Incident response
Apa itu incident response dan bagaimana cara kerjanya?
Ringkasnya
Cakupan incident response, tahapan penanganannya, kewajiban pelaporan di Indonesia, dan kapan retainer lebih baik daripada panik saat insiden berlangsung.
Seorang karyawan melapor bahwa berkas di drive bersama telah berganti nama dan tidak bisa dibuka. Beberapa menit kemudian, tiga orang lain mengatakan hal yang sama. Seseorang menemukan catatan tebusan di salah satu folder. Pada jam pertama, belum ada yang tahu bagaimana penyerang masuk, sistem mana yang terdampak, atau apakah mereka masih berada di dalam jaringan. Apa yang dilakukan organisasi pada jam itu, dan apakah sudah ada yang memutuskan sejak awal siapa mengambil keputusan apa, biasanya menentukan seberapa buruk pekan berikutnya. Rangkaian keputusan dan tindakan itulah yang disebut incident response.
Apa itu incident response
Incident response adalah proses terstruktur yang diikuti organisasi untuk menahan, menyelidiki, dan memulihkan diri dari insiden keamanan. Insiden keamanan adalah setiap kejadian yang mengancam kerahasiaan, integritas, atau ketersediaan sistem maupun data Anda: ransomware, akun yang disusupi, pencurian data, atau penyusup yang bergerak di dalam jaringan.
Kata terstruktur adalah bagian yang penting. Di bawah tekanan, orang berimprovisasi, dan improvisasi saat terjadi pelanggaran cenderung memperburuk keadaan. Sistem dihapus sebelum ada yang mengumpulkan barang bukti, penyerang jadi waspada, atau orang yang salah menghabiskan satu jam untuk memutuskan siapa yang harus dihubungi. Proses respons menggantikan kekacauan itu dengan urutan langkah yang jelas dan kepemilikan tanggung jawab yang tegas, sehingga tim memusatkan tenaga pada insiden alih-alih pada mencari tahu apa yang harus dilakukan.
Tahapan penanganan
Sebagian besar kerangka respons menggambarkan siklus yang sama, mengikuti erat model NIST yang banyak dipakai. Tahapannya tidak selalu berurutan ketat, karena deteksi dan analisis sering berlanjut saat penahanan sedang berjalan, tetapi tahapan itu memberi kosakata bersama tentang apa yang perlu terjadi.
| Tahap | Apa yang terjadi di dalamnya |
|---|---|
| Persiapan | Menyusun rencana, menetapkan peran dan kontak, serta menyiapkan pencatatan log dan perkakas sebelum insiden, agar respons tidak dibuat mendadak pada hari kejadian. |
| Deteksi dan analisis | Memastikan bahwa insiden benar terjadi, menentukan cakupan dan tingkat keparahannya, serta mengidentifikasi sistem dan akun yang terdampak. |
| Penahanan | Menghentikan penyebaran insiden, misalnya dengan mengisolasi endpoint, memblokir koneksi, atau menonaktifkan akun yang disusupi. |
| Pembasmian | Menghapus akses dan jejak penyerang: malware, backdoor, dan pijakan apa pun yang mereka buat. |
| Pemulihan | Mengembalikan sistem dan data ke operasi normal, serta memastikannya bersih dan terpantau sebelum dijalankan kembali. |
| Peninjauan | Setelah insiden, menelaah apa yang terjadi, apa yang berhasil, dan apa yang perlu diubah agar insiden berikutnya tertangani lebih baik. |
Tahap persiapan dan peninjauan adalah yang paling sering dilewati organisasi, dan justru di situlah letak dampak terbesarnya. Rencana yang ditulis sebelum insiden jauh lebih berharga daripada yang dibuat dadakan saat insiden berlangsung, dan peninjauan adalah yang mencegah celah yang sama dimanfaatkan dua kali.
