Secara global, pelanggaran data diperkirakan menelan biaya lebih dari $4,2 juta per insiden hari ini. Dan itu terjadi dalam skala yang belum pernah terjadi sebelumnya saat perusahaan membangun infrastruktur digital mereka dan tanpa disadari memperluas permukaan serangan perusahaan.
Di AS misalnya, jumlah pelanggaran yang dilaporkan pada Q3 2021 telah melebihi jumlah untuk keseluruhan tahun 2020. Butuh waktu terlalu lama bagi rata-rata perusahaan untuk menemukan dan mengatasi pelanggaran data, diperkirakan butuh setidaknya 287 hari untuk menyelesaikan semua.
Namun, begitu alarm berbunyi, apa yang terjadi selanjutnya? Kehadiran ransomware, pendahulu yang semakin umum untuk pelanggaran data modern, akan semakin memperumit masalah. Inilah yang harus dilakukan, dan apa yang harus dihindari, setelah pelanggaran.
|
Baca juga: Panduan Pelanggaran Data Bagi Penghuni Dunia Maya |
Tetap tenang
Pelanggaran data kemungkinan akan menjadi salah satu situasi paling menegangkan yang pernah dialami perusahaan Anda, terutama jika insiden tersebut disebabkan oleh pelaku ransomware yang memiliki sistem kunci terenkripsi dan menuntut pembayaran.
Namun, respons spontan bisa lebih berbahaya daripada kebaikan. Meskipun jelas penting untuk membuat bisnis beroperasi kembali, bekerja secara metodis sangat penting. Anda harus menjalankan rencana respons insiden dan memahami ruang lingkup kompromi sebelum mengambil langkah besar apa pun.
Ikuti rencana respons insiden Anda
Mengingat bahwa ini bukan kasus “kapan” tetapi “jika” perusahaan Anda dilanggar hari ini, rencana respons insiden adalah praktik terbaik keamanan siber yang penting. Ini akan membutuhkan perencanaan lanjutan, mungkin mengikuti panduan dari National Institute of Standards and Technology (NIST) atau National Cyber Security Centre (NCSC).
Ketika pelanggaran serius terdeteksi, tim respons insiden yang ditugaskan sebelumnya yang menampilkan pemangku kepentingan dari seluruh bisnis harus bekerja melalui proses langkah demi langkah. Ada baiknya untuk menguji rencana semacam itu secara berkala sehingga semua orang siap dan dokumen itu sendiri mutakhir.
Menilai ruang lingkup pelanggaran
Salah satu langkah penting pertama setelah insiden keamanan besar apa pun adalah memahami seberapa parah dampak yang dialami perusahaan. Informasi ini akan menginformasikan tindakan selanjutnya seperti pemberitahuan dan perbaikan.
Idealnya, Anda harus tahu bagaimana orang jahat itu masuk, dan apa “radius ledakan” serangan itu, sistem apa yang telah mereka sentuh, data apa yang telah disusupi, dan apakah mereka masih berada di dalam jaringan. Di sinilah ahli forensik pihak ketiga sering direkrut.
|
Baca juga: Cegah Pencurian Data di Perusahaan |
Libatkan diri secara hukum
Setelah pelanggaran, Anda perlu tahu di mana posisi perusahaan. Kewajiban apa yang Anda miliki? Regulator mana yang perlu diinformasikan? Haruskah Anda bernegosiasi dengan peretas untuk mengulur lebih banyak waktu? Kapan pelanggan dan/atau mitra harus diberitahu?
Penasihat hukum internal adalah pelabuhan panggilan pertama di sini. Tetapi mungkin juga ingin menarik para ahli di bidang respons insiden dunia maya. Di sinilah detail forensik tentang apa yang sebenarnya terjadi sangat penting, sehingga para ahli tersebut dapat membuat keputusan yang paling tepat.
Ketahui kapan, bagaimana, dan siapa yang harus diberi tahu
Berdasarkan ketentuan GDPR, pemberitahuan kepada regulator lokal harus dilakukan dalam waktu 72 jam setelah pelanggaran ditemukan. Namun, penting untuk memahami apa persyaratan minimum untuk pemberitahuan, karena beberapa insiden mungkin tidak memerlukannya. Di sinilah pemahaman yang baik tentang radius ledakan sangat penting.
