Insiden yang mengubah cara pandang
Pada 1 Juni 2024, pusat data nasional Indonesia lumpuh. Serangan ransomware terhadap Pusat Data Nasional (PDNS) mengunci akses pemerintah ke sistem yang mendukung 282 instansi, mengganggu layanan imigrasi di bandara seluruh Indonesia, dan butuh berminggu-minggu untuk pulih sepenuhnya. Nilai tebusan yang diminta: $8 juta USD.
Tidak ada yang bisa bilang ini tidak terduga. Para penyerang menggunakan LockBit 3.0, varian ransomware dengan indikator kompromi yang sudah terdokumentasi dengan baik dan aktif selama lebih dari dua tahun. Sebuah security operations center yang berfungsi dengan baik seharusnya punya kesempatan untuk mendeteksi aktivitas staging pra-ransomware beberapa hari sebelum enkripsi dijalankan.
PDNS bukan kejadian tunggal. Bank Syariah Indonesia (BSI) kehilangan akses ke ATM dan layanan mobile banking selama beberapa hari pada Mei 2023 akibat serangan LockBit. Sebuah perusahaan telekomunikasi milik negara mengalami kebocoran jutaan data pelanggan di forum dark web. Sebuah perusahaan asuransi mengalami kebocoran data nasabah yang terpublikasi sebelum tim internalnya menyadari adanya pelanggaran.
Ini bukan lagi kasus tepi. Ini adalah realitas operasional sehari-hari.
Apa yang ditunjukkan oleh angka-angka
BSSN melaporkan lebih dari 361 juta insiden trafik anomali yang menargetkan sistem Indonesia pada tahun 2023. Angka tersebut terus meningkat setiap tahun seiring lebih banyak bisnis memindahkan operasional mereka ke platform digital. Ransomware, pencurian kredensial, dan business email compromise mendominasi insiden yang berdampak finansial di kawasan ini.
Angka yang lebih penting adalah biaya deteksi yang sesungguhnya. Membangun security operations center internal yang mampu menangani volume ini membutuhkan biaya lebih dari Rp 15-20 miliar per tahun untuk perusahaan skala menengah. Ini sudah mencakup lisensi platform SIEM, alat endpoint detection, umpan threat intelligence, dan staffing analis yang cukup untuk menutup tiga shift. Belum termasuk retainer respons insiden, tooling forensik, atau waktu senior engineer yang dihabiskan untuk merekrut orang-orang yang akhirnya menerima tawaran di Singapura enam bulan setelah bergabung.
Kekurangan talenta siber sudah terdokumentasi dengan baik. Laporan komunitas keamanan siber ASEAN 2023 memperkirakan Indonesia memiliki kurang dari 15.000 profesional keamanan bersertifikat untuk pasar yang membutuhkan beberapa kali lipat jumlah tersebut. Analis entry-level dengan pengalaman SIEM kini menuntut gaji yang sulit dipertahankan oleh perusahaan di luar sektor keuangan Jakarta sebagai headcount khusus keamanan.
Perhitungannya tidak membaik pada skala yang lebih besar bagi kebanyakan organisasi. Anda akhirnya membayar gaji penuh waktu untuk keterampilan yang dibutuhkan sepanjang waktu, memelihara infrastruktur yang terdepresiasi, dan bergantung pada dua atau tiga orang yang pengetahuan institusionalnya ikut pergi saat mereka mengundurkan diri.
Apa yang sebenarnya dilakukan layanan keamanan terkelola
Ada kesalahpahaman yang masih bertahan bahwa keamanan terkelola berarti antivirus yang di-outsource. Bukan itu yang dimaksud.
MSSP yang sesungguhnya mengoperasikan Security Operations Center dengan analis terlatih yang memantau lingkungan Anda secara berkelanjutan. Mereka mengumpulkan log dari firewall, endpoint, beban kerja cloud, dan aplikasi Anda. Mereka mengkorelasikan kejadian-kejadian di berbagai sumber menggunakan platform SIEM untuk menemukan pola yang tidak akan terlihat dari satu peringatan tunggal saja. Mereka menerapkan threat intelligence terkini untuk mendeteksi perilaku serangan yang sudah dikenal sebelum eskalasi. Ketika ada yang tampak mencurigakan, mereka menghubungi Anda. Jika kontrak Anda mencakup wewenang respons, mereka mengisolasi sistem yang terdampak dan menghubungi Anda setelahnya.
