Dalam beberapa bulan terakhir saya terlibat dalam pengembangan produk security berkaitan dengan manajemen kerentanan (vulnerability management). Salah satu fitur utamanya adalah terkait risk quantification atau mengkuantifikasi skala resiko serangan siber. Meskipun sudah ada beberapa hal yang terimplementasikan namun khusus untuk risk quantification saya masih kurang puas, rasanya ada yang masih kurang dan terlewatkan.
Saya membaca banyak sekali literatur, riset, source code proyek-proyek opensource, serta artikel dari produk-produk vendor lain terkait topik ini. Alhamdulillah dari proses tersebut saya mendapatkan cukup banyak insight, but, it’s not enough. Ada bagian puzzle yang hilang dan bagian tersebut merupakan fondasi atas segala hal yang telah saya pelajari tersebut. Namun saya tidak tau apa yang hilang tersebut. Mungkin sebenarnya sudah tersampaikan pada bahan-bahan yang dipelajari sebelumnya, namun karena kurangnya pengalaman akhirnya saya melewatkan bagian tersebut — hal ini biasa terjadi dalam proses belajar.
Ketika stuck pada kondisi seperti ini biasanya saya mulai mencari bantuan. Ada beberapa individu yang biasanya saya datangi (tergantung dari scope permasalahan) untuk ‘berguru’. Dalam kasus ini saya meminta bantuan pada salah seorang rekan yang menurut saya memiliki kecerdasan luar biasa namun tidak mudah dipahami oleh setiap orang (sometimes people just don’t understand the way genius people thinking). Rekan ini bisa diajak diskusi untuk berbagai macam hal, mulai dari hal sederhana hingga hal-hal kompleks — dia bahkan sempat menceritakan bagaimana bom atom bisa terjadi.
Saya sempat berdiskusi terkait salah satu produk sekitar 2 tahun lalu, dan somehow sambil berbicara dia mengajarkan suatu framework data kepada saya dan framework tersebut berlaku general. Hingga detik ini bisa diaplikasikan pada berbagai macam permasalahan terkait arsitektur produk berbasis data (bigdata + AI) mulai dari security hingga charity business based on data.
Kebetulan PSBB di Jakarta mulai memasuki fase transisi maka saya meminta rekan tersebut untuk bertemu. Dia klo berbicara banyak sekali, sehingga harus dicatat agar jangan sampai kelupaan. Karena seringkali — dan ini benar-benar terjadi, apa yang dia sampaikan baru terasa manfaatnya beberapa bulan kemudian sehingga saya tinggal buka buku dan melihat poin-poin sebagai fondasi pola berpikir serta pembuatan keputusan. Itu sebabnya saya memilih untuk bertemu langsung, membawa buku, sehingga dia bisa coret-coret langsung disitu (yah, sebagaimana layaknya seorang murid yang hendak berguru lah).
Tanpa berbasa-basi lebih panjang (he stayed in USA for long time, US people doesn’t do small talk, fyi 😊), saya langsung bilang ada dua topik yang hendak didiskusikan saat ini. Topik pertama berkaitan dengan produk security, topik kedua berkaitan dengan produk edukasi.
Saya akan ceritakan terkait produk edukasi pada lain kesempatan, untuk kali ini saya akan ceritakan sedikit (sedikit aja dulu ya, karena ini berkaitan proprietary salah satu produk 😊) terkait “Risk Quantification”.
Risk Qualification
“Vijay, katakanlah saya memiliki sebuah data lake berisi ragam informasi terkait vulnerability dan juga trend vulnerability. Saya ingin mengkuantifikasi resiko dari data-data tersebut untuk kemudian diformulasikan dan divisualisasikan kepada stakeholder terutama manajemen di sisi client sehingga mereka bisa melihat seberapa besar resiko atas aset-aset mereka dari serangan siber dan bagaimana langkah-langkah yang harus dilakukan dari sekian banyak opsi untuk segera menurunkan tingkat resiko tersebut?”