Jika Anda tidak tahu berapa banyak data yang diambil atau bagaimana pelaku serangan masuk, Anda harus mengasumsikan yang terburuk dalam pemberitahuan kepada regulator. Kantor Information Commissioner’s Office (ICO), yang berperan penting dalam menyusun GDPR, memiliki beberapa pedoman yang berguna tentang hal ini.
Beritahu penegak hukum
Apa pun yang terjadi dengan regulator, Anda mungkin perlu mendapatkan penegakan hukum di pihak Anda, terutama jika pelaku ancaman masih berada di dalam jaringan. Masuk akal untuk membuat mereka bergabung secepat mungkin. Dalam kasus ransomware, misalnya, mereka mungkin dapat menghubungkan Anda dengan penyedia keamanan dan pihak ketiga lainnya yang menawarkan kunci dekripsi dan alat mitigasi.
Beri tahu pelanggan, mitra, dan karyawan
Ini adalah no-brainer lain pada daftar pasca-pelanggaran. Namun, sekali lagi, jumlah pelanggan/karyawan/mitra yang perlu Anda informasikan, apa yang harus diberitahukan kepada mereka dan kapan akan bergantung pada detail kejadian, dan apa yang dicuri.
Pertimbangkan terlebih dahulu untuk mengeluarkan pernyataan penahanan yang mengatakan bahwa perusahaan mengetahui suatu insiden dan saat ini sedang menyelidiki. Tetapi rumor berkembang dalam ruang hampa, jadi Anda harus menindaklanjuti ini dengan lebih banyak detail segera setelahnya. Tim IT, PR, dan hukum harus bekerja sama secara erat dalam hal ini.
|
Baca juga: Kontrol Perangkat Cegah Kebocoran Data dari Karyawan |
Mulai pemulihan dan perbaikan
Setelah cakupan serangan jelas dan tim penanggap insiden/forensik yakin bahwa pelaku ancaman tidak lagi memiliki akses, saatnya untuk memulihkan dan menjalankannya. Ini bisa berarti memulihkan sistem dari cadangan, membuat ulang mesin yang disusupi, menambal titik akhir yang terpengaruh, dan menyetel ulang kata sandi.
Mulailah membangun ketahanan untuk serangan di masa depan
Pelaku ancaman sering berbagi pengetahuan tentang kejahatan dunia maya di bawah tanah. Mereka juga semakin sering berkompromi dengan perusahaan korban, terutama dengan ransomware. Ini membuatnya lebih penting dari sebelumnya bahwa Anda menggunakan informasi yang diperoleh dari deteksi ancaman dan respons dan alat forensik untuk memastikan bahwa jalur apa pun yang digunakan pelaku pertama kali tidak dapat dieksploitasi lagi dalam serangan di masa mendatang.
Ini bisa berarti peningkatan pada patch dan manajemen kata sandi, pelatihan kesadaran keamanan yang lebih baik, penerapan otentikasi multi-faktor (MFA) atau perubahan yang lebih kompleks pada orang, proses, dan teknologi.
Pelajari respons insiden terburuk
Bagian terakhir dari teka-teki respons insiden adalah belajar dari pengalaman. Salah satunya adalah membangun ketahanan untuk masa depan, seperti di atas. Tapi Anda juga bisa belajar dari contoh orang lain. Sejarah pelanggaran data dipenuhi dengan kasus-kasus profil tinggi dari respon insiden yang buruk.
Dalam satu kasus yang dipublikasikan dengan baik, akun Twitter perusahaan dari perusahaan yang dilanggar men-tweet tautan phising empat kali, salah mengira itu sebagai situs respons pelanggaran perusahaan. Di tempat lain, sebuah perusahaan telekomunikasi besar Inggris dikritik keras karena merilis informasi yang saling bertentangan.
Respons
Apa pun yang terjadi, pelanggan semakin menyadari bahwa perusahaan tempat mereka berbisnis memiliki kemungkinan mengalami insiden keamanan. Bagaimana Anda bereaksi yang akan menentukan apakah mereka bertahan atau pergi dan apa kerugian finansial dan reputasi yang akan terjadi.
Â
|
Baca lainnya: |