Tumpukan deteksi sangat berpengaruh. Korelasi SIEM mengidentifikasi serangan multi-tahap yang mencakup berbagai sistem dan rentang waktu. User and entity behavior analytics (UEBA) membuat baseline cara kerja normal orang dan sistem Anda, kemudian menandai penyimpangan yang menangkap ancaman insider dan akun yang dibobol yang sama sekali tidak terdeteksi oleh alat berbasis signature. Analisis trafik jaringan menemukan pergerakan lateral dan eksfiltrasi data yang tidak pernah terlihat oleh alat endpoint.
Untuk perusahaan Indonesia, kepatuhan regulasi menambah lapisan nilai kedua. Surat Edaran OJK No. 29/SEOJK.03/2022 tentang manajemen risiko teknologi informasi untuk bank mensyaratkan pemantauan berkelanjutan, pelaporan insiden yang terstruktur, dan prosedur respons yang terdokumentasi. Pedoman BSSN berdasarkan Peraturan Pemerintah No. 71/2019 menetapkan ekspektasi serupa untuk organisasi yang berafiliasi dengan pemerintah. MSSP yang memahami persyaratan ini mengurangi beban kepatuhan secara signifikan.
Contoh konkret seperti apa ini bekerja
Bayangkan sebuah perusahaan manufaktur Indonesia skala menengah dengan sekitar 800 karyawan dan sistem ERP yang mengelola pengadaan dan pembayaran pemasok. Mereka memiliki satu manajer IT dan dua staf helpdesk. Keamanan ditangani secara reaktif: antivirus di endpoint, firewall di perimeter, dan tidak ada visibilitas log terpusat.
Di awal 2024, email phishing yang menargetkan tim keuangan mengirimkan credential stealer. Penyerang menggunakan kredensial VPN yang berhasil dicuri untuk mengakses jaringan perusahaan setelah jam kerja, menghabiskan dua minggu untuk melakukan pengintaian, dan mengidentifikasi service account sistem ERP. Saat manajer IT akhirnya menyadari adanya perilaku login yang tidak biasa, penyerang sudah mengeksfiltrasi data kontrak pemasok dan sedang menyiapkan deployment ransomware.
Dengan SOC terkelola yang terpasang, skenarionya berbeda. Login VPN dari lokasi geografis tidak biasa di luar jam kerja memicu peringatan perilaku di minggu pertama. SIEM mengkorelasikan login tersebut dengan aktivitas pemindaian internal berikutnya dan mengeskalasi kasus. Analis SOC menghubungi manajer IT pukul 23.00. Kompromi berhasil ditahan sebelum penyerang mencapai sistem ERP.
Ini bukan model ancaman hipotetis. Pola staging seperti ini muncul secara rutin di jaringan perusahaan Indonesia, dan jarak antara "ada yang tampak salah" dan "bisnis berhenti beroperasi" diukur dalam hitungan hari, bukan minggu, ketika deteksi terjadi lebih awal.
Pertanyaan build versus buy
Tidak ada jawaban universal, dan provider mana pun yang mengatakan MSSP tepat untuk setiap organisasi sedang menyederhanakan persoalan secara berlebihan.
Jika Anda adalah bank besar, perusahaan telekomunikasi, atau BUMN dengan aset digital senilai ratusan miliar rupiah, membangun SOC sendiri memberikan kontrol dan kemampuan untuk menyesuaikan deteksi dengan lingkungan spesifik Anda. Investasinya dapat dibenarkan pada skala tersebut.
Untuk sebagian besar perusahaan Indonesia, perhitungannya tidak menguntungkan. IBM Cost of a Data Breach Report 2024 menemukan bahwa organisasi dengan tim keamanan yang lengkap mendeteksi pelanggaran 108 hari lebih cepat dibanding yang tidak, dan perbedaan biaya per insiden rata-rata mencapai $1,76 juta USD. MSSP memberikan kemampuan deteksi yang setara dengan sebagian kecil biaya infrastruktur dan headcount karena platform, tooling, dan keahlian dibagi di antara banyak klien.
