Komunikasi Krisis saat Insiden Siber — Panduan untuk Tim CSIRT

Mari jujur sebentar: seberapa jago lo dalam komunikasi?

Bukan komunikasi teknis — itu lo pasti jago. Tapi komunikasi dengan manusia. Dengan bos yang panik dan minta update setiap 5 menit. Dengan pelanggan yang marah-marah karena datanya bocor. Dengan wartawan yang ngejar-ngejar statement. Dengan regulator yang minta laporan detail dalam 3×24 jam.

Kalau lo gugup membayangkannya... lo nggak sendiri. Komunikasi krisis adalah skill yang paling sering diabaikan dalam pelatihan CSIRT. Semua orang fokus ke teknis — Wireshark, Volatility, SIEM — tapi begitu harus ngomong ke media atau nulis notifikasi ke 50.000 pelanggan... blank.

Padahal, komunikasi yang buruk saat insiden bisa memperparah krisis. Satu kalimat yang salah ke media bisa jadi headline negatif. Satu notifikasi yang terlambat ke regulator bisa jadi denda miliaran. Satu briefing yang nggak jelas ke manajemen bisa bikin mereka ambil keputusan yang memperburuk keadaan.

Di artikel ini, kita bakal bahas seni — dan ilmu — komunikasi krisis dalam konteks insiden siber. Lo bakal belajar cara berkomunikasi ke berbagai stakeholder, template notifikasi yang bisa langsung dipakai, dan strategi menghindari jebakan komunikasi yang umum.

Kenapa Komunikasi Krisis Itu Penting?

Coba lihat berita tentang insiden siber di Indonesia beberapa tahun terakhir. Lo pasti ingat beberapa kasus di mana:

• Perusahaan A kena ransomware, diam saja, baru ngaku setelah datanya dijual di dark web. Hasil: pelanggan marah, regulator turun tangan, reputasi hancur.
• Perusahaan B kena breach, langsung bikin press conference, ngomong jujur apa adanya — termasuk keterbatasan mereka. Hasil: reputasi justru naik karena dianggap transparan.

Bedanya? Komunikasi.

Dalam insiden siber, ada tiga jalur pertempuran:

1. Jalur teknis — memberantas malware, memulihkan sistem, menutup celah. (Ini yang lo udah jago.)
2. Jalur hukum — mematuhi regulasi, melaporkan ke otoritas, menyiapkan dokumentasi.
3. Jalur komunikasi — mengelola persepsi, menjaga kepercayaan, mengendalikan narasi. (Ini yang sering terlupakan.)

Kalau lo menang di jalur teknis tapi kalah di jalur komunikasi... di mata publik, lo tetap kalah.

Stakeholder dalam Komunikasi Krisis

Setiap stakeholder punya kebutuhan informasi yang berbeda. Lo nggak bisa kirim notifikasi yang sama ke semua orang.

1. Manajemen Internal (CEO, CISO, Board)

Apa yang mereka butuhkan:

• Gambaran besar dampak bisnis (bukan detail teknis).
• Estimasi waktu pemulihan.
• Keputusan yang perlu mereka ambil (bayar ransom? umumkan ke publik?).
• Update reguler — jangan bikin mereka gelap.

Cara berkomunikasi:

• Briefing singkat di awal (15 menit).
• Update berkala (setiap 2-4 jam, atau setiap milestone).
• Format: 1 halaman ringkasan dengan poin-poin kunci.

Yang nggak boleh:

• "Tenang aja pak, kami lagi handle." — tanpa detail. Manajemen perlu tahu seberapa serius.
• Overload teknis — "Jadi attacker-nya exploit CVE-2024-xxxx via RCE lalu execute reverse shell pakai base64-encoded PowerShell..." — Bos lo cuma pengen tau: data aman atau nggak?

2. Pelanggan

Apa yang mereka butuhkan:

• Apakah data mereka terdampak?
• Apa yang harus mereka lakukan (ganti password? pantau rekening? waspadai phishing)?
• Apa yang sudah dilakukan perusahaan untuk menangani insiden?

Cara berkomunikasi:

• Email notifikasi ke semua pelanggan terdampak.
• Notifikasi di website (banner atau halaman khusus).
• Social media (opsional — tergantung skala).

Kapan?

