OPINI: Jangan Kaget Kalau Sistem Anda Kena Retas!

Satriyo Wibowo, S.T., MBA, M.H., IPM, CERG, CCISO. Olah grafis: Abdillah

Liputan6.com, Jakarta - "Incident Responder!" Begitu jawaban semua instansi pemerintah Amerika Serikat saat ditanya, kompetensi apa yang perlu menjadi prioritas pembekalan SDM. Diskusi ini terjadi tahun lalu ketika kami diundang pemerintah Amerika Serikat lewat program International Visitor Leadership Program (IVLP).

Saat itu kami bertemu dan berdiskusi mengenai keamanan siber dengan hampir 30 institusi di 7 negara bagian selama 3 pekan. Jawaban tadi memang masuk akal karena sebagai negara maju pelopor internet, Amerika Serikat adalah target berbagai macam serangan siber, baik secara langsung maupun tidak langsung.

Dan apa yang terjadi saat ini, kita pun menjadi target serangan siber. Dalam sebuah acara bersama Indonesia Cyber Security Forum (ICSF) kemarin, Crowdstrike mencatat Indonesia mengalami peningkatan serangan siber terbanyak di kawasan Asia Tenggara. Motif serangannya pun beragam, entah itu ekonomi ataupun politis, pencurian data pribadi pelanggan, penipuan online, peretasan akun, dan yang belakangan ini terjadi perusakan konten media online.

Wake up call? Harusnya tidak. Serangan siber adalah keniscayaan bagi siapa pun di dunia siber dan ini menjadi risiko yang harus terus dimitigasi. Tak perlu kaget, kalau bisnis Anda diserang, kalau akun Anda diretas. Tidak ada sistem yang seratus persen aman, tetapi pertanyaannya, apakah kita sudah siap menghadapinya? Bagaimana caranya?

Incident Responder (IR)

Insiden adalah serangan yang berhasil dan memberikan efek merugikan kepada sistem. Untuk menghadapinya, sudah banyak standar yang mengatur pola kerja respons terhadap insiden keamanan. Salah satunya ISO/IEC 27035:2016. Ada dua dokumen terpisah: prinsip-prinsip penanganan insiden dan petunjuk perencanaan dan persiapannya. Berdasarkan standar tersebut, proses penanganan insiden dibagi menjadi beberapa tahap: perencanaan dan persiapan, deteksi dan pelaporan, asesmen dan pengambilan keputusan, respons insiden, dan pembelajaran (lesson-learnt).

Perencanaan dan persiapan tentu bergantung pada seberapa besar suatu organisasi, tingkat ketergantungan bisnisnya terhadap TIK, serta seberapa banyak dan strategis aset TIK yang hendak dilindungi. Masing-masing mempunyai perhitungan sendiri, tetapi setidaknya setiap organisasi harus memiliki satu orang perespons insiden (Incident Responder, IR). Mengapa? Agar insiden sederhana seperti defacing bisa ditanggulangi tanpa harus melibatkan pihak ketiga.

Fungsi deteksi dan pelaporan merupakan fungsi monitoring awal yang mengumpulkan semua log dan informasi ke dalam satu sistem pelaporan, sehingga memudahkan pembacaan. Anomalitas dideteksi berdasarkan parameter kewajaran yang selalu diperbarui. Tiket laporan dibuat ketika ditemukan ketidakwajaran atau malah sudah terjadi suatu serangan.

Gambar 1 - Information Security Event and Incident Flow Diagram (Sumber: ISO/IEC 27035-1:2016)

Laporan kemudian dianalisis dan diputuskan, apakah memang terjadi insiden dan seberapa kritis insiden itu. Namun demikian, bisa jadi yang ditemukan adalah false positive, yakni suatu kondisi yang membangkitkan alarm padahal tidak terjadi insiden. Hal ini akan menjadi catatan pembelajaran untuk memperbarui parameter kewajaran.

Jika terkonfirmasi terjadi insiden, langkah berikutnya adalah penentuan, apakah kapabilitas tim IR cukup untuk melakukan penanganan. Ini penting agar insiden dapat segera ditangani dan tidak berlarut-larut. Proses penanganan insiden dilakukan dengan berbagai cara, tetapi konsep dasarnya adalah terminasi layanan untuk perbaikan, isolasi sistem agar insiden tidak menjalar, dan eradikasi sumber insiden.

