Penulis: Wisnu Nursahid, Technical General Manager Security Expert PT Virtus Technology Indonesia, bagian dari CTI Group
[Redaksi]Salah satu langkah preventif yang dapat dilakukan untuk merespons serangan siber adalah membangun sistem reactive-response. Apa dan bagaimana sistem itu diterapkan?
Hari ini pemerintah mengaku gagal memulihkan data-data yang tersimpan di Pusat Data Nasional (PDN). Pengakuan itu disampaikan pemerintah setelah sejumlah upaya yang dilakukan tidak berhasil melawan serangan ransomware dari peretas, Kompas.com. 27 Juni 2024.
Entah data apa yang berhasil diretas. Pastinya data tersebut menurut pemerintah sudah tidak bisa di-recovery, meskipun data-data yang terenkripsi itu masih berada di dalam server PDN dan tidak berpindah ke lokasi lain.
DPR RI yang menjadi mitra pemerintah mengaku juga belum bisa berkomentar banyak terkait bobolnya PDN. Menteri Komunikasi dan Informatika (Kominfo) dan Kepala Badan Siber dan Sandi Negara (BSSN) dipanggil Komisi I DPR untuk memberikan penjelasan secara komprehensif terkait insiden ini.
Berdasarkan penjelasan pemerintah melalui YouTube Kominfo Selasa (25/6/2024) serangan siber ransomware terhadap server PDN kali ini, berdampak pada 210 instansi pusat maupun daerah di Indonesia. Beberapa instansi yang sudah mulai beroperasi kembali seminggu setelah serangan siber tersebut, di antaranya Ditjen Imigrasi Kemenkumham dan Kementerian Koordinator Bidang Kemaritiman dan Investasi (Marves).
Apakah serangan ransomware bisa diantisipasi dan bagaimana meresponnya sehingga dampaknya bisa diminimalisasi, terlebih pada data center seperti PDN, yang bila terganggu akan menyebabkan terganggunya berbagai layanan publik?
Pentingnya Sistem “Reactive-Responsive” untuk Penanganan Ransomware
Mengingat semakin banyaknya serangan ransomware dan berdampak masif, mulai dari finansial maupun reputasi, organisasi perlu membangun sistem "reactive-responsive" sebagai langkah preventif terhadap serangan ransomware. Pada dasarnya, ransomware adalah sejenis malware yang berusaha mengunci file atau data milik korbannya.
Sistem ini memungkinkan deteksi dini serangan pada tahap paling awal, sehingga malware tidak sempat melumpuhkan sistem. Selain itu dibutuhkan tim respons insiden yang berperan dalam memantau dan menangani ancaman secepat mungkin untuk memastikan sistem kembali pulih sesuai SLA (service level agreement).
Dalam sebuah organisasi SLA ini umumnya telah menetapkan berapa lama maksimal sistem downtime (MTD), berapa lama jumlah waktu yang diharapkan untuk memulihkan sistem setelah kegagalan sistem atau recovery time objective (RTO). Dan jika ada data yang hilang, sistem toleransi data hilang setelah kejadian tidak terduga juga sudah ditetapkan atau recovery point objective (RPO).
Agar organisasi bisa merespons serangan siber yang menimpanya, secara komprehensif dan efektif, ada sejumlah tahapan dan langkah-langkah penting dalam penanganannya. Apa saja?
Pertama, organisasi harus menyiapkan rencana respons insiden yang terintegrasi dengan kelangsungan bisnis. Langkah ini mencakup penyusunan tim lintas divisi yang terdiri dari berbagai fungsi dalam organisasi, seperti TI, hukum, hubungan masyarakat, dan manajemen risiko. Tim ini harus dilatih secara berkala dan memiliki akses ke alat serta sumber daya yang diperlukan untuk menangani insiden.
