Oleh: Wisnu Nursahid; Technical General Manager Security Expert PT. Virtus Technology Indonesia
[Redaksi]Salah satu langkah penting dalam menyikapi perkembangan lanskap keamanan siber saat ini adalah menerapkan praktik manajemen risiko. Tulisan berikut memaparkan langkah-langkah penerapan manajemen risiko dalam konteks mitigasi ransomware pasca insiden PDNS.
Badan Siber dan Sandi Negara (BSSN) baru-baru ini mengeluarkan Surat Edaran No. 42 Tahun 2024 yang berisi Himbauan Pencegahan dan Mitigasi Ransomware pada Layanan Publik. Surat ini ditujukan kepada para pejabat pengelola Teknologi Informasi dan Komunikasi (TIK) di instansi pemerintah pusat dan daerah.
Langkah ini merupakan respons atas insiden serangan siber yang sempat menimpa Pusat Data Nasional. Insiden ini pada akhirnya menjadi pembelajaran berharga bagi pengelolaan keamanan siber di masa mendatang.
Langkah BSSN tersebut juga menunjukkan komitmen pemerintah dalam meningkatkan kesadaran dan kesiapan instansi-instansi terkait dalam menghadapi ancaman siber yang semakin kompleks.
Jika dilihat dari perspektif manajemen insiden, surat edaran ini adalah bagian dari proses pembelajaran yang bertujuan untuk mencegah terulangnya insiden serupa di masa depan. Selain itu, langkah ini juga berfungsi sebagai upaya mitigasi yang memperhitungkan tingkat toleransi risiko (risk tolerance) yang dapat diterima oleh institusi.
Namun, bagaimana sebaiknya para pejabat dan pimpinan TI di pusat dan daerah merespons surat edaran ini? Salah satu langkah strategis yang bisa diambil adalah dengan menerapkan Manajemen Risiko (Risk Management). Manajemen risiko ini bertujuan menerapkan langkah-langkah mitigasi risiko sesuai dengan tingkat yang dapat diterima atau acceptable level.
Dalam dunia teknologi informasi, risiko biasanya muncul karena dua hal utama. Pertama, terjadi exposure atau paparan data penting suatu institusi kepada pihak yang tidak berhak (disclosure of data).
Kedua, adanya aktivitas kompromi atau serangan terhadap “CIA Triad” (Confidentiality, Integrity, Availability). Serangan ini biasanya dipicu oleh kelemahan yang ada pada sistem.
Pada aspek confidentiality (kerahasiaan), contohnya, risiko dapat muncul dari lemahnya penerapan access control atau manajemen hak akses. Sedangkan dalam aspek integrity (integritas), kelemahan dapat terjadi pada penerapan integrity monitoring, fungsi “HASH”, atau bahkan lemahnya penerapan pemisahan tugas (separation of duties) secara administratif.
Sementara itu, pada aspek availability (ketersediaan), risiko dapat muncul dari lemahnya penyediaan fungsi backup, clustering & High Availability (HA), atau penggunaan teknologi RAID.
Untuk menerapkan manajemen risiko secara efektif, institusi perlu melakukan self-assessment terhadap sistem yang dimiliki. Proses ini melibatkan beberapa tahapan penting, yaitu:
1. Inventarisasi aset atau melakukan pendataan terhadap aset-aset yang dimiliki. Dari inventarisasi ini, institusi dapat mengidentifikasi aset-aset yang bersifat kritis dan nonkritis.
2. Identifikasi risiko, yaitu melakukan identifikasi terhadap threats dan vulnerabilities yang mungkin muncul dalam sistem. Proses ini bisa dilakukan melalui vulnerability assessment, simulasi serangan (Breach Attack Simulation), dan sebagainya.
3. Analisis dampak risiko, yaitu menilai dampak dari risiko yang teridentifikasi, baik melalui pendekatan kualitatif maupun kuantitatif.
4. Penanganan risiko, yaitu menentukan cara institusi merespons potensi risiko yang ada. Pilihan yang dapat diambil termasuk mitigasi lebih lanjut dengan penerapan kontrol (baik administratif, teknis, maupun fisik), transfer risiko dengan bekerja sama dengan pihak ketiga seperti MSSP (Managed Security Service Provider), atau menghindari risiko dengan menonaktifkan fungsi sistem yang sangat rentan.
Langkah preventif dengan memulai risk assessment ini sangat penting. Dengan melakukan ini, institusi dapat menerapkan fungsi pengamanan atau kontrol yang tepat pada sistem yang tepat pula.
Ketika serangan siber akhirnya datang dan berdampak pada sistem, setidaknya ada tiga area utama yang mungkin terkena dampak: keuangan, reputasi, dan kepatuhan terhadap regulasi.
Selain itu, tren terbaru dalam praktik keamanan siber dan manajemen risiko menunjukkan bahwa kolaborasi antara teknologi dan manusia menjadi kunci penting.
Penggunaan kecerdasan buatan (AI) dan machine learning dalam mendeteksi ancaman siber semakin marak. Namun keahlian manusia tetap dibutuhkan untuk menganalisis dan menginterpretasikan data tersebut. Oleh karena itu, pelatihan dan peningkatan kapasitas sumber daya manusia di bidang siber juga menjadi bagian penting dalam strategi manajemen risiko yang efektif.
Dengan memperbarui praktik manajemen risiko sesuai dengan perkembangan teknologi dan ancaman yang ada, institusi dapat lebih siap menghadapi tantangan yang semakin kompleks di dunia siber. Hal ini tidak hanya melindungi data dan sistem, tetapi juga memastikan kelangsungan operasional dan reputasi institusi di masa mendatang.
Baca juga: Virtus dan Elastic Dorong Adopsi AI dengan Solusi Pencarian Canggih