Incident response
Ransomware response di Indonesia: apa yang harus dilakukan dalam 72 jam pertama
Ringkasnya
Panduan langkah demi langkah untuk respons ransomware di Indonesia: isolasi, negosiasi, pemulihan, dan kewajiban pelaporan di bawah UU PDP dan BSSN.
Ketika ransomware mengenkripsi sistem Anda, setiap menit punya harga. Perusahaan yang tidak memiliki rencana respons tertulis rata-rata menghabiskan dua hingga tiga kali lebih lama dalam pemulihan dibandingkan yang memilikinya. Di Indonesia, tekanannya berlapis: selain operasi yang terhenti, ada kewajiban pelaporan berdasarkan UU PDP yang berjalan sejak hari insiden diketahui.
Halaman ini menjelaskan apa yang perlu dilakukan dalam 72 jam pertama, kapan dan kepada siapa Anda wajib melapor, dan bagaimana memutuskan apakah retainer incident response tepat untuk organisasi Anda.
72 jam pertama yang menentukan
Respons ransomware bukan tentang keberanian, melainkan tentang urutan tindakan yang benar. Kesalahan paling umum adalah bertindak terburu-buru tanpa memahami skala enkripsi lebih dulu, atau sebaliknya, berlama-lama menyelidiki sementara enkripsi masih berjalan.
- 1
0-2 jam: Isolasi
Putuskan koneksi jaringan sistem yang terinfeksi, matikan Wi-Fi dan VPN pada perangkat terdampak, jangan matikan server sebelum tim forensik mengamankan memori volatile, dan cabut backup dari jaringan produksi.
- 2
2-6 jam: Penilaian
Identifikasi varian ransomware dari ekstensi file terenkripsi atau ransom note, verifikasi bahwa backup tidak tersentuh enkripsi, dan tentukan titik masuk awal dari log yang tersedia.
- 3
6-24 jam: Keputusan strategis
Dengan gambaran skala yang lebih jelas, putuskan jalur pemulihan: restore dari backup bersih, negosiasi bersama konsultan hukum, atau kombinasi. Aktifkan rencana kelangsungan bisnis.
- 4
24-72 jam: Pemulihan terstruktur
Bangun kembali dari citra bersih yang diverifikasi, patch vektor masuk yang dieksploitasi sebelum sistem kembali online, dan pantau pergerakan lateral selama 30 hari berikutnya.
Kewajiban pelaporan di Indonesia
Ransomware hampir selalu melibatkan eksfiltrasi data sebelum enkripsi, yang berarti pelanggaran data pribadi di bawah UU PDP.
| Tenggat | Kewajiban |
|---|---|
| Segera setelah diketahui | Dokumentasi internal insiden dan pembentukan tim respons |
| Paling lambat 14 hari | Notifikasi kepada BSSN tentang insiden siber yang berdampak pada data pribadi (UU PDP Pasal 46) |
| Bersamaan dengan notifikasi BSSN | Notifikasi kepada subjek data yang terdampak jika data spesifik mereka terekspos |
| Sesuai permintaan | Laporan lengkap kepada OJK untuk entitas jasa keuangan, termasuk dampak operasional dan langkah mitigasi (POJK 11/2022) |
Gagal melapor dalam tenggat bukan hanya soal denda. Regulator menilai kesiapsiagaan berdasarkan kecepatan dan kualitas respons, bukan hanya dari insiden itu sendiri.
Biaya nyata ransomware di Indonesia
Angka tebusan sering jadi fokus, tetapi itu biasanya bukan biaya terbesar.
Downtime operasional
Rata-rata 21 hari gangguan operasional penuh. Untuk perusahaan dengan pendapatan Rp 100 miliar per tahun, itu sekitar Rp 5,8 miliar pendapatan yang tertunda atau hilang.
Pemulihan sistem
Forensik, rebuild, lisensi perangkat lunak baru, dan validasi keamanan. Biasanya 20-40% dari nilai tebusan, terlepas dari apakah tebusan dibayar.
Denda regulasi
UU PDP memungkinkan sanksi administratif hingga 2% dari pendapatan tahunan untuk pelanggaran yang melibatkan data pribadi. Untuk perusahaan menengah, ini bisa lebih besar dari tebusan itu sendiri.
Kerusakan reputasi
Kehilangan kepercayaan klien sulit dikuantifikasi, tetapi survei industri menunjukkan 30-40% klien bisnis mempertimbangkan ulang kontrak setelah insiden publik di vendor mereka.
Mengapa mempersiapkan diri sebelum insiden
Retainer incident response bukan asuransi yang Anda harap tidak pernah dipakai. Ini adalah kemampuan yang Anda bayarkan agar siap saat dibutuhkan.
| Tanpa retainer | Dengan retainer aktif | |
|---|---|---|
| Waktu respons awal | 2-8 jam untuk onboarding tim eksternal | Di bawah 1 jam, tim sudah kenal lingkungan Anda |
| Kepastian biaya | Tidak terprediksi, sering melonjak saat kapasitas langka | Terkunci dalam kontrak sebelum insiden |
| Ketersediaan di masa krisis | Tidak dijamin, insiden besar melanda banyak perusahaan bersamaan | Kapasitas sudah dialokasikan untuk Anda |
| Pengetahuan tentang lingkungan Anda | Tim mulai dari nol saat krisis | Tabletop exercise dan dokumentasi sudah selesai sebelumnya |
| Kesiapan regulasi | Template pelaporan dibuat di bawah tekanan | Playbook UU PDP dan OJK sudah disiapkan |
Apa yang termasuk dalam incident response Alpha Code
Layanan Incident Response kami mencakup respons aktif 24/7 dari Security Operations Center di Jakarta, forensik digital, komunikasi regulasi dengan BSSN dan OJK, serta pemulihan terstruktur yang diverifikasi.
Untuk perusahaan yang belum pernah merespons insiden besar, kami juga menjalankan tabletop exercise, yaitu simulasi insiden yang menguji rencana respons Anda sebelum krisis nyata terjadi, sehingga tim Anda tahu persis apa yang harus dilakukan dan kepada siapa melapor.
Pertanyaan umum
Rata-rata global sekitar 21 hari untuk pemulihan penuh, tetapi perusahaan tanpa rencana respons yang teruji biasanya membutuhkan dua hingga tiga kali lebih lama. Dengan retainer incident response aktif dan backup yang diuji, banyak perusahaan berhasil memulihkan operasi inti dalam 3 sampai 5 hari.
Terkait
Layanan kami
Siap memperkuat keamanan siber Anda?
Bicarakan kebutuhan Anda dengan tim kami di Jakarta.
Tim kami di Jakarta. Kami membalas dalam satu hari kerja.