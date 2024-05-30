Pada bulan Maret 2022, Pemerintahan Biden menandatangani Undang-Undang Pelaporan Insiden Siber untuk Infrastruktur penting tahun 2022 (CIRCIA)). Undang-undang penting ini menugaskan Badan Keamanan Siber dan Infrastruktur (CISA) untuk mengembangkan dan menerapkan peraturan yang mewajibkan entitas yang tercakup untuk melaporkan insiden siber yang tercakup dan pembayaran ransomware.
Laporan insiden CIRCIA dimaksudkan untuk memungkinkan CISA agar dapat:
Seperti yang sering dikatakan, detail-detail kecillah yang sering kali menjadi masalah. Pada awal April, Pemberitahuan Usulan Pembuatan Peraturan (NPRM) setebal 447 halaman diterbitkan oleh CISA sebagai tanggapan atas tanggung jawabnya yang diamanatkan oleh CIRCIA. Dokumen ini sekarang terbuka untuk masukan publik melalui Daftar Federal.
Mempertimbangkan CIRCIA dan NPRM yang baru saja diterbitkan, seperti apa pelaporan insiden untuk serangan ransomware di masa depan? Mari kita cari tahu.
Menurut CISA, "Ransomware adalah bentuk malware yang terus berkembang yang dirancang untuk mengenkripsi file pada perangkat, membuat file apa pun dan sistem yang mengandalkannya tidak dapat digunakan. Aktor jahat kemudian menuntut tebusan dengan imbalan dekripsi.”
Kelompok ransomware sering menargetkan dan mengancam untuk menjual atau membocorkan data curian atau informasi otentikasi jika uang tebusan tidak dibayar. Serangan ransomware telah menjadi makin lazim di antara entitas pemerintah negara bagian, lokal, suku dan teritorial (SLTT) dan organisasi infrastruktur penting.
NPRM CISA mengusulkan empat jenis dampak yang akan mengakibatkan insiden diklasifikasikan sebagai insiden siber substansial dan, oleh karena itu, dapat dilaporkan. Empat jenis dampak ini meliputi:
CISA lebih lanjut mengusulkan bahwa insiden siber substansial mencakup insiden apa pun terlepas dari penyebabnya — baik jika ransomware terlibat atau tidak. Ini bisa berupa pembobolan penyedia layanan cloud, penyedia layanan terkelola atau penyedia hosting data pihak ketiga lainnya; pembobolan rantai pasokan; serangan denial-of-service; serangan ransomware; atau eksploitasi kerentanan zero-day.
CIRCIA mewajibkan entitas yang tercakup untuk melaporkan kepada CISA setiap insiden siber yang tercakup dalam waktu 72 jam setelah entitas secara wajar percaya bahwa insiden siber yang tercakup telah terjadi.
Sementara itu, pembayaran tebusan yang dilakukan sebagai tanggapan terhadap serangan ransomware harus dilaporkan dalam waktu 24 jam setelah pembayaran tebusan dilakukan. Jelas, CIRCIA menempatkan ransomware sebagai prioritas pelaporan.
Sejauh menyangkut pelaporan ransomware, NPRM CISA menguraikan empat langkah:
CISA juga menjelaskan bahwa waktu tidak mengecualikan pelaporan. Misalnya, katakanlah perusahaan Anda menemukan bahwa perusahaan mengalami insiden siber dua tahun lalu, dan insiden tersebut sedang berlangsung. Anda masih akan diminta untuk menyerahkan Laporan Insiden Siber Tercakup berdasarkan aturan yang diusulkan karena insiden belum selesai dan belum sepenuhnya dimitigasi dan diselesaikan.
Sesuai CISA, insiden yang dapat dilaporkan mengecualikan “setiap peristiwa di mana insiden siber dilakukan dengan itikad baik oleh entitas dalam menanggapi permintaan khusus oleh pemilik atau operator sistem informasi.”
Apa sebenarnya skenario “itikad baik”? Ini bisa menjadi penyedia layanan pihak ketiga yang bertindak dalam parameter kontrak yang secara tidak sengaja salah mengkonfigurasi perangkat perusahaan, yang menyebabkan pemadaman layanan. Contoh lain adalah uji penetrasi yang diotorisasi dengan benar yang secara tidak sengaja hasil dalam insiden siber dengan dampak aktual.
Pengecualian itikad baik lainnya dapat berupa insiden yang terkait dengan pengujian riset keamanan. Peneliti mungkin telah diberi wewenang untuk mencoba membahayakan sistem, seperti sesuai dengan kebijakan pengungkapan kerentanan atau program bug bounty. Karena itu, CISA mengantisipasi bahwa pengecualian ini jarang terjadi. Penelitian riset keamanan dengan itikad baik umumnya berhenti pada titik di mana kerentanan dapat ditunjukkan dan biasanya tidak akan menghasilkan insiden yang berdampak nyata.
Dalam beberapa kasus, entitas yang tercakup, sebagai tanggapan terhadap ransomware asli atau insiden berbahaya lainnya, mungkin memutuskan untuk mengambil tindakan terhadap dirinya sendiri, yang mengakibatkan dampak tingkat yang dapat dilaporkan, seperti mematikan sistem atau operasi. Misalnya, korban serangan Ransomware-as-a-Service mungkin melakukan ini untuk mencegah dampak yang lebih luas akibat serangan siber. Skenario ini masih dianggap sebagai insiden siber substansial yang harus dilaporkan.
Dalam kasus seperti itu, insiden itu sendiri tidak dilakukan dengan itikad baik, dan dampak tingkat ambang tidak akan terjadi jika tidak ada serangan. Oleh karena itu, CISA tidak akan mempertimbangkan tindakan entitas yang dicakup untuk memenuhi pengecualian “itikad baik”. Jelas, entitas yang tercakup sengaja memicu peristiwa yang berdampak (misalnya, membuat sistem offline) dalam upaya untuk meminimalkan potensi kerusakan dari insiden siber. Namun, kegiatan semacam ini tidak akan dibebaskan dari persyaratan pelaporan.
Diskusi tentang persyaratan pelaporan ransomware sedang berlangsung. Dan ketika bahkan entitas dengan ketahanan siber yang kuat pun berisiko, kesimpulan akhir CIRCIA akan menjadi perhatian semua orang.
