Jakarta, MI — Badan Pemeriksa Keuangan (BPK) membongkar sederet kelemahan serius dalam sistem keamanan siber PT Bank DKI (Bank Jakarta).
Dalam Laporan Hasil Pemeriksaan (LHP) Kepatuhan atas Operasional Tahun 2024 dan 2025 (s.d Triwulan III), BPK menilai pengendalian keamanan sistem informasi Bank DKI masih memerlukan “penguatan secara berkelanjutan” untuk memitigasi risiko keamanan.
Temuan itu tertuang dalam LHP Nomor: 9/T/LHP/DJPKN-V.JKT/PBD.02/01/2026 tertanggal 30 Januari 2026 yang diperoleh Monitorindonesia.com, Minggu (24/5/2026).
Dalam laporannya, BPK mengungkap Bank DKI memang telah mengalami insiden siber dan melakukan sejumlah perbaikan. Namun auditor negara menilai berbagai celah kritis masih dibiarkan terbuka dan berpotensi mengancam keamanan data maupun operasional bank.
“PT Bank DKI (Bank Jakarta) telah mengalami insiden siber,” tulis BPK dalam dokumen pemeriksaan tersebut.
BPK secara tajam menyoroti lemahnya sistem deteksi fraud Bank DKI. Auditor menemukan tools pendeteksi fraud belum mampu mendeteksi transaksi mencurigakan secara real time sehingga potensi fraud tidak dapat dicegah lebih dini.
“Tools tersebut membutuhkan pengembangan untuk dapat mendeteksi transaksi mencurigakan berdasarkan transaction behavior dari tiap nasabah,” ungkap BPK.
Tak hanya itu, BPK juga menemukan masih adanya aplikasi yang bisa diakses tanpa autentikasi memadai. Bahkan sejumlah aplikasi disebut masih menggunakan username dan password tanpa perlindungan autentikasi berlapis (multi factor authentication/MFA).
“Sehingga tingkat keamanannya rendah dan rentan terhadap penyalahgunaan kredensial,” tulis BPK.
Kondisi makin memprihatinkan karena mekanisme transfer data antar aplikasi disebut masih belum sepenuhnya terenkripsi. Akibatnya, data yang dikirim berpotensi dibaca atau dimodifikasi pihak yang tidak berwenang.
BPK juga mengungkap adanya PC dan laptop yang belum dikonfigurasi sesuai standar keamanan. Selain itu, sejumlah aplikasi berbasis web disebut masih memerlukan penguatan untuk mencegah akses ilegal dari serangan siber.
Yang lebih menohok, auditor negara menemukan program IT Security Awareness belum sepenuhnya diterapkan kepada pihak ketiga atau vendor outsourcing Bank DKI.
“PT Bank DKI (Bank Jakarta) masih belum melakukan IT Security Awareness kepada pihak ketiga yang menjadi penyedia jasa teknologi informasi,” tegas BPK.
BPK bahkan menemukan dokumentasi teknis sistem tidak lengkap. Functional Specification Document (FSD) sejumlah aplikasi tidak tersedia sehingga pengembangan dan pengawasan sistem dinilai rawan bermasalah.
Menurut BPK, ketiadaan dokumen FSD membuat developer kesulitan memahami fitur sesuai desain dan membuka potensi eksploitasi celah keamanan.
Dalam temuan lainnya, BPK menyebut monitoring tindak lanjut hasil vulnerability assessment (VA) belum terdokumentasi secara memadai. Auditor menyatakan Bank DKI belum dapat memastikan seluruh kerentanan berstatus critical, high, medium hingga low benar-benar telah ditindaklanjuti.
“Belum ada monitoring tindak lanjut hasil VA sebagai solusi yang dihasilkan sehingga tidak diketahui apakah memang seluruh hasil VA sudah ditindaklanjuti,” tulis BPK.
Atas berbagai persoalan tersebut, BPK menyimpulkan terdapat risiko besar terhadap keamanan siber Bank DKI, mulai dari ancaman fraud, kebocoran data, penyalahgunaan akses ilegal hingga lemahnya evaluasi pencegahan kerentanan.
BPK menyatakan kondisi itu terjadi karena Bank DKI belum maksimal:
- Mengembangkan tools deteksi fraud;
- Menyelesaikan standarisasi konfigurasi PC/laptop;
- Memasang security tools sesuai kebutuhan aplikasi;
- Mendokumentasikan FSD;
- Melaksanakan IT Security Awareness kepada vendor;
- Mendokumentasikan tindak lanjut hasil vulnerability assessment.
Karena itu, BPK merekomendasikan Direktur Utama Bank DKI agar segera memerintahkan jajaran terkait memperbaiki seluruh kelemahan tersebut.
“Direktur Utama PT Bank DKI (Bank Jakarta) menyatakan sependapat dengan rekomendasi BPK dan akan menindaklanjuti sesuai dengan rencana aksi terlampir,” tulis BPK dalam laporan tersebut.
