Jakarta, Cyberthreat.id – Direktur Bidang Penanggulangan dan Pemulihan Badan Siber dan Sandi Negara (BSSN), Yoseph Puguh, mengatakan, bekerja dari rumah (work from home/WFH) saat pandemi Covid-19 seperti sekarang memiliki potensi risiko siber yang besar.

"Karena pekerjaan harus dilakukan melalui jaringan [internet]. [Oleh karenanya], pandemi Covid-19 perlu disikapi oleh organisasi sebagai cambuk untuk mempersiapkan diri mengantisipasi terjadinya insiden siber," ujar Yoseph kepada Cyberthreat.id, Jakarta, Rabu (8 April 2020).

Insiden siber, pada umumnya, kata Puguh, mencakup kejadian yang dapat mengganggu berjalannya sistem elektronik, seperti serangan virus, pencurian data (informasi pribadi, hak kekayaan intelektual perusahaan), web defacement, dan gangguan akses terhadap layanan elektronik.

Sementara, BSSN baru-baru ini menerbitkan buku putih bertajuk “Mitigasi Insiden Siber Saat Pandemi Covid-19”. Dalam buku tersebut disebutkan, berdasarkan laporan perusahaan keamanan siber asal Jepang, Trend Micro, terdeteksi lebih dari 200.000 aksi penyebaran malware (perangkat lunak jahat) dan spam (pesan sampah) yang terjadi di seluruh dunia pada kuartal pertama 2020. Di Indonesia, terdeteksi setidaknya aks penyebaran 4.808 malware dan 4.805 spam.

“Penyebaran malware dalam jumlah masif dan memanfaatkan keingintahuan masyarakat tentang Covid-19 sangat berpotensi menyebabkan intrusi secara tidak sah pada infrastruktur TI organisasi, kebocoran data sensitif, infeksi malware, atau insiden siber lainnya,” demikian dalam buku tersebut.

BSSN juga mengingatkan agar organisasi pemerintah dan swasta mempersiapkan diri dan mengantisipasi terjadinya insiden siber saat pandemi saat ini. Terutama, untuk memasitkan keamana nsiber saat sebagian besar pegawai melakukan teleworking.

Sumber: BSSN

---

Menurut BSSN, ada tiga elemen penting yang harus dilakukan oleh pemerintahan/perusahaan untuk menghadapi insiden siber, yaitu rencana penanganan insiden siber yang komprehensif, pembentukan tim penanganan insiden siber, dan penggunaan perangkat atau alat bantu untuk proses penanganan insiden siber.

Berikut ini tips yang diberikan oleh BSSN saat penanganan insiden siber:

• Pantau secara cermat setiap anomali

Deteksi terhadap suatu pelanggaran keamanan atau insiden siber tidak dapat sepenuhnya mengandalkan perangkat atau alat bantu. Analisis dari tim keamanan sangat dibutuhkan untuk menganalisis lebih lanjut aktivitas-aktivitas anomali yang berkaitan, menentukan dampaknya serta langkah apa yang perlu diambil untuk mengamankan aset informasi organisasi.

Hal hal yang perlu dipantau secara penting oleh tim keamanan siber adalah anomali lalu lintas data, akses tanpa izin atau tidak sah terhadap suatu informasi, dan file mencurigakan dan penggunaan sumber daya komputasi secara berlebihan.

Untuk melakukan pengawasan secara otomatis tiga proses tersebut bisa menggunakan perangkat keamanan siber mutakhir, seperti entity and user behavioral analytics (UEBA).

• Gunakan pendekatan terpusat

Pemerintahan/perusahaan dapat mengumpulkan  informasi dari perangkat-perangkat keamanan dan sistem TI lainnya, dan menyimpannya pada lokasi terpusat, misalnya pada perangkat security information and event management (SIEM). Gunakan informasi tersebut untuk membuat lini waktu kejadian,menganalisis hubungan antar insiden, dan menginvestigasi suatu insiden.

Pendekatan terpusat ini juga dapat digunakan untuk mengatur respon otomatis pada perangkat-perangkat keamanan TI jika diperlukan langkah atau respons cepat terhadap suatu insiden yang dinilai kritis. Untuk menerapkannya, organisasi bisa menggunakan teknologi security orchestration, automation and response (SOAR).

• Tidak menggunakan Asumsi

Saat melakukan investigasi, sebaiknya tidak membuat asumsi-asumsi tentang adanya suatu insiden tertentu. Alih-alih menggunakan asumsi,buatlah semacam prosedur singkat yang dapat diverifikasi dan dievaluasi.

Sebagai contoh, jika terdapat peringatan (alert) X pada perangkat Y, maka insiden Y seharusnya terjadi dalam jarak waktu yang dekat. Buat prosedur-prosedur singkat tersebut berdasarkan pengalaman perusahaan/pemerintahan dan tim keamanan siber, misalnya, dalam mengonfigurasi jaringan, membangun perangkat lunak, mengelola sistem, dan gunakan sudut pandang dari seorang threat actor.

• Abaikan kejadian yang tidak mungkin

Saat melakukan investigasi atas suatu insiden, banyak kemungkinan yang terjadi. Dalam kondisi ini, organisasi disarankan untuk mengabaikan kejadian yang dapat dijelaskan secara logis dan lebih fokus pada kejadian yang tidak logis atau tidak biasa (anomali).

Kejadian anomali, misalnya, adanya perubahan volume lalu lintas data yang signifikan; adanya permasalahan akses ke fungsi administratif ke aplikasi; adanya permasalahan kinerja di jaringan yang mempengaruhi akses ke situs korporat atau aplikasi internal organisasi; dan adanya perubahan pada konten, layout atau tata letak pada situs web korporat, namun tidak terdokumentasi/tercatat perubahannya, dan sebagainya.

• Lakukan evaluasi pasca insiden siber

Lakukan pemantauan secara berkelanjutan terhadap sistem milik organisasi untuk mengantisipasi aktivitas-aktivitas anomali dan memastikan threat actor tidak berhasil masuk kembali. Organisasi juga perlu meninjau dan mengevaluasi pasca insiden untuk mencari solusi atas permasalahan yang dialami selama pelaksanaan penanganan insiden siber di organisasi.[]

Redaktur: Andi Nugroho