Minggu lalu dunia dipukul WannaCry — ransomware yang dalam 4 hari infect 230,000 komputer di 150 negara. Indonesia salah satu yang terkena: dua RS besar di Jakarta operasinya disrupted, beberapa lembaga pemerintah dimensi data mereka encrypted. Total kerugian global diperkirakan miliaran dolar.
Saya tulis ini bukan sebagai security expert (saya bukan). Saya tulis sebagai GM Partnerships di Metranet yang dalam 1 bulan terakhir spend banyak waktu untuk pikirin cybersecurity sebagai isu strategic. Karena WannaCry expose kelemahan industri Indonesia yang serius: kami belum siap untuk era cybersecurity yang sedang datang.
Mari saya jelaskan tiga problem yang saya lihat.
Pertama, infrastruktur IT Indonesia masih banyak Windows XP. Microsoft stop support Windows XP di 2014 — 3 tahun lalu. Tidak ada lagi security patch. Tapi banyak korporasi besar Indonesia — termasuk RS, pemerintahan, dan beberapa BUMN — masih jalan di atas Windows XP. WannaCry exploit security hole di Windows XP yang seharusnya sudah di-patch 3 tahun lalu.
Kenapa masih Windows XP? Beberapa alasan: software internal yang custom-built untuk XP, hardware lama yang tidak support Windows 7/10, atau just budget yang tidak ada untuk upgrade. Excuse-nya ada banyak. Tapi resiko-nya nyata.
Kedua, awareness security di level eksekutif rendah. Beberapa minggu terakhir di Metranet, saya sit di meeting dengan eksekutif Telkom Group. Banyak yang masih anggap cybersecurity sebagai "masalah IT" — bukan masalah strategic. Mereka delegate ke CISO atau head of IT, tidak dipikirin di level top board.
Itu salah. Cybersecurity sekarang adalah masalah strategic. WannaCry bisa shut down operasi sebuah perusahaan dalam jam-jam. Tidak ada teknologi yang bisa fix masalah kalau attack berhasil dan data sudah encrypted. Yang bisa mitigasi: planning, infrastructure investment, training, dan business continuity plan — yang semua butuh leadership commit dari eksekutif level.
Ketiga, dan ini paling concerning: ketergantungan pada vendor global. Indonesia punya beberapa local cybersecurity firm, tapi sebagian besar perusahaan besar pakai produk dari vendor global — Microsoft Defender, Symantec, McAfee. Itu tidak buruk-buruk amat. Tapi membuat kita terpapar pada decisions vendor global yang mungkin tidak prioritize Indonesia.
Saat WannaCry, patch yang Microsoft release adalah untuk Windows 7+ — tidak untuk XP (yang sudah end-of-life). Beberapa hari kemudian, mereka release emergency patch untuk XP juga, tapi terlambat untuk banyak korban.
Apa yang harus kita lakukan?
Pertama, sebagai industri tech Indonesia, kita perlu push hardware/software upgrade serius. Bukan rahasia: banyak orderan IT modernization dari korporasi besar selama 2-3 tahun terakhir. Tapi pace-nya terlalu lambat. WannaCry hopefully jadi wake-up call.
Kedua, build local cybersecurity capability. Indonesia harus punya security talent yang substantial — bukan cuma teknis, tapi juga manajemen risiko. Setiap perusahaan besar harus punya CISO yang berbicara sama level dengan CFO. Pendidikan security harus jadi mainstream di universitas Indonesia.
Ketiga, dan ini sebagai GM Partnerships saya akan focus: framework partnership untuk security incident response. Kalau kita kena attack, siapa yang kami panggil? Apakah ada partnership dengan local responder yang bisa cepat datang? Apakah ada partnership dengan global vendor untuk emergency support?
Saya akan kerjakan ini sebagai salah satu prioritas Q3 saya. WannaCry mungkin ransomware terakhir yang serang Indonesia tanpa preparation yang baik. Yang berikutnya, kita harus siap.
Komentar