Bersiap Menghadapi Insiden Siber: Table Top Exercise (TTX)
M. E. Adideswar S.Kom
Last updated
M. E. Adideswar S.Kom
Last updated
Pada tahun 2013, perusahaan ritel Target mengalami kebocoran data pelanggan setelah sebuah insiden keamanan siber. Target menyalahkan salah satu vendor mereka, Fazio Mechanical Services, atas kebocoran tersebut. Pada tahun 2017, perusahaan laporan kredit Equifax juga mengalami kebocoran data besar dan menyalahkan seorang teknisi IT yang terlambat menginstal patch pada sistem yang terdampak. Capital One menyalahkan cloud provider-nya, AWS, akibat kebocoran data pada tahun 2019, meskipun akhirnya terungkap bahwa kebocoran tersebut disebabkan oleh miskonfigurasi pada WAF internal. Baru-baru ini, salah satu organisasi pemerintah -- yang diduga menjadi sumber dari kebocoran data penduduk secara masif -- menyalahkan pemilik data (masyarakat) dan melempar tanggung jawab ke organisasi pemerintah lain di depan publik.
Salah satu kemungkinan terjadinya contoh-contoh blame game di atas disebabkan oleh kurangnya koordinasi dan kolaborasi secara internal maupun dengan entitas lain yang bekerja sama dengan organisasi saat menjalankan proses tanggap insiden, mulai dari fase containment hingga komunikasi kepada publik. Walaupun suatu organisasi memiliki dokumen lengkap termasuk kebijakan, proses, prosedur, dan standar yang sudah mengikuti berbagai sertifikasi dan framework, serta memiliki kontrol teknis lengkap berupa security device dan solution seperti Firewall, SIEM, WAF, dan EDR, tanpa adanya pengujian terhadap proses tanggap insiden (Incident Response atau IR), manajemen krisis, serta kontinuitas bisnis dan pemulihan bencana (Business Continuity Disaster Recovery atau BC DR), organisasi bisa benar-benar mengalami kesulitan dalam menjalankan proses tanggap insiden ketika insiden tersebut benar-benar terjadi.
Di Indonesia sendiri penulis belum menemukan banyak regulasi atau peraturan yang secara eksplisit mewajibkan pengujian tanggap insiden atau pemulihan bencana, walaupun ada beberapa regulasi yang membahas tentang kesiapan dalam menangani situasi darurat (salah satunya adalah SEOJK No 29 dan POJK No 11 Tahun 2022 yang dipublikasi baru-baru ini walaupun hanya terbatas pada Bank Umum). Penulis juga jarang menemukan organisasi di Indonesia yang benar-benar melakukan pengujian secara tepat pada prosedur tanggap darurat. Namun, di beberapa negara lain, organisasi-organisasi terutama terkait finansial, pertahanan, atau infrastruktur kritis diwajibkan secara reguler melakukan pengujian terhadap prosedur tanggap darurat seperti di Singapura (MAS TRM, CSA Singapore, PDPC, atau IMDA), Amerika Serikat (FedRAMP atau NIST), Uni Eropa (NIS Directive), atau standar global (PCI DSS).
Walaupun tidak diwajibkan secara eksplisit di regulasi, pengujian tanggap darurat sebenarnya sangat penting bagi keberlangsungan bisnis organisasi. Ada beberapa alternatif jenis pengujian tanggap darurat yang dapat dilakukan, seperti:
Paper atau Checklist Test. Merupakan jenis pengujian tanggap darurat dengan cara membagikan salinan prosedur ke berbagai departemen internal. Tiap departemen kemudian meninjau dan menyampaikan apabila ada hal yang terlewatkan atau harus dimodifikasi di prosedur. Jenis ini paling mudah dilakukan karena fleksibilitas waktu dan tidak diperlukannya sumber daya yang besar untuk pelaksanaannya.
