Perusahaan Harus Punya Data Protection Officer

Cyberthreat.id – Peretas semakin hari semakin canggih. Mereka tak hanya bekerja sendiri, tapi kini mulai berkolaborasi sesama peretas.

Salah satu bentuk kolaborasi itu adalah munculnya penyedia layanan ransomware atau Ransomware-as-a-Service (RaaS) yang ditawarkan dengan harga murah, demikian salah satu poin yang ditulis perusahaan teknologi dan keamanan siber, NTT Ltd, dalam laporan bertajuk “2020 Monthly Threat Report December.”

Menurut Chief Executive Officer (CEO) NTT Ltd untuk Indonesia, Hendra Lesmana, tren serangan siber berbeda-beda tiap tahun. Dalam pantauannya, sepanjang 2017-2018, sektor pendidikan menjadi target utama para peretas.

“Kenapa? Karena kebanyakan perangkat yang didapatkan dari hibah ya. Setelah dihibahkan terus yang memelihara siapa? Kalau tidak ada, berarti tidak ada yang patching, tidak ada yang updating kan. Itu akibatnya jadi titik lemah atau vulnerability,” ujar dia.

Selain itu, ia juga menjelaskan bahwa serangan siber saat ini tidak lagi manual, tapi lebih pakai robot, pakai machine learning.

Untuk mengetahui lebih lanjutnya, simak wawancara wartawan Cyberthreat.id, Tenri Gobel dengan Hendra Lesmana, Senin (14 Desember 2020):

Apa saja serangan yang terdeteksi NTT sejauh ini?

Dari laporan tahunan dan bulanan kami masih trojan dan ransomware. Untuk Desember 2020, ada beberapa threat vector, nomor satu trojan namanya “Qbot”. Ini bisa ada keylogger-nya, bisa lihat password, bisa juga kode OTP-nya. Ini mencuri credential. Temuan nomor dua, ada Ransomware-as-a-Service (RaaS) dan trojan ini itu kolaborasi dengan ransomware. Gila enggak? Ternyata enggak cuma orang cybersecurity saja yang kolaborasi.

(Ia menjelaskan bahwa RaaS sifatnya bayar bulanan dan bisa dipakai untuk menargetkan organisasi tertentu. Salah satunya bernama Zagreus. Menurut dia, sejauh ini belum diketahui apakah layanan ini juga dipakai di Indonesia. Yang jelas, kata dia, pengguna layanan ransomware itu sangat mudah.)

Pengguna atau penjualan layanan RaaS ini banyak enggak?

Baik pengguna maupun penjualnya juga sangat banyak. Harganya cuma US$ 40 (sekitar Rp 500.000-an).

Murah ya?

(Tertawa). Ini sih cukup murah ya sekitar Rp 600 ribu untuk menyerang suatu organisasi yang besar, misalnya, dan memang dipakai untuk menyerang organisasi-organisasi yang besar.

Kenapa mesti pakai RaaS, kenapa enggak bikin ransomware sendiri?

Saya sih melihatnya begini: kalau penjahat bisa pakai tangannya orang lain, bayar saja.

Mumpung murah ya?

Iya. Tapi, memang benar ada penyedia RaaS cukup murah dan penggunanya banyak. Makanya, kalau ini tidak masif, ya kami tidak memasukkan di laporan bulanan.

RaaS terlihat masif sejak kapan?

Dari tim riset, mereka menangkapnya akhir-akhir ini. Kenapa? karena ternyata beriklan loh! Beriklan sampai ada YouTube channel -nya.

Sama kayak selebgram, mereka punya YouTube channel jualan RaaS. Di Indonesia sekarang ada yang kena ransomware dan sekarang sedang mengembalikan back up  datanyai dan memang organisasi yang cukup besar.

Di Indonesia?

Ada di Indonesia yang kena.

Tahun ini?

Bulan ini tepatnya.

Kalau terkena seperti itu mereka tertutup ya?

Iya. Jadi, memang tidak semua di-publish, enggak semua dikemukakan di media massa, memang seperti itu sih. Seperti kita ketahui cybersecurity itu sekarang tanggungjawabnya CEO, bagian dari company reputation. Jadi, memang ada yang diharuskan oleh regulator untuk melapor, tapi juga ada yang enggak.

Di berita-berita luar negeri, banyak kejadian ransomware dilaporkan, tapi di Indonesia jarang banget...

Iya, kecuali tahun 2018 atau 2017 pada waktu itu rumah sakit kena ransomware. Cuma itu doang, kayaknya yang lain tidak di-publish.

Harusnya bagaimana: dipublikasikan atau rahasia internal sama regulator?

Tergantung dari perjanjian penggunaan dengan publiknya. Nomor satu pasti dengan regulator, ngomongin tentang data privacy seperti apa. Kalau GDPR (UU Perlindungan Data di Eropa) itu harus ada laporannya. Makanya, kok ada namanya data privacy officer (DPO), dia yang bertanggung jawab. Kalau, misalnya, ada ransomware mencuri data pengguna, nah apa yang harus dilakukan. Tentu saja regulator nomor satu.

