Pemerintah menargetkan Pusat Data Nasional Sementara 2 Surabaya pulih dalam dua bulan lebih yakni Agustus. Berapa lama perusahaan atau kementerian di negara lain pulih setelah terkena serangan siber ransomware?
Menteri Kominfo Budi Arie Setiadi menyampaikan, pemulihan penuh layanan Pusat Data Nasional Sementara 2 Surabaya ditargetkan selesai pada Agustus. Hal ini lantaran pemerintah tidak mau membayar tebusan US$ 8 juta kepada hacker.
“Full recovery termasuk tindak lanjut rekomendasi hasil forensik diharapkan pertengahan Agustus sudah bisa dituntaskan," katanya saat rapat kerja di DPR Jakarta, Kamis malam (27/6).
Langkah pemulihan data di Pusat Data Nasional Sementara 2 Surabaya dalam jangka pendek atau 20 Juni – 20 Juli yakni:
- Respons awal
- Inventarisasi tenant terkena dampak
- Pemetaan aset
- Sirkulasi surat kewajiban backup
- Penyusunan strategi dan pedoman pemulihan layanan yang ditargetkan tuntas akhir Juni
- Investigasi forensik ditargetkan selesai pada minggu pertama Juli
- Penyusunan daftar pendek, pemulihan layanan prioritas dan layanan yang memiliki backup ditargetkan selesai pada akhir Juli
Langkah pemulihan data di Pusat Data Nasional Sementara 2 Surabaya dalam jangka menengah atau tiga bulan yaitu:
- Mengatur kembali layanan tenant
- Melakukan perbaikan standar operasional prosedur atau SOP
- Evaluasi tata kelola Pusat Data Nasional Sementara
Langkah pemulihan data di Pusat Data Nasional Sementara 2 Surabaya dalam jangka panjang atau tiga bulan lebih setelah serangan, sebagai berikut:
- Audit keamanan Pusat Data Nasional Sementara 1 di Serpong dan Pusat Data Nasional Sementara 2 Surabaya oleh pihak ketiga yang independen, ditargetkan selesai pada akhir September
- Implementasi hasil audit, diharapkan selesai akhir November
Masa Pemulihan dari Ransomware di Negara Lain
Sebelum Pusat Data Nasional Sementara 2 Surabaya, Bank Syariah Indonesia atau BSI dan Mandiri Sekuritas terkena serangan ransomware. Di negara lain, ada beberapa perusahaan yang terkena serangan malware sejenis dan tidak membayar tebusan.
Berikut dua perusahaan yang terkena serangan ransomware dan tidak membayar tebusan:
1. Kaseya (Amerika Serikat)
Penyedia perangkat lunak alias software ini mengalami serangan ransomware oleh kelompok hacker REvil pada 2 Juli 2021. Serangan ini berdampak pada 1.500 perusahaan di berbagai negara.
Kaseya menolak membayar tebusan sebesar US$ 70 juta. Perusahaan memilih untuk bekerja sama dengan FBI serta Badan Infrastruktur dan Keamanan Siber AS untuk memulihkan data.
Langkah yang ditempuh oleh Kaseya yakni:
- 14 Juli: mengeluarkan imbauan pemeriksaan instalasi patch kepada pelanggan
- 16 Juli: Kaseya merilis patch non-keamanan
- 17 Juli: Pembaruan pertama penerapan patch Software as a Services alias SaaS mulai aktif
- 19 Juli: Sisa dari patch SaaS yang diperbarui mulai aktif
- 20 Juli: Patch fungsionalitas baru dirilis
- 21 Juli: Fungsi SaaS diperbarui
- 22 Juli: Kaseya memperoleh kunci dekripsi universal untuk korban ransomware dari pihak ketiga
- 26 Juli: Kaseya mengatakan alat dekripsi terbukti 100% efektif dalam mendekripsi file yang sepenuhnya terenkripsi dalam serangan tersebut, dan perusahaan tidak membayar uang tebusan
- 10 September: REvil menyatakan, Kaseya bisa mendapatkan alat deskripsi karena kesalahan pembuat kode Revil
2. Norsk Hydro
Perusahaan manufaktur aluminium dan energi terbarukan asal Norwegia Norsk Hydro menghadapi serangan ransomware pada 2019. Mereka menolak membayar uang tebusan, dan berfokus menghilangkan virus.