Walkthrough Test. Merupakan jenis pengujian di mana perwakilan dari setiap departemen atau area fungsional dapat berkumpul untuk membahas dan meninjau tujuan, ruang lingkup, akurasi, struktur pelaporan, dan asumsi pada prosedur sehingga diperlukan komitmen untuk bertemu di tempat dan waktu yang sama untuk berdiskusi. Jenis ini memerlukan sumber daya yang lebih besar dibanding paper atau checklist test karena memerlukan komitmen waktu dari departemen yang relevan untuk berdiskusi bersama.
Simulation Test atau Table Top Exercise (TTX). Perbedaan dengan Walkthrough Test, selain sama-sama pengujian dengan melibatkan perwakilan dari berbagai departemen, TTX juga mencakup simulasi untuk berbagai skenario insiden yang ditentukan dan meninjau bagaimana berbagai departemen merespons skenario yang terjadi sesuai prosedur yang ada. Jenis pengujian ini membutuhkan sumber daya yang lebih besar dari Walkthrough Test karena biasanya melibatkan sejumlah elemen dari organisasi termasuk eksekutif, manajemen, dan tim teknis serta memerlukan perencanaan yang matang dan perhatian dari para peserta.
Parallel Test. Pada pengujian ini, sistem alternatif (misalnya Disaster Recovery (DR) site) dan proses pemulihan yang telah dibangun akan diuji untuk melihat apakah sistem atau proses alternatif tersebut dapat memfasilitasi proses bisnis mission-critical (misalnya aplikasi yang menjalankan service kepada pelanggan) dengan kapasitas yang didefinisikan pada prosedur. Pada jenis pengujian ini, sistem atau proses utama masih tetap diaktifkan untuk menjalankan proses bisnis namun sebagian atau seluruh service akan dipindahkan ke sistem atau proses alternatif. Hal ini memungkinkan proses rollback ke sistem utama dengan mudah jika terjadi masalah pada sistem alternatif ketika melakukan pengujian proses pemulihan. Hasil dari pengujian ini nantinya akan menunjukkan apakah sistem alternatif dan proses pemulihan benar-benar berfungsi dan dapat dijalankan dengan baik, serta menunjukkan perlu atau tidaknya melakukan perbaikan atau konfigurasi ulang. Jenis pengujian ini membutuhkan sumber daya dan persiapan yang jauh lebih matang dibanding jenis-jenis sebelumnya, karena selain persiapan di atas kertas, pengujian ini juga memerlukan persiapan dan konfigurasi secara teknis di sistem utama dan sistem alternatif.
Cutover atau Full Interruption Test. Pada pengujian jenis ini, sistem utama akan benar-benar diputus dan digantikan dengan sistem alternatif untuk menjalankan proses bisnis. Jika dibandingkan dengan jenis pengujian lain, pengujian ini memerlukan sumber daya yang paling besar, persiapan yang jauh lebih matang, sangat intrusif, dan berisiko sangat tinggi. Bahkan ada beberapa kasus pada pengujian ini yang berujung pada insiden atau bencana yang benar-benar terjadi, karena kegagalan dalam memindahkan sistem ditambah tidak dapat melakukan rollback kembali ke sistem utama. Namun, keunggulan dari pengujian ini adalah organisasi dapat menguji kapabilitas internal secara maksimal dan memastikan bahwa proses pemulihan dan sistem alternatif benar-benar berfungsi dengan baik dan siap digunakan dalam situasi darurat.
Di antara semua alternatif, umumnya Tabletop Exercise (TTX) yang dipilih sebagai alternatif terbaik karena pertimbangan hal-hal berikut:
Efisiensi sumber daya. TTX dapat dilakukan secara fleksibel sehingga sumber daya yang digunakan dapat disesuaikan dengan skenario yang akan disimulasikan. TTX juga tidak membutuhkan persiapan secara teknis pada sistem karena simulasi yang dilakukan bukanlah scenario secara riil namun lebih kepada simulasi paper-based.