Sebagaimana yang dipahami oleh sebagian besar IT security professional, higher management mostly doesn’t care (and also doesn’t really understand) about how cool your security finding is from i.e redteam activity, they just want to know how it is impacting to the company and its business if it is not resolved, and so, what are the options for them to consider in order to mitigate?
Tentu saja untuk menjawab pertanyaan tersebut banyak yang main “perasaan”, ataupun menggunakan formula tertentu yang didapat dari internet seperti OWASP Risk Assessment Framework, dimana bisa jadi tepat untuk suatu organisasi namun belum tentu tepat untuk situasi pada organisasi lain. Ini yang saya maksud banyak sekali literatur namun belum menyentuh prinsip dasarnya, belum menyentuh fondasinya.
And the best thing from Vijay, he can articulate something to its root. Terkait resiko pun saya yakin jawabannya valid karena dia menghabiskan waktu sangat lama pada beberapa bank kelas atas di Amerika. Saya yakin kita semua setuju bahwa industri finansial terutama bank sangat expert dalam hal menilai resiko karena terbiasa menilai hal-hal seperti credit scoring.
“Rasyid, note this, before you are able to quantify something, you need to qualify them first. So, in the case of risk, you need to qualify by understanding the nature of risk first”.
Seperti itu kira-kira jawabannya Vijay.
Saya akan tunjukan sedikit coretan terkait Risk Qualification tersebut.
Jadi apabila diformulasikan maka ada 4 matriks dalam hal resiko.
- Financial Risk
- Operational Risk
- Legal Risk
- Reputational Risk
Saya akan coba sampaikan sedikit terkait 4 matriks tersebut dalam kaitannya dengan keamanan siber.
Financial Risk
Ketika sebuah insiden terjadi maka apa dampaknya pada finansial? Katakanlah pada sektor finansial seperti perbankan, maka ketika sebuah sistem berhasil dieksploitasi maka berapa banyak dana nasabah yang terancam bisa dicuri?
Atau ketika sebuah perusahaan pengembang produk ketika aset perusahaan berhasil dihack dan kehilangan cetak biru (blueprint) produk andalannya sehingga bisa dijual dan ditiru oleh perusahaan lain, berapa besar resiko finansial perusahaan tersebut yang bisa jadi sudah menghabiskan dana jutaan dolar untuk melakukan riset sebelumnya?
Operational Risk
Telekomunikasi termasuk industri dimana operational risk sangat krusial, karena ketika servis operasional berhenti beberapa menit saja dimana pengguna tidak bisa melakukan panggilan telepon maka itu artinya akan berdampak fatal bagi revenue perusahaan.
Ketika aset-aset perusahaan terkena dampak ransomware dimana data-data mereka terkunci akibat suatu vulnerability maka ini juga termasuk pada operational risk karena akibatnya banyak staff tidak bisa bekerja ataupun sistem database mereka terkunci sehingga aplikasi berhenti.
Legal Risk
Perlindungan Data Pribadi (PDP) saat ini di Indonesia mulai ramai dibicarakan setelah RUU PDP disahkan oleh Presiden Jokowi dengan denda hingga Rp.70 Miliar bagi pihak-pihak yang terbukti menyalahgunakan data pengguna.
![]("https://cdn-images-1.medium.com/fit/c/320/320/0*vpfP3E2dsgkqAlzt")
Di Eropa isu terkait perlindungan data pribadi merupakan isu sensitif yang kemudian memaksa banyak sekali pemilik bisnis untuk segera comply melalui GDPR.
Indonesia masih baru dimulai, sehingga ketika ada e-commerce besar di-hack dan beberapa informasi data pribadi pelanggannya terbukti bocor tidak ada yang menuntut karena masih dianggap masalah sepele.
Namun dikemudian hari ketika secara hukum UU PDP diberlakukan secara ketat maka pihak pelaku bisnis dapat menghadapi perkara hukum apabila tidak secara serius memperhatikan keamanan siber aset-aset IT miliknya dan bisa dihitung resikonya ketika insiden terjadi berdasarkan denda atas permasalahan hukum tersebut.