Serangan ransomware itu memengaruhi jaringan Norsk Hydro yang mencakup lebih dari 3.000 server dan ribuan komputer lainnya secara global. Tanpa kunci deskripsi dari hacker, Norsk Hydro tidak dapat membuka akses ke sistem IT.
CEO Norsk Hydro Hilde Merete Aasheim memilih untuk tidak membayar uang tebusan, karena ia yakin hacker akan terus meminta dana atas data yang sudah diakses.
Ia menempuh cara lain, yakni:
- Menutup akses ke jaringan
- Beralih ke pengoperasian manual pada sistem yang paling penting, termasuk pengaturan jam kerja hingga pembukuan menggunakan pena dan kertas
- Memperingatkan karyawan untuk tidak menggunakan perangkat yang terhubung ke sistem IT
- Bekerja sama dengan pihak ketiga, termasuk tim respons keamanan siber Microsoft dan Pusat Keamanan Siber Nasional Norwegia, membentuk tim untuk menyelidiki serangan ransomware dan membangun kembali sistem
- Memeriksa lebih dari 30.000 akun karyawan dan bahkan lebih banyak lagi akun layanan untuk mengetahui adanya aktivitas jahat
Cara tersebut bukan tanpa tantangan, karena perusahaan manufaktur harus beroperasi tanpa menggunakan komputer. Norsk Hydro pun merugi US$ 70 juta atau Rp 1 triliun (Kurs Rp 16.352 per US$) akibat insiden ini.
“Itu situasi yang sangat istimewa selama berminggu-minggu sebelum kami dapat mengatasinya, dan dapat mulai mengidentifikasi apa yang sebenarnya telah dikompromikan,” kata Aasheim.
Norsk Hydro tidak menerima pesanan apapun. “Situasinya cukup menakutkan jika Anda tidak memiliki, katakanlah, data untuk memandu Anda cara mengoperasikannya,” ujar Aasheim.
Sebanyak 30.000 lebih akun karyawan dikarantina, dibersihkan, dan dipantau untuk mengidentifikasi adanya aktivitas jahat.
Norsk Hydro memilih untuk membangun kembali sistem penting seperti perangkat lunak khusus manufaktur sekitar tiga minggu. Kemudian, membangun sistem lain, termasuk direktori pengguna perusahaan dan layanan cloud selama tiga bulan.
“Saya pikir, pertama-tama, keamanan siber dan risiko siber harus menjadi agenda strategis utama perusahaan mana pun,” kata Aasheim. “Ini semakin maju, dan serangan-serangan terjadi saat ini dan semakin rumit. Ada keseluruhan rantai nilai bisnis di luar sana dalam hal cara menyerang perusahaan.”
Ketika ditanya apakah perusahaan yakin malware sudah dihapus sepenuhnya dari jaringan IT Norsk Hydro dan menjamin tidak akan terserang ransomware lagi? “Tidak, Anda tidak bisa,” kata CIO Jo De Vleigher.
Colonial Pipeline (Amerika Serikat) Bayar Tebusan
Sementara itu, perusahaan jaringan pipa minyak terbesar di Amerika Colonial Pipeline menjadi korban serangan ransomware pada Mei 2021. Serangan ke sistem TI Colonial Pipeline ini memengaruhi operasional jaringan pipa pengangkutan minyak yang mencakup lebih dari 5.500 mil jalur pipa mulai dari Texas hingga New Jersey, memasok hampir setengah dari bahan bakar untuk Pantai Timur.
Colonial Pipeline membayar tebusan US$ 4,4 juta kepada peretas DarkSide untuk mendapatkan kunci dekripsi, sehingga staf TI mendapatkan kembali kendali atas sistem. Perusahaan memulai kembali operasional pipa pada 12 Mei.