Bagaimana Insiden Kominfo Mengubah Lanskap Keamanan Siber di Indonesia?

Pada tanggal 18 Juni 2024, terjadi gangguan layanan pada Pusat Data Nasional (PDN) Kominfo yang ternyata disebabkan oleh serangan ransomware dari kelompok yang menamakan diri mereka sebagai “Brain Cipher”. Kelompok ini terkait dengan kelompok ransomware Lockbit 3.0. Serangan ini tidak hanya mengganggu operasi PDN tetapi juga memberikan pelajaran berharga tentang pentingnya keamanan siber di Indonesia.

Analisis Teknis Serangan

1. Attack Vector
   • Serangan dimulai dengan melakukan kampante phishing, dimana korban menerima email dengan lampiran file .zip yang mengandung file malicious (executable).

2. Eksekusi
   • File .zip yang diunduh dari email phishing dan file executable yang berisikan payload ransomware (Win_old.exe dan Win.exe) dijalankan dari folder (C:\Users\{Username}\AppData\Local\Temp).
   • Ransomware men-drop file .tmp di C:\ProgramData sebelum menghapusnya untuk menghilangkan jejak.

3. Enumeration
   • Brain Cipher menggunakan beberapa teknik TTP untuk mengumpulkan informasi dan kredensial dari sistem yang terinfeksi.
     1. T1005: Mengambil data dari sistem lokal.
     2. 001: Mencari kredensial dalam file.
     3. T1082: Menemukan informasi sistem.
     4. T1012: Query registry.
4. • Ransomware mengumpulkan data dan informasi dari file-file yang disimpan di lokal sistem, juga kredensial yang disimpan di browser. Kemudian melakukan query registry untuk mengetahui geolokasi sistem yang terinfeksi.
   • Setelah infeksi berhasil, ransomware membuka notepad dengan catatan tebusan untuk memberi tahu bahwa sistem PDN telah berhasil diserang.

4. Komunikasi Dengan C2 Server
   • Ransomware menghubungi sejumlah alamat IP tertentu yang terdaftar pada Akamai dan Microsoft sebagai Content Delivery Network (CDN) untuk menyembunyikan lokasi sebenarnya dari server Command and Control (C2).

Dampak Serangan

Serangan ransomware terhadap Pusat Data Nasional (PDN) Kominfo memberikan gambaran nyata tentang risiko dan konsekuensi yang dapat terjadi akibat serangan siber. Dampaknya tidak hanya terasa pada aspek teknis dan operasional, tetapi juga pada reputasi dan aspek pelayanan publik yang disediakan oleh PDN.

1. File yang terenkripsi menjadi tidak dapat diakses tanpa kunci dekripsi, menyebabkan kehilangan data secara permanen apabila PDN tidak memiliki backup dan kemampuan restorasi yang memadai.
2. Akses ke file penting yang terhenti dapat menghentikan kegiatan operasional dan layanan PDN, menyebabkan downtime yang signifikan dan kehilangan kepercayaan pengguna.
3. Beberapa varian Brain Cipher memiliki kemampuan untuk mencuri data sebelum mengenkripsi. Data yang telah dicuri kemudian dijual di dark web, atau digunakan untuk pemerasan lebih lanjut.

Insiden PDN Kominfo Mengubah Lanskap Keamanan Siber di Indonesia

Insiden serangan ransomware terhadap Pusat Data Nasional (PDN) Kominfo tidak hanya memberikan dampak langsung pada operasi dan keamanan data pemerintah, tetapi juga membawa perubahan signifikan pada lanskap keamanan siber di Indonesia. Terutama mengubah pendekatan dan strategi keamanan siber di berbagai sektor.

1. Peningkatan Kesadaran Keamanan Siber Serangan ini meningkatkan kesadaran akan pentingnya keamanan siber di seluruh organisasi, baik pemerintah maupun swasta. Ini mendorong peningkatan investasi dalam teknologi dan solusi keamanan yang lebih canggih.

2. Peralihan dari Cyber Security ke Cyber Resilience Serangan ini memacu organisasi di Indonesia untuk tidak hanya fokus pada keamanan siber (cyber security) tetapi juga pada ketahanan siber (cyber resilience).
   1. Cyber resilience dirasa penting karena melibatkan manajemen risiko (Risk Management), perencanaan tanggap darurat (Disaster Plan), backup, dan pemulihan (Recovery).
   2. Cyber resilience menggabungkan pendekatan proaktif dan reaktif, dengan kesiapan untuk merespons dan pulih dari serangan dengan cepat.
   3. Cyber resilience memastikan kegiatan operasional dapat dilanjutkan meskipun terjadi serangan, dengan rencana kontingensi dan pemulihan yang tepat.
   4. Cyber resilience menciptakan budaya ketahanan siber yang memastikan setiap pengguna memahami perannya dalam pemulihan dari insiden siber.
   5. Selain menggunakan teknologi untuk keamanan, juga memastikan proses dan prosedur untuk pemulihan cepat dari serangan.

3. Peningkatan Kolaborasi dan Informasi Serangan ini memberikan pembelajaran bahwa serangan siber tidak dapat ditangani oleh satu individu atau organisasi, hal ini memerlukan kolaborasi antara pemerintah, sektor swasta, dan penyedia layanan keamanan untuk berbagi informasi dan praktik terbaik dalam menghadapi ancaman siber yang semakin kompleks.

4. Investasi dalam Teknologi dan Proses Pemulihan Serangan ini memberikan kesadaran tentang pentingnya untuk mengadopsi teknologi yang mendukung pengamanan dan pemulihan cepat, seperti solusi disaster recovery dan continuity planning; serta mendokumentasikan proses recovery dan memastikan bahwa prosedur tersebut dapat diikuti dengan cepat dan efektif selama insiden.

5. Pengembangan Budaya Keamanan Menciptakan budaya keamanan yang lebih baik dalam lingkungan organisasi menjadi prioritas, dengan pelatihan rutin dan simulasi serangan untuk memastikan kesiapan karyawan dalam menghadapi ancaman siber.

Berikut adalah beberapa cara yang dapat diterapkan untuk meningkatkan keamanan siber dalam suatu organisasi atau perusahaan:

• Mulai mengadopsi framework keamanan siber seperti NIST atau ISO 27001 untuk meningkatkan postur keamanan mereka.
• Berinvestasi dalam teknologi keamanan yang lebih canggih seperti solusi berbasis AI/ML untuk melakukan deteksi dan respon ancaman yang lebih cepat dan efektif.
• Mengadakan program pelatihan kesadaran keamanan siber secara berkala dan simulasi serangan untuk meningkatkan kesiapan dalam menghadapi serangan siber.
• Melakukan penilaian kerentanan (Vulnerability Assessment) dan pengujian penetrasi (Penetration Testing) secara berkala serta mengembangkan rencana tanggap darurat yang komprehensif.
• Memperhatikan pentingnya pembaruan (update) dan patch management untuk mencegah eksploitasi dari kerentanan sistem.
• Menerapkan kebijakan pelaporan insiden yang jelas dan sistem pelaporan yang efisien untuk koordinasi yang lebih baik.

Dengan langkah-langkah ini, pemerintah maupun sektor swasta di Indonesia dapat membangun ketahanan siber yang lebih baik, memastikan bahwa negara siap menghadapi tantangan keamanan siber di masa depan. Insiden di PDN Kominfo menjadi pengingat untuk selalu waspada dan proaktif dalam melindungi data dan infrastruktur kritis. Ini juga menekankan pentingnya kolaborasi dan pembelajaran terus-menerus dalam menjaga keamanan dan ketahanan siber di era digital yang semakin kompleks.