Interaktif dan kolaboratif. Karena nature dari aktivitas TTX yang membutuhkan diskusi dan koordinasi dari perwakilan dari berbagai departemen, TTX dapat memfasilitasi latihan berkomunikasi dan berkolaborasi dari pemangku kepentingan dari posisi dan tingkat yang berbeda dalam merespon insiden dan bencana.
Minim risiko. Jika dibandingkan dengan Parallel Test atau Full Interruption Test yang tergantung pada situasi dan tingkat kompleksitas dari organisasi, secara umum TTX tidak melibatkan sistem atau teknologi yang sebenarnya, sehingga potensial risiko jauh lebih rendah.
Kecukupan syarat kepatuhan. Di berbagai regulasi yang mewajibkan pengujian proses tanggap darurat, hasil TTX juga dinilai cukup sebagai bukti untuk memenuhi kebutuhan kepatuhan terhadap regulasi dan standar yang diwajibkan terhadap organisasi.
Karakteristik inilah yang menyebabkan TTX sebagai pengujian yang seimbang (balanced test) sehingga banyak dipilih oleh organisasi untuk melakukan pengujian terhadap proses tanggap darurat internal.
Secara definisi, TTX sendiri adalah jenis pengujian tanggap darurat yang memfokuskan pada simulasi berbasis diskusi dimana para personel dari berbagai departemen dengan peran dan tanggung jawab yang relevan dalam proses tanggap darurat berkumpul dalam satu sesi atau ruangan (online maupun offline) untuk mensimulasikan skenario insiden keamanan siber dan memberikan respons terhadap skenario tersebut. Biasanya aktivitas TTX melibatkan fasilitator dan pemantau dari pihak independen (seperti konsultan pihak ketiga atau departemen internal lain yang tidak relevan dengan proses tanggap darurat yang diuji) untuk mendapatkan hasil tinjauan dan lesson learned yang independen.
Beberapa tujuan spesifik dari TTX sendiri antara lain:
Meningkatkan kesadaran dan keahlian peserta TTX terkait dengan proses tanggap insiden, pemulihan bencana, atau manajemen krisis;
Menguji respon teknis tim teknis dan respon eksekutif dari manajemen (leadership) terhadap insiden keamanan atau bencana;
Melatih keterbukaan, komunikasi, dan kerjasama antar pemangku kepentingan dari tim yang berbeda selama situasi insiden keamanan dan krisis; dan
Mengevaluasi kelemahan (gap) dari proses yang ada dan mendapatkan rekomendasi untuk meningkatkan kemampuan tanggap darurat di internal organisasi.
Langkah-langkah dalam melakukan TTX dapat dibagi menjadi 3 fase, seperti gambar berikut:
a. Tentukan dan desain skenario. Tentukan garis besar skenario atau situasi yang ingin diuji. Skenario tersebut sebisa mungkin disesuaikan dengan mempertimbangkan kemungkinan situasi serealistis mungkin sesuai dengan bisnis proses dari organisasi. Skenario dapat berupa serangan siber seperti ransomware, kebocoran data, atau insiden siber lainnya. Salah satu contoh sumber inspirasi untuk skenario antara lain adalah akun Twitter https://twitter.com/badthingsdaily.
Setelah menentukan garis besar skenario, dapat dibuat detail skenario termasuk kondisi awal dan kondisi tambahan di tengah-tengah skenario (dikenal dengan istilah injeksi). Detail skenario ini harus menjelaskan injeksi yang terjadi, pertanyaan apa yang perlu ditanyakan oleh fasilitator kepada responden, peran dan tanggung jawab yang harus diemban oleh masing-masing tim responden, serta tindakan konkret yang harus dilakukan dalam situasi yang terjadi sehingga dapat dijadikan referensi observasi dan gap analysis terhadap jalannya TTX.
