Kebocoran data yang menimpa lebih dari 11.000 nasabah DBS dan Bank of China (BOC) di Singapura terjadi akibat serangan ransomware terhadap vendor percetakan Toppan Next Tech. Meskipun sistem perbankan tidak dibobol dan data login aman, informasi pribadi seperti nama, alamat, hingga detail pinjaman dan kepemilikan saham kemungkinan terekspos. Insiden ini memicu kekhawatiran serius soal keamanan rantai pasok digital di sektor keuangan.
Fokus utama:
- Kebocoran berasal dari serangan ransomware terhadap perusahaan percetakan pihak ketiga, Toppan Next Tech, bukan dari sistem internal bank.
- Informasi pribadi ribuan nasabah, termasuk data pinjaman dan saham, kemungkinan bocor, meski data login dan keuangan tetap aman.
- DBS dan BOC meningkatkan pemantauan terhadap akun terdampak, sementara otoritas siber Singapura tengah menyelidiki insiden ini bersama vendor terkait.
Dunia perbankan Singapura kembali diguncang oleh kasus kebocoran data. Lebih dari 11.000 nasabah DBS Bank dan Bank of China (BOC) cabang Singapura menjadi korban insiden siber setelah vendor percetakan mereka, Toppan Next Tech, mengalami serangan ransomware.
Serangan tersebut tidak membobol sistem internal bank, namun membocorkan data dari dokumen fisik nasabah yang dicetak dan didistribusikan oleh Toppan. Dalam pernyataan bersama yang dirilis 7 April malam, Otoritas Keamanan Siber Singapura (CSA) dan Otoritas Moneter Singapura (MAS) mengonfirmasi bahwa serangan ini berdampak pada dua bank besar tersebut.
DBS melaporkan sekitar 8.200 nasabah terdampak, sebagian besar pengguna layanan broker DBS Vickers dan pinjaman jangka pendek Cashline. Sementara itu, BOC menyebutkan sekitar 3.000 nasabahnya terkena dampak, terutama terkait surat pinjaman.
Informasi yang kemungkinan terekspos termasuk nama lengkap, alamat, serta detail kepemilikan saham dan pinjaman. Namun DBS menegaskan tidak ada data login, password, nomor identitas nasional, saldo simpanan, maupun total kekayaan nasabah yang bocor. “Hingga saat ini, kami tidak menemukan bukti adanya transaksi tidak sah akibat insiden ini,” ujar perwakilan DBS dalam keterangannya.
Kedua bank menyampaikan bahwa mereka mengirim file ke Toppan dalam kondisi terenkripsi. “Kami belum dapat memastikan apakah pelaku berhasil mendekripsi file tersebut,” tulis DBS. Pihak bank telah menghentikan seluruh proses cetak dengan Toppan dan memperketat pemantauan pada akun-akun yang berpotensi terdampak.
Toppan Next Tech melaporkan insiden ini ke Komisi Perlindungan Data Pribadi (PDPC) pada 6 April malam. Dalam pernyataan terpisah pada 7 April, manajemen Toppan menyebut bahwa lokasi operasional mereka di Joo Koon Circle menjadi korban “serangan ransomware acak terhadap sistem bisnis.”
Chia Yan Heng, Managing Director Toppan, menyampaikan permintaan maaf secara terbuka. “Kami sangat menyesalkan kejadian ini dan meminta maaf atas gangguan atau kekhawatiran yang ditimbulkan kepada klien kami,” ujarnya seperti dikutip The Straits Times.
Toppan mengklaim telah memutus akses jaringan yang dimasuki penyerang dan sedang bekerja sama dengan tim forensik siber independen untuk menyelidiki skala dan penyebab insiden. “Kami tengah melakukan audit keamanan menyeluruh untuk memastikan layanan kami tetap aman dan andal,” tambah Chia.
CSA menyatakan telah memberikan panduan kepada Toppan mengenai langkah mitigasi, serta mendampingi proses investigasi. MAS juga disebut tengah berkoordinasi dengan DBS dan BOC untuk memastikan langkah-langkah mitigasi risiko dijalankan secara tepat.
Serangan ini menambah daftar panjang insiden kebocoran data di Singapura yang melibatkan pihak ketiga. Sebelumnya, Keppel Telecommunications dan Academy of Medicine Singapore juga dikenai denda karena insiden serupa. Ini menimbulkan kekhawatiran akan lemahnya pengawasan keamanan siber dalam ekosistem vendor yang menjadi bagian penting dari infrastruktur digital sektor keuangan.
Sebuah studi dari IBM Security “Cost of a Data Breach Report 2023” menunjukkan bahwa sektor keuangan menjadi salah satu sektor dengan biaya kebocoran data tertinggi di dunia, dengan rata-rata kerugian mencapai US$5,9 juta per insiden. Faktor seperti keterlibatan pihak ketiga dan sistem tidak terenkripsi disebut sebagai penyebab utama peningkatan risiko.
Insiden ini juga mencerminkan tantangan kompleks dalam menjaga keamanan data pribadi di tengah percepatan digitalisasi perbankan. Meskipun bank telah melakukan enkripsi dan proteksi berlapis, titik lemah justru muncul dari sisi vendor non-teknologi seperti perusahaan percetakan.
Para ahli menilai bahwa penguatan regulasi terhadap vendor eksternal, peningkatan standar keamanan siber, dan audit berkala menjadi kunci untuk mencegah kejadian serupa. “Ini adalah wake-up call bagi seluruh pelaku industri keuangan untuk lebih serius menilai risiko keamanan dari seluruh rantai pasok mereka,” ujar salah satu analis dari lembaga riset keamanan digital CyberX di Singapura. ■