Kalau di-publish, tapi masih belum di-patch, bukannya itu mengundang lebih banyak lagi masalah. Jadi, kalau memang itu belum berhasil di-patch, ya lebih baik jangan di-publish dulu. Sama seperti kita melihat sektor pertahanan negara, kalau itu memang bolong, ya jangan dikasih tahu dulu.

Biar diperbaiki dulu semua tingkat hygiene level-nya. Tapi, memang yang lebih menentukan faktor regulasi. Untuk menginformasikan penggunanya memang harus sesuai dengan apa disyaratkan oleh regulator.

Ngomong-ngomong ransomware menyerang dari mana?

Dari phishing. Akhir-akhir ini isu vaksin covid-19. Turunannya mungkin antivirus dan segala macam. Jadi memang social engineering itu masih sangat digunakan oleh pelaku ancaman. Tidak pernah berhenti kami mengedukasi pengguna, mengedukasi karyawan untuk hal yang boleh dilakukan dan hal yang tidak boleh dilakukan ketika menerima email dari orang tidak dikenal.

Di Indonesia sendiri bagaimana?

Di Indonesia pun kami menerima email-email seperti itu. Internal kami juga menerima email seperti itu, tetapi sudah banyak disaring.

Di Indonesia sendiri titik lemahnya ada di mana: orang, proses, atau alat?

Di Indonesia kebanyakan memang mereka cukup sadar karena mau tidak mau di dalam kondisi pandemi seperti ini banyak kegiatan yang dilakukan oleh perusahaan-perusahaan besar itu harus online. Paling enggak dari sisi tools, sisi proses itu sudah dibenerin duluan terus habis itu orang-orangnya seperti yang kami lakukan dan klien kami lakukan juga, dikasih training.

Selain sektor pemerintah, sektor apa lagi yang banyak terkena serangan di Indonesia?

Kalau untuk Singapura itu government tetap paling besar, 38 persen dari jumlah attack yang ditemukan, terus education sama finance. Di Indonesia tidak ada di laporan itu sih, jadi dalam laporan, (kasus Indonesia) kami tarik masuk ke Asia Pasifik secara keseluruhan.

Soal RUU PDP, pemegang data pribadi harus siap ya?

Betul. Saya kira mulai dari sekarang, (data pribadi) harus dijaga benar-benar. Saya pikir juga konsekuensi logis dari transformasi digital, di mana kami dari NTT juga membantu digital transformasi dari klien dan konsekuensi logisnya itu adalah harus mikirin soal cyber resilience dan cyber security.

Data protection officer ini akan jadi paling penting selain cybersecurity ya...

Cukup penting fungsinya, mungkin bukan paling penting ya. Fungsinya untuk cyber resilience, untuk regulatory compliance.

Bagaimana SDM keamanan siber di Indonesia?

Adanya pandemi ini salah satunya semakin banyak kesenangan untuk belajar, memang kami lihat ada banyak peningkatan minat belajar cybersecurity, tapi tetap saja jumlah sumber daya manusia cybersecurity yang tersedia itu jauh di bawah apa yang kami butuhkan.

Soal data protection officer, enggak semua perusahaan besar punya. Jadi, di tahun depan dengan berlakunya UU Perlindungan Data Pribadi itu, mau tidak mau harus ada penunjukkan satu orang jadi DPO. Ini salah satu karier baru yang cukup kritikal untuk perusahaan yang bertransaksi secara digital, mau tidak mau.

Tantangan ke depan dan soal mitigasi siber, pendapat Anda?

Konsekuensi logis dari transformasi digital di mana banyak perusahaan yang memang perlu partner. Hacker saja kerja sama, dan kami juga mengandalkan peneliti-peneliti dari seluruh dunia.

Apalagi kalau malware berkembang, enggak hanya yang sudah ada, tapi dibikin sendiri dengan keunikannya dan enggak terdeteksi sama antivirus: apa yang dilakukan? Ya, mitigasi.

Ada empat hal ya, dari awal memang harus didesain harus aman (secure by design). Kedua, harus approach cyber security-nya.Jangan tutup mata. Harus dilihat dari sisi intelligence seperti apa. Kalau, misalnya, bisa menangkap threat sebelum terjadi, itu lebih baik. Namanya threat intelligence.

Selanjutnya, lebih proaktif enggak cuma pada waktu diserang, tetapi sebelum serangan itu datang. Ini perlu namanya constant monitoring, terus-terusan monitornya, tidak pernah berhenti.

Terakhir, harus punya standardisasi: Anda harus di level segini nih. Kalau, misalnya, belum di level segitu, apa yang harus dilakukan untuk bisa sampai ke level standar, ini penting. Empat hal ini adalah rekomendasi kami.[]

Redaktur: Andi Nugroho