Durasi atau lamanya TTX dapat bervariasi tergantung pada tujuan dan kompleksitas simulasi yang dilakukan. Pada umumnya, TTX dapat berlangsung antara 2-8 jam, tergantung pada berbagai faktor seperti jumlah peserta, berapa banyak tim yang terlibat, skenario yang disimulasikan, dan tujuan. Namun, perlu diingat, TTX yang terlalu lama juga tidak disarankan karena sulit mendapatkan perhatian dan fokus seluruh peserta dalam jangka waktu yang lama, sehingga perlu dipertimbangkan untuk dilaksanakan dengan efektif dan efisien untuk mencapai tujuan yang diinginkan.
b. Pilih Peserta. Pilih tim yang akan terlibat dalam skenario dan tentukan peserta yang menjadi perwakilan dari tim tersebut. Tim ini harus mencakup anggota departemen yang terkait dengan tanggap darurat yang ingin diuji, misalnya Helpdesk/Service Desk, Finance, HR, Legal, Public Relation, IT Security, IT Application, business user, serta manajemen senior. Pastikan bahwa semua anggota tim memiliki peran dan tanggung jawab yang jelas dalam proses tanggap darurat.
c. Tentukan dokumen referensi. Umumnya referensi utama adalah prosedur internal terkait skenario yang akan diuji di TTX, misalnya Incident Response, Disaster Recovery atau Crisis Management. Selain itu, pertimbangkan juga untuk mengacu pada regulasi yang relevan atau best practice dari NIST atau Cybersecurity & Infrastructure Security Agency (CISA).
d. Persiapkan logistik. Adapun logistik yang perlu dipersiapkan antara lain:
Panduan. Materi tambahan seperti dokumen yang berisi panduan atau diagram alur aktivitas untuk membantu memvisualisasikan situasi pada TTX.
Lokasi dan waktu. Perlu dipertimbangkan ketersediaan waktu untuk semua peserta yang relevan untuk berpartisipasi, lokasi yang memadai, atau pertimbangan melakukan TTX secara remote melalui Google Meet atau Zoom).
Infrastruktur dan teknologi. Seperti konektivitas internet, perangkat lunak (Google Docs atau Microsoft Office), perangkat keras (Laptop atau PC di lokasi TTX), atau alat-alat tulis (seperti kertas dan pulpen). Jika dilakukan secara onsite lokasi yang dipilih memiliki infrastruktur dan teknologi yang cukup untuk mendukung TTX.
Tidak semua organisasi memiliki kesempatan untuk berlatih dalam menghadapi insiden yang terkendali di dunia nyata. Seringkali, ketika situasi darurat benar-benar terjadi, tingkat keparahan sangat tinggi dan mengatasinya bisa sangat sulit dan membingungkan. Itulah sebabnya Table Top Exercise (TTX) bisa dipertimbangkan sebagai salah satu solusi terbaik untuk organisasi anda dalam persiapan situasi darurat. TTX adalah jenis pengujian tanggap darurat yang difokuskan pada simulasi berbasis diskusi di mana para personel dari berbagai departemen dengan peran dan tanggung jawab yang relevan dalam proses tanggap darurat berkumpul dalam satu sesi di satu ruangan untuk mensimulasikan skenario insiden keamanan siber atau bencana dan memberikan respons terhadap skenario tersebut.
Meskipun saat ini di Indonesia tidak banyak diwajibkan secara eksplisit oleh regulasi, TTX sebenarnya sangat penting untuk diuji oleh organisasi untuk memastikan keberlangsungan bisnis pada saat terjadinya insiden. TTX merupakan pengujian yang seimbang karena mencakup proses yang ingin diuji, efisien terhadap sumber daya, interaktif dan kolaboratif, dan minim risiko. Pada umumnya TTX dipilih sebagai alternatif terbaik karena sifatnya yang seimbang dan memfasilitasi latihan berkomunikasi dan berkolaborasi dari pemangku kepentingan dari posisi dan tingkat yang berbeda dalam merespon insiden dan bencana. TTX dianjurkan dilakukan setidaknya 1 (satu) tahun sekali atau jika ada perubahan signifikan dalam sistem, proses atau susunan organisasi. Langkah-langkah persiapan dan pelaksanaan harus dilakukan dengan baik untuk mencapai hasil pengujian yang maksimal.
