Apa dan Bagaimana Hadapi Ransomware? (Bagian II-Habis)

Ilustrasi peretasan ransomware

SEBELUM menjelaskan bagaimananya, penulis merasa perlu mencatat pernyataan Ketua Umum IDPRO (Asosiasi Data Center Indonesia) Hendra Suryakusuma yang menyatakan, dalam Standar Nasional Indonesia (SNI), Pusat Data 8799, data center yang dikelola Kemenkominfo seharusnya paling tidak berada di tier-3 dengan kapasitas uptime sebesar 99,982 persen.

Artinya downtime hanya boleh 1,6 jam per tahun. Kalau lebih dari itu, maka sudah sangat tidak wajar, dan sekarang ini memang sudah terjadi kemoloran.

Maka, ada efek kegagalan yang signifikan dalam manajemen maupun dalam sistem keseluruhan yang sama-sama harus diinvestigasi.

Sementara itu, seperti yang kita ketahui, Menteri Hukum dan HAM Yasonna Laoly menyatakan bahwa layanan imigrasi saat ini dipindahkan ke server cloud di AWS (Amazon Web Service), sebagai solusi darurat, meskipun belum ada target sampai kapan penggunaan AWS untuk layanan imigrasi ini.

Penggunaan cloud dapat menjadi salah satu solusi darurat menghadapi bencana-bencana seperti ini. Namun perlu diperhatikan kembali bahwa cloud bukanlah segalanya.

Pada Juni 2023, produsen mobil Toyota mengatakan sekitar 260.000 data pelanggan terekspos secara online karena adanya salah konfigurasi pada layanan cloud yang digunakan. Belum lagi adanya beberapa data breach pada cloud.

Salah satu kasus yang tidak dapat dilupakan, yaitu kebocoran data Facebook pada 2019 yang mengungkap lebih dari 540 juta catatan pengguna Facebook di bucket Amazon Web Services (AWS) S3 yang dapat diakses publik.

Selain masalah security, tentu saja biaya menjadi salah satu masalah besar dalam penggunaan cloud. Beberapa perusahaan bahkan melakukan cloud repatriation di mana perusahaan kembali beralih ke on-premise karena masalah cost di lingkungan cloud.

Pada 2016, Dropbox memutuskan untuk melakukan cloud repatriation dari AWS dan menggunakan infrastrukturnya sendiri.

Dropbox melaporkan, gross margin meningkat dari 33 persen menjadi 67 persen antara 2015–2017, karena mengalihkan workload dari public cloud (AWS) ke infrastruktur in-house dan colocation yang lebih murah.

Kasus lainnya, yaitu ketika 37signals, Perusahaan web software di US, memutuskan untuk memindahkan dua produk utamanya dari Cloud ke On Premises setelah menganalisis bahwa kedua produk tersebut dalam kondisi yang tidak cocok untuk menggunakan cloud.

Bahkan pada awal 2023, perusahaan memindahkan beberapa aplikasi kecil dari cloud dan membangun tools sendiri.

Hasil kalkulasi terbaru menunjukkan, perusahaan dapat menghemat sekitar 7 juta dollar AS untuk biaya server selama 5 tahun, tanpa mengubah jumlah ops team perusahaan.

Semua kasus security dan besarnya biaya dalam penggunaan cloud nampaknya harus menjadi perhatian pemerintah ke depannya. Hal ini menyatakan bahwa benar cloud dapat digunakan sebagai solusi darurat seperti sekarang ini, di mana kecepatan dibutuhkan.

Namun, penggunaan cloud selamanya bukanlah Solusi. Pemerintah harus memikirkan dan memutuskan kapan akan memindahkan server dari cloud ke non cloud, dimana server non-cloud akan diadakan dan bagaimana proses migrasinya agar tidak lagi menimbulkan masalah yang lebih besar.

Jika kita kembali lagi pada kasus cybersecurity ini, pada dasarnya, untuk setiap bencana/ ganggung yang terjadi baik bencana/ganggung secara fisik maupun secara cyber, pemerintah harus mewajibkan adanya standar dan kebijakan Business Continuity Management (BCM) bagi setiap lembaga negara.

BCM ini kemudian dituangkan dalam bentuk penetapan policy, pengembangan dokumen Plan (Business Continuity Plan) dan DRP (Disaster Recovery Plan) dan implementasi resource yang diperlukan dalam rangka continuity tersebut.

Tahap pertama dalam penyusunan BCM. Lembaga Pemerintah harus menentukan BIA (Business Impact Analysis), yaitu suatu proses identifikasi dampak bisnis, identifikasi aktivitas yang kritikal, penentuan target waktu pemulihan, dan pengukuran standar operasi minimal yang dibutuhkan.

Business Impact Analysis yang baik mampu memprioritaskan sistem/aplikasi atau fasilitas atau aktivitas yang benar-benar signifikan bagi suatu lembaga/organisasi.

Hal berikutnya, yaitu perlu melakukan Risk Assessment (RA) untuk mengetahui level risiko yang mengancam aset kritikal.

Kemudian melakukan Continuity Requirements Analysis (CRA), yaitu merupakan analisis seluruh resource yang diperlukan untuk menjamin operasi bisnis tetap berjalan ketika terjadi bencana/gangguan.

Semua itu harus dilakukan untuk semua layer, baik power, komunikasi, storage, infrastruktur, database dll.