• UU PDP: dalam 3×24 jam setelah insiden diketahui.
• Tapi jangan terlalu cepat juga — pastikan informasi akurat, jangan spekulasi.

3. Regulator (BSSN, Kominfo, OJK, dll)

Apa yang mereka butuhkan:

• Laporan formal dengan kronologi, dampak, dan tindakan.
• Bukti kepatuhan terhadap regulasi.

Cara berkomunikasi:

• Laporan tertulis resmi.
• Format sesuai template yang diminta regulator.
• Siapkan contact person untuk follow-up.

4. Media

Apa yang mereka butuhkan:

• Fakta (bukan spekulasi).
• Statement resmi dari juru bicara.

Cara berkomunikasi:

• Press release atau press conference.
• Satu juru bicara (jangan ada yang lain ngomong — bahaya).

Kapan?

• Kalau insiden berdampak besar (banyak pelanggan, data sensitif, layanan publik).
• Kalau berita sudah bocor ke media (lebih baik lo yang kendalikan narasinya).
• Kalau regulasi mengharuskan pengumuman publik.

5. Karyawan Internal (di luar tim CSIRT)

Apa yang mereka butuhkan:

• Situasi terkini — apa yang terjadi?
• Apa yang harus mereka lakukan? (Jangan login, jangan buka email dari luar, jangan posting di medsos, dll)
• Siapa yang harus dihubungi kalau mereka menemukan hal mencurigakan?

Prinsip-Prinsip Komunikasi Krisis

Ini aturan emas yang selalu berlaku — apapun insidennya:

1. Jujur dan Transparan

Jangan bohong. Jangan nutup-nutupin. Kalau lo nggak tau jawabannya, bilang "kami masih investigasi, akan kami update setelah ada informasi lebih lanjut." Kebohongan yang terbongkar jauh lebih merusak daripada kejujuran yang pahit.

2. Cepat Tapi Akurat

Kecepatan penting — terutama untuk notifikasi ke regulator. Tapi jangan korbankan akurasi. Notifikasi yang terburu-buru dengan informasi salah bisa memperburuk keadaan.

3. Satu Suara

Tunjuk SATU juru bicara. Tidak ada yang lain boleh ngomong ke media, pelanggan, atau regulator tanpa koordinasi. Kalau wartawan nelpon ke customer service dan CS bilang hal yang berbeda dari press release... chaos.

4. Empati

Ini yang sering dilupakan tim teknis. Pelanggan yang datanya bocor itu korban — sama seperti perusahaan lo. Tunjukkan empati. "Kami memahami kekhawatiran Bapak/Ibu..." bukan "Sesuai Pasal 5 Ayat 3 UU PDP..."

5. Jangan Spekulasi

"Kami menduga serangan ini dilakukan oleh..." — JANGAN. Kalau lo nggak yakin 100%, jangan sebut siapa pelakunya. Bilang "investigasi masih berlangsung."

6. Action-Oriented

Fokus ke apa yang SUDAH dan AKAN dilakukan, bukan cuma apa yang terjadi. "Kami telah mengisolasi sistem terdampak" lebih baik daripada "Sistem kami diretas."

Template Notifikasi untuk Berbagai Stakeholder

Gue kasih template yang bisa lo sesuaikan:

Template Notifikasi ke Pelanggan (Data Breach)

Subjek: Pemberitahuan Penting Tentang Keamanan Data Anda

Kepada Pelanggan [Nama Perusahaan] yang Terhormat,

Kami menulis untuk memberitahukan tentang insiden keamanan yang baru saja kami temukan yang mungkin melibatkan data pribadi Anda.

[Apa yang terjadi — singkat, jelas, 2-3 kalimat]

[Data apa yang mungkin terdampak]

[Apa yang sudah kami lakukan]

[Apa yang perlu Anda lakukan — langkah spesifik]

Kami sangat menyesalkan situasi ini. Keamanan data Anda adalah prioritas kami, dan kami berkomitmen untuk terus meningkatkan perlindungan.

Jika Anda memiliki pertanyaan, silakan hubungi kami di [kontak khusus].