Association of Information Security Professionals. “White Paper on Data Breach Tabletop Exercise.” AiSP, 2 November 2020, https://www.aisp.sg/document/common/White%20Paper_data%20breach%20TTX_v1.pdf. Diakses pada 15 Februari 2023.
“CISA Tabletop Exercise Packages.” CISA, https://www.cisa.gov/cisa-tabletop-exercise-packages. Diakses pada 15 Februari 2023.
CIS Center for Internet Security. “Six Scenarios to Help Prepare Your Cybersecurity Team.” CIS Center for Internet Security, 18 October 2018, https://www.cisecurity.org/insights/white-papers/six-tabletop-exercises-prepare-cybersecurity-team. Diakses pada 15 Februari 2023.
“Cybersecurity Tabletop Exercise Tips.” CISA, https://www.cisa.gov/sites/default/files/publications/Cybersecurity-Tabletop-Exercise-Tips_508c.pdf. Diakses pada 15 Februari 2023.
Krebson Security. “Target Hackers Broke in Via HVAC Company – Krebs on Security.” Krebs on Security, 5 February 2014, https://krebsonsecurity.com/2014/02/target-hackers-broke-in-via-hvac-company/. Diakses pada 22 Februari 2023.
“NIST SP 800-84, Guide to Test, Training, and Exercise Programs for IT Plans and Capabilities.” NIST Technical Series Publications, https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-84.pdf. Diakses pada 15 Februari 2023.
“NIST SP 800-84, Technical guide to information security testing and assessment.” NIST Technical Series Publications, https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-115.pdf. Diakses pada 15 Februari 2023.
TechCrunch. “Former Equifax CEO says breach boiled down to one person not doing their job.” TechCrunch, 3 October 2017, https://techcrunch.com/2017/10/03/former-equifax-ceo-says-breach-boiled-down-to-one-person-not-doing-their-job/. Diakses pada 22 Februari 2023.
TechCrunch. “Security breach? Don't blame your employees.” TechCrunch, 14 February 2023, https://techcrunch.com/2023/02/14/security-breach-blame-employees/. Diakses pada 22 Februari 2023.
USA Today. “Amazon's AWS unit says its not responsible for Capital One data breach.” USA Today, 30 July 2019, https://www.usatoday.com/story/tech/talkingtech/2019/07/30/amazon-aws-unit-says-its-not-responsible-capital-one-data-breach/1868862001/. Diakses pada 22 Februari 2023.
Wlosinski, Larry G. “Cybersecurity Incident Response Exercise Guidance.” 2022. ISACA, https://www.isaca.org/resources/isaca-journal/issues/2022/volume-1/cybersecurity-incident-response-exercise-guidance. Diakses pada 15 Februari 2023.
S.Kom, CISSP, CISM, CCSP, CCSK, CISA, CC, Google PCSE, ISO 27001 LA, Implementor SMPI (BSSN), ECSP
Adi adalah seorang profesional keamanan siber dengan pengalaman lebih dari 13 tahun sebagai end-user dan konsultan di beberapa perusahaan global. Pengalaman Adi bervariasi mulai dari manajemen keamanan siber, audit keamanan informasi, manajemen risiko hingga cloud security untuk klien dari berbagai industri termasuk perusahaan start-up dan teknologi (e-commerce, fintech, hail riding, dan health tech), asuransi dan perbankan, telekomunikasi, BUMN, pusat data, migas, dan juga sejumlah Kementerian di Indonesia. Selain bekerja sebagai konsultan, Adi juga aktif berkontribusi pada beberapa program dan acara keamanan siber sebagai pembicara, podcaster, mentor, atau juri diantaranya seperti pada Ask a CISO Podcast, Tech in Asia Conference, FS-ISAC, InfraDigital Foundation, Div0, dan ScaleUp Mentorship. Saat ini Adi tinggal dan bekerja di Singapura sebagai Principal Consultant di salah satu perusahaan keamanan siber dengan fokus utama di cloud security dan CISO as a Service.