Kedua, proses deteksi yang melibatkan penggunaan teknologi canggih untuk mengidentifikasi potensi serangan. Alat-alat seperti SIEM (Security Information and Event Management), IDS (Intrusion Detection System), Firewall, dan DAM (Database Activity Monitoring) digunakan untuk memonitor dan menganalisis aktivitas jaringan secara real-time. Deteksi dini sangat penting untuk mengurangi dampak dari insiden keamanan.
Ketiga, jika terdeteksi adanya serangan, tim respons insiden harus segera diaktifkan. Langkah pertama adalah mengidentifikasi skala dan sifat serangan. Jika diperlukan, dilakukan deklarasi formal terkait insiden tersebut kepada pihak internal dan eksternal yang relevan. Respons yang cepat dan tepat dapat membantu meminimalkan kerusakan dan memulihkan operasi bisnis dengan cepat.
Keempat, tahap mitigasi melibatkan isolasi sistem yang terinfeksi untuk mencegah penyebaran serangan lebih lanjut. Tim harus mengevaluasi risiko yang terlibat dan mengambil langkah-langkah untuk mengurangi dampak serangan. Langkah ini bisa termasuk memutuskan koneksi jaringan, menonaktifkan sistem yang terpengaruh, atau mengaplikasikan patch keamanan.
Kelima, setelah insiden terkendali, penting untuk melaporkan insiden tersebut kepada para pemangku kepentingan terkait, seperti manajemen senior, tim hukum, dan mungkin pihak berwenang. Laporan ini harus mencakup detail insiden, langkah-langkah yang diambil, dan dampak yang terjadi. Transparansi dalam pelaporan membantu menjaga kepercayaan dan memastikan kepatuhan terhadap regulasi.
Keenam, fokus pada pemulihan sistem dan data yang terpengaruh ke kondisi sebelum terjadinya insiden. Tim harus memastikan bahwa semua sistem yang dipulihkan telah diperiksa dan aman untuk digunakan kembali. Proses ini mungkin melibatkan restorasi data dari backup, pengujian integritas sistem, dan verifikasi bahwa semua kerentanan yang dieksploitasi telah diperbaiki.
Ketujuh, organisasi perlu melakukan remediasi yang mencakup analisis mendalam untuk mengidentifikasi penyebab utama insiden. Berdasarkan temuan ini, organisasi harus merancang dan mengimplementasikan kontrol keamanan baru untuk mencegah terulangnya insiden serupa di masa depan. Langkah ini bisa termasuk pembaruan kebijakan keamanan, peningkatan konfigurasi sistem, atau pelatihan tambahan untuk karyawan.
Kedelapan, mendokumentasikan dan melakukan evaluasi setiap fase penanganan insiden adalah langkah kunci untuk perbaikan berkelanjutan. Organisasi harus menyelenggarakan sesi evaluasi pasca insiden untuk mendiskusikan apa yang berhasil dan apa yang perlu ditingkatkan. Selain itu, penting untuk melakukan uji coba sistem secara teratur (Disaster Recovery Test) untuk memastikan kesiapan menghadapi potensi kejadian di masa mendatang.
Menyikapi Ancaman Ransomware: Tanggung Jawab Bersama dalam Organisasi
Ransomware, yang tujuan utamanya adalah memeras korban dengan pembayaran tebusan, menuntut perusahaan memiliki kebijakan yang tepat dalam menentukan apakah akan membayar tebusan atau tidak. Langkah yang bijaksana adalah menghindari pembayaran tebusan dengan memastikan sistem keamanan organisasi telah siap menghadapi serangan seperti ransomware ini.
Langkah pencegahan dan penanganan ransomware yang paling efektif adalah menjadikan tanggung jawab ini sebagai perhatian bersama di seluruh organisasi, bukan hanya tanggung jawab tim TI, tim respons insiden, atau tim-tim lainnya.
Baca juga: Ransomware Makin Ganas, ITSEC Asia Ungkap Langkah Mitigasi yang Tepat
Baca juga: PDNS Diretas, Kaspersky Bagikan Tips Organisasi Hindari Ransomware
| Penulis | : | Liana Threestayanti |
| Editor | : | Liana Threestayanti |
KOMENTAR