Jika insiden dinilai terlalu besar dan berat untuk ditangani sendiri, diperlukan eskalasi ke pengambil keputusan lebih tinggi. Di sinilah peran pemimpin organisasi mengambil keputusan dalam rangka manajemen krisis dan keberlangsungan bisnis. Pihak ketiga seperti vendor, konsultan, otoritas, regulator, APH, atau komunitas dapat dimintai dukungan untuk menyelesaikan permasalahan. Pertimbangan konsekuensinya: reputasi, waktu, biaya, risiko legal, atau informasi kritis organisasi menjadi terpapar.

Pemulihan sistem dilakukan dengan tetap memerhatikan, apakah masih ada residu kerentanan akibat insiden. Jika diputuskan bahwa insiden ini harus dibawa ke ranah hukum, ada satu tugas penting bagi IR yang sejak awal proses harus memerhatikan ketentuan dalam melakukan pengumpulan bukti elektronik sesuai standar forensik digital SNI ISO/IEC 27037:2014. Hal ini sangat penting karena kesalahan penanganan dapat membuat bukti tidak dapat diterima oleh pengadilan.

Tahapan terakhir adalah pembelajaran, tahapan penting yang sering diabaikan. Jangan sampai terjadi insiden serupa di kemudian hari. Pembelajaran ini juga harus dibagikan kepada komunitas agar tidak terjadi di tempat lain. Tentu ada protokol berbagi yang ditaati, sehingga tidak ada informasi kritis organisasi yang tidak sengaja tersebar.

2 dari 2 halaman

SOC dan CERT

Standardisasi kompetensi dalam penanganan insiden ini adalah salah satu bagian pembahasan SKKNI Security Operation Centre yang saat ini sedang menjadi pembahasan di BSSN. SOC adalah wadah IR di organisasi. SOC sederhana hanya mempunyai fungsi monitoring dan IR. SOC yang lebih maju mempunyai tambahan fungsi seperti Threat Intelligence, Malware Analyst, Threat Hunting, dan Digital Forensic.

Threat Hunter (TH) merupakan IR yang aktif mencari ancaman serta mencari artefak insiden terdahulu yang terlewat dideteksi. TH mengumpulkan dan memperbarui informasi mengenai kerentanan-kerentanan baru dan melakukan pengecekan, apakah kerentanan tersebut telah digunakan penyerang untuk masuk ke sistem, dan segera melakukan tindakan sebelum terjadi insiden yang signifikan.

CERT (Computer Emergency Response Team) atau CSIRT (Computer Security Incident Response Team) merupakan tim bersama yang dibentuk dalam penanganan insiden dan forensik digital. CERT/CSIRT bersifat ad hoc eksternal organisasi dan umumnya dibentuk dalam satu sektor. Mengapa? Serangan pada organisasi lebih mudah diduplikasi ke organisasi lain dalam satu sektor karena kemiripan sistemnya.

Di sinilah peranan asosiasi untuk membantu anggota-anggotanya yang tentu berbeda dalam hal skala bisnis serta kemampuan modal dan SDM dalam fungsi keamanan siber. Asosiasi dapat membentuk CERT/CSIRT dengan dukungan anggotanya yang lebih siap atau menawarkan SOC bersama. Banyak juga solusi dari vendor dengan model MDR, MSSP, atau SOC as a Service.

Jangan Kaget

Di dunia siber ini, serangan siber adalah keniscayaan dan insiden siber adalah risiko yang harus dihadapi. Apakah organisasi memitigasi risiko dengan menerimanya, menguranginya, menghindari, atau mengalihkan risiko tersebut ke pihak lain, hal itu tergantung pada penilaian masing-masing. Tim IR mutlak harus disiapkan, bahkan lebih baik lagi bila bersertifikasi seperti ECIH dari EC Council.

Seorang teman pernah berkata, "Data breach is not about IF, it is about WHEN." Jadi, jangan kaget lagi kalau sistem Anda kena retas. Kagetlah kalau diretasnya berulang kali dari lubang yang sama, atau baru ketahuan peretasan setelah sekian lama, atau malah bingung dalam menghadapi insiden tanpa belajar dari pengalaman sebelumnya.

*Satriyo Wibowo, S.T., MBA, M.H., IPM, CERG, CCISO adalah sekretaris Indonesia Cyber Security Forum, pengurus Asosiasi Forensik Digital Indonesia, dan tim perumus Peta Okupasi Nasional Keamanan Siber. Saat ini sedang aktif sebagai anggota Komite dan Tim Perumus SKKNI Security Operation Center di Badan Siber dan Sandi Negara