Mengapa ini penting di Indonesia
Respons yang lambat atau asal-asalan lebih mahal daripada respons yang cepat, dan bukan hanya dalam hal waktu henti. Makin lama penyerang mempertahankan akses, makin banyak data yang bisa mereka ambil dan makin banyak sistem yang bisa mereka jangkau, sehingga memperbesar kerusakan sekaligus pembersihan yang akhirnya harus dilakukan. Kerugian reputasi dan sorotan regulator mengikuti setelahnya.
Organisasi di Indonesia juga memikul kewajiban pelaporan begitu insiden menyentuh data pribadi atau sistem yang diatur. Menurut UU PDP, kebocoran data pribadi umumnya harus diberitahukan kepada regulator dan individu yang terdampak dalam jangka waktu yang ditentukan. BSSN mengoordinasikan penanganan insiden siber nasional dan menerbitkan panduan yang diharapkan diikuti banyak organisasi, sedangkan regulator sektor seperti OJK menetapkan ekspektasinya sendiri untuk lembaga yang mereka awasi. Rinciannya berbeda menurut sektor, jadi langkah aman adalah memastikan persis apa yang berlaku bagi Anda, bukan menganggapnya sama. Yang konsisten di antara semuanya adalah asumsi dasarnya: Anda hanya bisa melaporkan pelanggaran yang benar-benar sudah Anda deteksi dan pahami, sehingga deteksi dan proses respons yang berfungsi berada di depan urusan dokumen. Panduan kami tentang apa itu SOC membahas sisi deteksi yang menopang semua ini.
Respons in-house vs retainer
Setiap organisasi bisa menangani insiden kecil secara in-house, dan memang sebaiknya begitu. Pertanyaannya adalah apa yang terjadi ketika insiden serius datang, seperti ransomware yang menyebar ke seluruh infrastruktur atau pencurian data yang terkonfirmasi. Di situlah Anda membutuhkan forensik, koordinasi hukum, dan responder senior dengan cepat, dan di situ pula improvisasi paling mahal harganya.
Retainer adalah pengaturan yang disepakati lebih dulu dengan penyedia layanan respons. Ketentuan, kontak, dan cakupannya sudah dituntaskan sebelum terjadi apa-apa, sehingga ketika Anda menelepon, para responder langsung bekerja alih-alih insiden tertunda karena bagian pengadaan masih menegosiasikan kontrak. Khusus untuk ransomware, di mana setiap jam keraguan bisa berarti lebih banyak sistem terenkripsi, keunggulan awal itu sangat berarti, dan panduan kami tentang respons ransomware di Indonesia menjelaskan bentuknya dalam praktik. Nilai sebuah retainer bukan karena ia menggantikan tim Anda; melainkan karena responder yang mumpuni sudah terikat dan siap bergerak pada hari terburuk Anda.
Peran Alpha Code
Alpha Code menyediakan incident response untuk organisasi di Indonesia, dengan responder yang bekerja dalam konteks regulasi yang sama seperti Anda dan memahami pelaporan BSSN, OJK, serta UU PDP yang menyertai sebuah pelanggaran. Baik Anda ingin memasang retainer sebelum terjadi apa-apa maupun butuh bantuan sekarang saat insiden sedang berlangsung, responsnya direncanakan alih-alih diimprovisasi, dan itulah inti persoalannya. Jika Anda sedang menimbang cara bersiap, menyepakati ketentuan sebelum Anda membutuhkannya adalah percakapan yang layak didahulukan.
Ditinjau oleh Mohit Bhansali, Head of Technology
Pertanyaan umum
Incident response adalah seluruh siklus penanganan insiden keamanan, bukan hanya pembersihannya. Cakupannya meliputi menyiapkan rencana dan kontak sebelum terjadi apa-apa, mendeteksi dan memastikan insiden, menahannya agar tidak menyebar, mengusir penyerang, memulihkan sistem, lalu meninjau apa yang salah setelahnya. Tujuannya adalah pemulihan yang terkendali, bukan kepanikan.
Terkait
Layanan kami
Siap memperkuat keamanan siber Anda?
Bicarakan kebutuhan Anda dengan tim kami di Jakarta.
Tim kami di Jakarta. Kami membalas dalam satu hari kerja.