Langkah berikutnya adalah menentukan strategi untuk continuity. Strategi ini yang akan diterapkan ketika terjadi bencana/gangguan terhadap layanan tersebut.

Di dalam penentuan strategi ini termasuk di antaranya adalah menentukan target waktu kapan layanan (service) dapat beroperasi kembali setelah terjadi gangguan atau bencana, menentukan strategi business continuity apa yang harus diterapkan serta bagaimana mengimplementasikan strategi tersebut ke dalam Data Center - Disaster Recovery Center.

Di sinilah harus dapat ditentukan bagaimana sistem back-up/metode redundansi yang tepat berdasarkan kritikalitas dari layanan.

Jika hal ini diterapkan dengan baik, maka tentunya tidak akan ada kasus “tidak adanya back up" untuk layanan-layanan kritikal seperti yang terjadi pada saat ini.

Dalam menentukan metode redundansi, dapat ditentukan apakah lembaga negara tersebut menerapkan hot standby atau hanya warm standby .

Hot standby adalah metode redundansi yang memiliki satu sistem yang berjalan secara simultan dengan sistem utama lain yang identik. Ketika terjadi kegagalan di sistem utama, sistem hot standby segera mengambil alih fungsi sistem utama.

Sementara warm standby adalah metode redundansi yang memiliki satu sistem yang berjalan di belakang sistem utama yang identik. Data secara teratur di duplikasi ke sistem kedua ini.

Atau bahkan lembaga tersebut hanya perlu menerapkan cold standby, yakni metode redundansi yang mempunyai satu sistem sebagai back up untuk sistem utama lain yang identik.

Langkah yang selanjutnya adalah menentukan organisasi yang bertanggung jawab dalam penerapan BCM ini dan menanamkan (embedding) BCM ke dalam culture lembaga/organisasi.

Proses untuk pengembangan dan penerapan BCM dalam kultur organisasi, yaitu bagaimana meningkatkan awareness/kesadaran suatu organisasi terhadap adanya BCM dan kebijakan-kebijakan turunannya.

Langkah terakhir, yaitu memastikan dilakukannya pengujian terhadap semua strategi yang telah ditentukan dan diimplementasikan, dilakukannya maintenance serta adanya audit yang berkala.

Tujuan dari pengujian (Exercise Programme) adalah untuk memastikan bahwa dalam periode waktu yang telah dicanangkan seluruh informasi dalam “planning” telah dilakukan verifikasi, seluruh “planning” telah disosialisasikan serta seluruh personel (termasuk para deputi) telah terlatih.

Terdapat beberapa metode pengujian, yaitu desk check, walk through, simulation exercises, activity testing dan full test.

Metode pengujian walk through bertujuan memastikan bahwa personel utama dari seluruh bagian telah mengenal BCP dan DRP dengan baik dan memastikan apakah plan secara teoritis dapat dilaksanakan.

Sedangkan metode pengujian full test biasanya dilakukan untuk mensimulasikan situasi recovery yang actual, seteliti mungkin. Metode ini merupakan metode paling komprehensif dan menguji seluruh bagian DRP.

Audit berkala juga perlu dilakukan terhadap kebijakan BCM dan standar yang sesuai. Tujuan dari audit ini adalah untuk memeriksa kompetensi dan kemampuan BCM pada organisasi; serta memverifikasi apakah sesuai terhadap standar dan kriteria yang telah ditetapkan dan memberikan laporan opini audit yang terstruktur.

Dengan penerapan standar dan kebijakan Business Continuity Management (BCM) pada setiap lembaga negara, hal-hal yang tidak diinginkan karena adanya bencana/gangguan dapat diminimalkan, dan sistem dapat kembali recovery pada saat yang tepat dan cepat.

Lalu bagaimana jika bencana/ gangguan/insiden telah terjadi? Strategi yang telah ditentukan pada BCM, BCP dan DRP dapat diimplementasikan pada saat insiden terjadi.

Hal yang pertama dilakukan setelah adanya emergency report, yaitu dengan mengidentifikasi sistem yang dapat diselamatkan dan mengaktifkan alternatif site.

Dalam hal ini, pemerintah dapat mengusahakan untuk memulihkan layanan-layanan yang critical terlebih dahulu.

Ketika gangguan/bencana/insiden telah dapat ditangani, hal yang harus dilakukan selanjutnya adalah dengan mengembalikan ke operasi normal.

Dalam hal ini, seperti yang tadi penulis sebutkan, mengembalikan pusat data ke non-cloud menjadi utama dilakukan.

Dalam usaha mengembalikan Pusat Data Nasional kembali beroperasi normal, perlu adanya penetapan standar dan arsitektur keamanan bagi Pusat Data Nasional yang benar-benar World Class Data Center.

Hal ini dapat dimulai dengan menetapkan dan comply terhadap standar-standar yang diacu seperti ISO 27001, ISO 22301, BS 25999, maupun mengikuti best practice yang disusun oleh UPTIME INSTITUTE dan lain-lain.

Tidak lupa juga dengan menyusun roadmap implementasinya di mana dalam setiap tahap mulai dari desain hingga implementasi, harus dilakukan pengujian dengan spirit falsifikasi; menguji dengan keras.

Melalui upaya-upaya ini, ransonware yang menggelisahkan ini bisa kita antisipasi ke depannya. Semoga.