Reputational Risk
Di Indonesia mungkin masih jarang terjadi reputational risk, meskipun pada beberapa hal sudah mulai terjadi. Namun dinegara lain reputasi bisnis perusahaan bisa jatuh dan rugi secara finansial ketika dipublikasikan terjadi insiden siber atas perusahaan tersebut.
Risk Quantification
Vijay merupakan contoh individu yang mengajarkan bahwa salah satu metode untuk bertahan hidup adalah dengan cara memancing. Kemudian dia akan masuk pada contoh bagaimana cara memancing. Setidaknya begitu yang saya lihat dari dia.
Maksudnya bagaimana?
Kita sering mendengar istilah, didiklah seseorang cara memancing, sehingga ketika kondisi sulit datang maka dia tau bagaimana cara mengatasinya. Jadi bukan cuma datang dengan tangan meminta “mana ikan buat saya makan?”.
Pertanyaan diatas mungkin benar, selama lingkungannya tepat untuk memancing. Bagaimana jika seseorang terdampar di padang pasir dimana tidak ada laut atau sungai untuk dipancing? Bagaimana cara dia untuk bertahan hidup?
Paradigma yang sama ketika mengajarkan tentang risk quantification. Tidak ada formula general yang dapat diberlakukan untuk semua sektor. Bahkan formula untuk credit scoring pun bisa jadi tidak general. Credit scoring untuk masyarakat di Amerika tentu berbeda dengan di Indonesia. Credit scoring untuk masyarakat di perkotaan tentu berbeda dengan di pedesaan.
Meskipun formula kuantifikasi spesifiknya berbeda namun secara kualitatif atau secara nature tetap sama. Dalam hal resiko atas insiden siber, ke-4 matriks diatas menjadi acuannya. Bagaimana kemudian kita membuat formulanya itu perlu di eksplorasi sendiri karena pada dasarnya risk scoring untuk sektor IKN (Infrastruktur Kritikal Nasional) tentu berbeda dengan risk scoring untuk sektor finansial seperti perbankan.
Melalui pertimbangan atas matriks-matriks diatas kemudian dapat diformulasikan perhitungan atau turunan-turunannya termasuk dalam hal memprioritaskan kerentanan aset ketika contoh kasusnya adalah vulnerability management system.
Sesi belajar tersebut melengkapi bagian puzzle cukup besar yang hilang dari pemahaman saya atas resiko insiden siber.
Ketika kembali ke rumah saya buka kembali catatan yang sudah dikumpulkan sebelumnya untuk dicocokan dengan pemahaman yang baru diterima. Pada salah satu pojok catatan produk ada formula yang sempat dianalisis sebelumnya dan digunakan sebagai referensi dimana formula tersebut merupakan ‘built-in’ formula.
Berdasarkan diskusi hari itu, selain built-in formula, saya berpikir, sebagai vendor sudah seharusnya kami memberikan fleksibilitas juga bagi pengguna untuk menentukan formula sendiri sesuai dengan sektor masing-masing.
Alasan diberikan kesempatan untuk membuat formula sendiri adalah tidak lain karena target sektor yang perlu dilindungi oleh produk tersebut sangat luas sehingga tidak mungkin sejak awal bisa diprediksi formula tepat bagi seluruh sektor diseluruh dunia (karena targetnya adalah global). Kita perlu memberikan fleksibilitas terutama kepada pihak-pihak organisasi yang memiliki tim IT security dimana mereka bisa berdiskusi dengan para stakeholder untuk kemudian mengkuantifikasi resiko-resiko tersebut dan dibuat keterkaitannya dengan tingkat kerentanan aset-aset IT mereka. Hal ini penting juga karena dunia saat ini sangat dinamis sehingga suatu formula yang tepat beberapa tahun lalu belum tentu tepat untuk kondisi saat ini.
Well, as always, ketika berdiskusi dengan individu-individu yang memiliki tingkat kecerdasan lebih tinggi selalu ada momen yang membuat saya happy, yaitu “aha moment”, dimana pada akhirnya jaringan-jaringan neuron dalam otak mulai terhubung satu sama lain akibat bagian puzzle yang hilang tersebut mulai terlengkapi sehingga dalam sekejap bilang “aha, okey, I got it now” 😋
Member discussion