fraud prevention yang dilakukan oleh seluruh tim IT di lembaga keuangan agar kejadian serupa tidak terjadi.
