Oleh: Wisnu Nursahid; Technical General Manager Security Expert PT. Virtus Technology Indonesia
[Redaksi]Salah satu langkah penting dalam menyikapi perkembangan lanskap keamanan siber saat ini adalah menerapkan praktik manajemen risiko. Tulisan berikut memaparkan langkah-langkah penerapan manajemen risiko dalam konteks mitigasi ransomware pasca insiden PDNS.
Badan Siber dan Sandi Negara (BSSN) baru-baru ini mengeluarkan Surat Edaran No. 42 Tahun 2024 yang berisi Himbauan Pencegahan dan Mitigasi Ransomware pada Layanan Publik. Surat ini ditujukan kepada para pejabat pengelola Teknologi Informasi dan Komunikasi (TIK) di instansi pemerintah pusat dan daerah.
Langkah ini merupakan respons atas insiden serangan siber yang sempat menimpa Pusat Data Nasional. Insiden ini pada akhirnya menjadi pembelajaran berharga bagi pengelolaan keamanan siber di masa mendatang.
Langkah BSSN tersebut juga menunjukkan komitmen pemerintah dalam meningkatkan kesadaran dan kesiapan instansi-instansi terkait dalam menghadapi ancaman siber yang semakin kompleks.
Jika dilihat dari perspektif manajemen insiden, surat edaran ini adalah bagian dari proses pembelajaran yang bertujuan untuk mencegah terulangnya insiden serupa di masa depan. Selain itu, langkah ini juga berfungsi sebagai upaya mitigasi yang memperhitungkan tingkat toleransi risiko (risk tolerance) yang dapat diterima oleh institusi.
Namun, bagaimana sebaiknya para pejabat dan pimpinan TI di pusat dan daerah merespons surat edaran ini? Salah satu langkah strategis yang bisa diambil adalah dengan menerapkan Manajemen Risiko (Risk Management). Manajemen risiko ini bertujuan menerapkan langkah-langkah mitigasi risiko sesuai dengan tingkat yang dapat diterima atau acceptable level.
Dalam dunia teknologi informasi, risiko biasanya muncul karena dua hal utama. Pertama, terjadi exposure atau paparan data penting suatu institusi kepada pihak yang tidak berhak (disclosure of data).
Kedua, adanya aktivitas kompromi atau serangan terhadap “CIA Triad” (Confidentiality, Integrity, Availability). Serangan ini biasanya dipicu oleh kelemahan yang ada pada sistem.
Pada aspek confidentiality (kerahasiaan), contohnya, risiko dapat muncul dari lemahnya penerapan access control atau manajemen hak akses. Sedangkan dalam aspek integrity (integritas), kelemahan dapat terjadi pada penerapan integrity monitoring, fungsi “HASH”, atau bahkan lemahnya penerapan pemisahan tugas (separation of duties) secara administratif.
Sementara itu, pada aspek availability (ketersediaan), risiko dapat muncul dari lemahnya penyediaan fungsi backup, clustering & High Availability (HA), atau penggunaan teknologi RAID.
Untuk menerapkan manajemen risiko secara efektif, institusi perlu melakukan self-assessment terhadap sistem yang dimiliki. Proses ini melibatkan beberapa tahapan penting, yaitu: