Terjadinya insiden keamanan yang mengakibatkan intrusi peretas, tidak diragukan lagi, merupakan salah satu mimpi buruk terbesar bagi perusahaan mana pun saat ini. Selain dampak langsung pada bisnis, ada implikasi hukum dan reputasi yang dapat berlangsung selama berbulan-bulan atau bahkan bertahun-tahun. Di Brazil, Undang-Undang Perlindungan Data Umum (LGPD) menetapkan serangkaian persyaratan yang harus diikuti perusahaan setelah insiden semacam itu terjadi.
Menurut laporan terkini oleh Federasul – Federasi Badan Usaha Rio Grande do Sul -, lebih dari 40% perusahaan Brasil telah menjadi target beberapa jenis serangan siber. Namun, banyak dari perusahaan-perusahaan ini masih menghadapi kesulitan dalam mematuhi persyaratan hukum yang ditetapkan oleh LGPD. Data dari Otoritas Perlindungan Data Nasional (ANPD) mengungkapkan bahwa hanya sekitar 30% perusahaan yang diretas yang secara resmi menyatakan terjadinya insiden tersebut. Ketidaksesuaian ini dapat disebabkan oleh sejumlah faktor, termasuk kurangnya kesadaran, kompleksitas proses kepatuhan, dan ketakutan akan dampak negatif pada reputasi perusahaan.
Sehari setelah kejadian: langkah pertama
Setelah mengonfirmasi adanya penyusupan peretas, langkah pertama adalah menahan insiden tersebut untuk mencegahnya menyebar. Ini termasuk mengisolasi sistem yang terkena dampak, menghentikan akses tidak sah, dan menerapkan tindakan pengendalian kerusakan.
Secara paralel, penting untuk membentuk tim respons insiden, yang harus mencakup pakar keamanan informasi, profesional TI, pengacara, dan konsultan komunikasi. Tim ini akan bertanggung jawab untuk membuat serangkaian keputusan, terutama yang melibatkan kelangsungan bisnis di hari-hari berikutnya.
Dalam hal kepatuhan LGPD, penting untuk mendokumentasikan semua tindakan yang diambil selama respons insiden. Dokumentasi ini akan berfungsi sebagai bukti bahwa perusahaan bertindak sesuai dengan persyaratan hukum dan dapat digunakan dalam audit atau investigasi apa pun oleh ANPD.
Dalam beberapa hari pertama, tim respons harus melakukan analisis forensik terperinci untuk mengidentifikasi sumber intrusi, metode yang digunakan oleh peretas, dan ruang lingkup penyusupan. Proses ini penting tidak hanya untuk memahami aspek teknis serangan, tetapi juga untuk mengumpulkan bukti yang diperlukan untuk melaporkan insiden tersebut kepada otoritas yang berwenang dan juga kepada perusahaan asuransi – jika perusahaan tersebut telah mengambil asuransi cyber.
Ada aspek yang sangat penting di sini: analisis forensik juga berfungsi untuk menentukan apakah penyerang masih berada dalam jaringan perusahaan – situasi yang sayangnya sangat umum terjadi, terlebih lagi jika setelah insiden perusahaan menderita semacam pemerasan finansial melalui pelepasan data yang mungkin telah dicuri oleh penjahat.
Lebih lanjut, LGPD, dalam pasal 48, mengharuskan pengendali data untuk berkomunikasi kepada Otoritas Perlindungan Data Nasional (ANPD) dan kepada subjek data yang terpengaruh tentang terjadinya insiden keamanan yang dapat menimbulkan risiko atau kerusakan yang relevan bagi subjek. Komunikasi ini harus dilakukan dalam jangka waktu yang wajar, sesuai dengan peraturan ANPD tertentu, dan harus mencakup informasi tentang sifat data yang terpengaruh, subjek data yang terlibat, tindakan teknis dan keamanan yang digunakan untuk melindungi data, risiko yang terkait dengan insiden tersebut dan tindakan yang telah atau akan diadopsi untuk membalikkan atau mengurangi dampak kerusakan.
Berdasarkan persyaratan hukum ini, sangat penting, segera setelah analisis awal, untuk menyiapkan laporan terperinci yang mencakup semua informasi yang disebutkan oleh LGPD. Dalam hal ini, analisis forensik juga membantu menentukan apakah ekstraksi dan pencurian data telah terjadi – sejauh yang diklaim oleh penjahat.
Laporan ini harus ditinjau oleh profesional kepatuhan dan pengacara perusahaan sebelum diserahkan ke ANPD. Undang-undang tersebut juga menentukan bahwa perusahaan harus memberikan komunikasi yang jelas dan transparan kepada subjek data yang terkena dampak, menjelaskan apa yang terjadi, tindakan yang diambil, dan langkah selanjutnya untuk memastikan perlindungan data pribadi.
Transparansi dan komunikasi yang efektif, pada kenyataannya, merupakan pilar mendasar dalam pengelolaan insiden keamanan. Manajemen harus menjaga komunikasi yang konstan dengan tim internal dan eksternal, memastikan bahwa semua pihak yang terlibat diberitahu tentang kemajuan tindakan dan langkah selanjutnya.
Evaluasi kebijakan keamanan merupakan tindakan yang diperlukan
Bersamaan dengan komunikasi dengan para pemangku kepentingan, perusahaan harus memulai proses evaluasi dan peninjauan terhadap kebijakan dan praktik keamanannya. Ini termasuk mengevaluasi ulang semua kontrol keamanan, akses, dan kredensial tingkat tinggi, serta menerapkan langkah-langkah tambahan untuk mencegah insiden di masa mendatang.
Sejalan dengan peninjauan dan analisis sistem dan proses yang terkena dampak, perusahaan juga harus berfokus pada pemulihan sistem dan pemulihan operasinya. Ini melibatkan pembersihan semua sistem yang terkena dampak, menerapkan patch keamanan, memulihkan cadangan, dan memvalidasi ulang kontrol akses. Sangat penting untuk memastikan sistem sepenuhnya aman sebelum dioperasikan kembali.
Setelah sistem beroperasi kembali, tinjauan pascainsiden harus dilakukan untuk mengidentifikasi pelajaran yang didapat dan area yang perlu diperbaiki. Tinjauan ini harus melibatkan semua pihak terkait dan menghasilkan laporan akhir yang menyoroti penyebab insiden, tindakan yang diambil, dampak, dan rekomendasi untuk meningkatkan postur keamanan perusahaan di masa mendatang.
Selain tindakan teknis dan organisasi, pengelolaan insiden keamanan memerlukan pendekatan proaktif terhadap tata kelola dan budaya keamanan. Ini termasuk penerapan program peningkatan keamanan siber yang berkelanjutan dan pengembangan budaya perusahaan yang menghargai keamanan dan privasi.
Menanggapi insiden keamanan memerlukan serangkaian tindakan terkoordinasi dan terencana dengan baik, selaras dengan persyaratan LGPD. Dari pengendalian awal dan komunikasi pemangku kepentingan hingga pemulihan sistem dan tinjauan pascainsiden, setiap langkah penting untuk meminimalkan dampak negatif dan memastikan kepatuhan hukum. Lebih dari itu, perlu untuk melihat kegagalan secara langsung dan memperbaikinya – yang terpenting, sebuah insiden harus membawa strategi keamanan siber perusahaan ke tingkat baru.
