Ransomware dan kebocoran data memang merepotkan dan mahal. Tapi bagaimana dengan insiden siber yang berujung pada korban massal?
Gagasan tentang peristiwa “black swan” — peristiwa yang sangat langka dan tidak biasa sehingga tidak dapat diprediksi — adalah “sesuatu yang salah”, menurut Sarah Armstrong-Smith, Kepala Penasihat Keamanan Utama di Microsoft, dalam pidatonya pada UK Cyber Week 2023. Semakin banyak para ahli yang memperingatkan tentang kemungkinan (atau bahkan kepastian) adanya serangan siber terhadap infrastruktur yang bisa mengakibatkan hilangnya nyawa. Bagaimana cara perusahaan mencegah dan/atau mempersiapkan diri menghadapi peristiwa semacam ini?
Ancaman Bencana Siber
Menurut Outlook Keamanan Siber Global 2023 dari Bank Dunia, 93% pemimpin keamanan siber dan 86% pemimpin bisnis percaya bahwa peristiwa siber yang merambah secara luas dan berdampak besar adalah setidaknya mungkin terjadi dalam dua tahun mendatang. Selain itu, 43% pemimpin organisasi berpikir bahwa kemungkinan serangan siber yang akan sangat berpengaruh terhadap organisasi mereka dalam dua tahun mendatang adalah cukup besar.
Selain tugasnya di Microsoft, Armstrong-Smith juga bekerja sama dengan Kementerian Pertahanan Inggris (MoD). Dalam pidatonya, ia mengatakan banyak yang sependapat bahwa hanya masalah waktu sebelum serangan siber terhadap infrastruktur kritis akan menyebabkan peristiwa yang menyebabkan “banyak korban jiwa”. Ia menyarankan tim keamanan untuk memanfaatkan peluang yang terkait dengan kegagalan masa lalu untuk memperbaiki pendekatan tanggapan terhadap insiden.
Dasar dari kesimpulannya adalah bahwa para penyerang semakin banyak merusak jaringan operasional. Dan ini berpotensi menyebabkan kerusakan yang jauh lebih parah daripada meretas jaringan IT. “Kemampuan sudah ada; hanya masalah waktu,” kata Armstrong-Smith.
Pelajaran dari Kesalahan Masa Lalu
Ketika berbicara tentang serangan siber dan insiden, Armstrong-Smith mengatakan bahwa sektor keamanan siber biasanya buruk dalam belajar dari pengalaman. “Tidak masalah seberapa sering kita melihat insiden-insiden ini. Mereka terus terjadi berulang-ulang,” katanya.
Armstrong-Smith mengatakan bahwa temuan dari penyelidikan publik memberi tahu kita mengapa peristiwa bencana terjadi — dan bagaimana seringkali mereka bisa dicegah. Beberapa tema utama yang dia soroti meliputi:
- Desain atau Penggunaan yang Berubah: Seiring berjalannya waktu, bangunan, teknologi, dan produk mengalami berbagai perubahan dan peningkatan dalam penggunaannya. Namun, orang-orang di lapangan tidak diberi tahu tentang perubahan tersebut. Ketika krisis terjadi, tim tanggap insiden bergantung pada rencana lama.
- Komunikasi: Seringkali ada harapan bahwa setiap keputusan harus dikomunikasikan dari atas organisasi ke bawah. Ini memperlambat tindakan dan menghilangkan konteks untuk keputusan tersebut. Sebaliknya, tim di lapangan memerlukan “instruksi yang spesifik dan langsung”.
- Kurangnya Pemberian Kuasa: Respon pertama terhadap suatu insiden dapat bervariasi tergantung pada waktu dan konteks. Oleh karena itu, harus ada aturan yang jelas tentang siapa yang diberi wewenang dan sejauh mana dalam peristiwa yang memerlukan keputusan cepat.
- Rencana yang Kaku: Banyak rencana tanggap insiden terlalu kaku. Ketika hal-hal tidak sesuai rencana, terjadi kepanikan dan rencana gagal. Organisasi harus menetapkan jalur kritis dan membedakan dengan jelas antara perintah dan rekomendasi saat menghadapi insiden.
Latihan Simulasi Dunia Nyata
Armstrong-Smith mengatakan bahwa salah satu cara terbaik untuk mempersiapkan tanggapan terhadap insiden dalam keamanan siber adalah dengan melatih secara rutin yang men-simulasikan situasi dunia nyata. “Ini memerlukan pelatihan waktu nyata terhadap risiko waktu nyata yang sedang kita hadapi,” tambahnya.
Latihan simulasi seharusnya mencerminkan insiden siber sebelumnya seakurat mungkin. Namun, Armstrong-Smith mencatat bahwa dia “belum pernah melihat perusahaan yang mendekati skenario terburuk mereka” selama latihan manajemen krisis.
Misalnya, seringkali perusahaan percaya mereka dapat mengandalkan salinan cadangan untuk mengembalikan sistem mereka dalam kasus peretasan ransomware. Tetapi bagaimana jika salinan cadangan itu dihapus? Perusahaan harus memiliki rencana cadangan dan berlatih menghadapi skenario semacam itu.
Hanya melalui latihan yang realistis, tim keamanan benar-benar dapat memahami apa yang mereka coba lindungi dan mengapa, kata Armstrong-Smith. Apakah ada rencana krisis? Apakah sudah dilakukan latihan yang mensimulasikan krisis besar? Dia juga menunjukkan bahwa kita cenderung berpikir tentang bagaimana keamanan harus melindungi infrastruktur, tetapi kita lupa tentang dampaknya pada manusia.