Jika Anda sudah memiliki tim keamanan dan ingin memperluas kemampuan mereka daripada menggantikannya, model co-managed layak dipertimbangkan. Analis Anda tetap fokus pada lingkungan dan konteks bisnis Anda. MSSP menangani shift malam, manajemen platform, dan umpan threat intelligence yang mahal untuk dipelihara secara mandiri.
Untuk organisasi yang memulai dari awal, memulai dengan layanan terkelola dan membangun kemampuan internal secara bertahap hampir selalu lebih praktis daripada mendirikan SOC penuh pada hari pertama. Pengetahuan institusional yang dibawa MSSP yang baik ke klien baru membutuhkan waktu bertahun-tahun untuk dikembangkan secara internal.
Yang perlu benar-benar diperiksa saat mengevaluasi provider
Tidak semua provider keamanan terkelola setara, dan bahasa pemasaran cenderung konvergen pada klaim yang sama terlepas dari kemampuan aktual.
Kehadiran lokal lebih penting dari yang diakui provider remote-first. MSSP dengan analis di Jakarta memahami pola ancaman regional, merespons advisori BSSN dengan konteks yang tepat, dan bisa hadir secara fisik saat insiden memerlukannya. Menangani jam kerja Indonesia dari zona waktu berbeda menambah latensi komunikasi di saat yang paling tidak bisa Anda tanggung.
Minta angka MTTD dan MTTR yang nyata dari engagement yang serupa dalam hal ukuran dan industri. Provider mana pun seharusnya bisa berkomitmen pada syarat SLA secara tertulis dan menjelaskan cara pengukurannya.
Pahami apa yang terjadi setelah deteksi. Beberapa MSSP berhenti pada peringatan dan menyerahkan respons kepada Anda. Yang lain menyediakan respons insiden yang terkontain, investigasi forensik, dan dukungan pemulihan. Mengetahui mana yang Anda beli sebelum menandatangani kontrak sangat penting ketika Anda sedang di tengah insiden.
Keselarasan regulasi: jika Anda bergerak di bidang perbankan, asuransi, atau layanan kesehatan, MSSP Anda harus memahami OJK, BSSN, dan persyaratan sektoral yang berlaku. Pengetahuan kerangka kepatuhan generik tidak terpetakan dengan baik ke lingkungan regulasi Indonesia, dan Anda tidak ingin mengetahuinya saat sedang menjalani pemeriksaan OJK.
Di mana ini menempatkan perusahaan Indonesia hari ini
Serangan PDNS dan insiden BSI cukup besar untuk menggeser percakapan di level dewan direksi tentang investasi keamanan. Namun kesadaran belum secara merata diterjemahkan menjadi kemampuan. Sebagian besar perusahaan Indonesia masih bergantung pada kontrol reaktif dan tim IT yang kekurangan staf yang menanggung tanggung jawab keamanan sebagai fungsi sekunder.
Organisasi yang membayar tebusan pada 2023 dan 2024 bukan karena tidak peduli. Banyak yang kekurangan staf, menjalankan alat yang tidak terintegrasi dengan baik untuk menampilkan sinyal awal. Itu masalah yang bisa diperbaiki, dan model untuk memperbaikinya tidak memerlukan pembangunan program tahunan senilai Rp 15 miliar dari nol.
SOC-as-a-Service kami dibangun di sekitar pusat operasi berbasis Jakarta yang diisi oleh analis yang memahami lingkungan regulasi Indonesia dan lanskap ancaman regional. Deteksi ditingkatkan dengan AI untuk mengurangi alert fatigue, dan pelaporan tersedia dalam Bahasa Indonesia dan Inggris karena dewan direksi, tim IT, dan regulator Anda tidak selalu berbicara dalam bahasa yang sama.
Jika Anda sedang mengevaluasi apakah keamanan terkelola masuk akal untuk organisasi Anda, titik awalnya adalah percakapan jujur tentang seperti apa cakupan keamanan Anda saat ini di luar jam kerja. Bagi sebagian besar perusahaan Indonesia skala menengah, jawaban atas pertanyaan itulah yang mendorong keputusan.