Hormat kami,
[Nama, Jabatan]
[Nama Perusahaan]

Template Briefing ke Manajemen

RINGKASAN INSIDEN — [Tanggal/Jam]

Status: [AKTIF / TERKENDALI / SELESAI]
Severity: [LOW / MEDIUM / HIGH / CRITICAL]

1. APA YANG TERJADI
[2-3 kalimat]

2. DAMPAK
- Sistem terdampak: [daftar]
- Data yang mungkin terdampak: [daftar]
- Layanan yang terganggu: [daftar]

3. TINDAKAN YANG SUDAH DIAMBIL
- [Tindakan 1]
- [Tindakan 2]
- [Tindakan 3]

4. RENCANA SELANJUTNYA
- [Rencana 1 — dengan estimasi waktu]
- [Rencana 2]

5. KEPUTUSAN YANG DIBUTUHKAN DARI MANAJEMEN
- [Keputusan 1]
- [Keputusan 2]

Update berikutnya: [jam/tanggal]
Contact person: [nama, nomor HP]

Template Press Release

SIARAN PERS — UNTUK SEGERA DIPUBLIKASIKAN

[Nama Perusahaan] Mengumumkan Insiden Keamanan

[Kota, Tanggal] — [Nama Perusahaan] hari ini mengumumkan bahwa kami telah mendeteksi dan segera merespons sebuah insiden keamanan yang memengaruhi [sistem/data] kami.

[Penjelasan singkat — apa yang terjadi, kapan terdeteksi]

[Langkah-langkah yang sudah diambil — kontainmen, investigasi, pemulihan]

[Notifikasi ke otoritas — sudah/tidak]

[Komitmen ke depan — perbaikan keamanan]

Saat ini fokus kami adalah [prioritas utama]. Kami akan terus memberikan update seiring perkembangan situasi.

Untuk informasi lebih lanjut:
[Nama Juru Bicara, Jabatan]
[Email, Nomor HP (kantor)]

###

Menghadapi Pertanyaan Sulit dari Media

Wartawan bakal nanya hal-hal yang bikin lo nggak nyaman. Siapkan jawabannya dari sekarang.

Q: "Apakah ini serangan dari hacker luar negeri?"
A: "Investigasi masih berlangsung. Kami belum bisa mengkonfirmasi asal serangan. Yang terpenting saat ini adalah memulihkan layanan dan melindungi data pelanggan."

Q: "Berapa banyak data yang bocor?"
A: "Kami sedang melakukan audit menyeluruh. Kami akan memberitahu pelanggan yang terdampak secara langsung. Saat ini fokus kami adalah mengamankan sistem."

Q: "Apakah perusahaan akan membayar tebusan?"
A: "Kami tidak akan berkomentar tentang negosiasi yang mungkin atau tidak mungkin terjadi. Fokus kami adalah pemulihan melalui backup dan prosedur yang ada."

Q: "Kenapa ini bisa terjadi? Apakah keamanan perusahaan lemah?"
A: "Insiden siber bisa menimpa siapa saja. Kami memiliki sistem keamanan berlapis, dan setelah insiden ini kami akan terus memperkuatnya. Investigasi akan mengungkap bagaimana ini terjadi."

Yang Boleh dan Tidak Boleh Dikatakan

Yang Boleh:

• "Kami telah mengisolasi sistem terdampak."
• "Kami sedang bekerja sama dengan otoritas terkait."
• "Kami akan memberikan update setelah ada informasi lebih lanjut."
• "Pelanggan yang terdampak akan diberitahu secara langsung."
• "Kami telah melaporkan insiden ini ke BSSN sesuai ketentuan."

Yang Tidak Boleh:

• "Semua data aman kok." — kalau belum yakin 100%.
• "Ini ulah hacker dari [negara]." — kalau belum ada bukti.
• "Keamanan kami sudah yang terbaik." — setelah breach.
• "Bapak/Ibu nggak perlu khawatir." — jangan meremehkan kekhawatiran.
• "Ini cuma insiden kecil." — biarkan fakta yang bicara.

Komunikasi Internal ke Karyawan

Jangan lupakan karyawan internal. Mereka adalah ujung tombak — tapi juga celah informasi.

Yang harus dikomunikasikan:

• Situasi terkini (versi singkat, tanpa detail rahasia).
• Instruksi jelas: jangan login ke sistem X, jangan buka email dari luar, jangan posting di media sosial, arahkan pertanyaan media ke PR.
• Contact person internal jika mereka menemukan hal mencurigakan.

Contoh email ke karyawan:

Tim,

Saat ini tim IT sedang menangani insiden keamanan yang memengaruhi beberapa sistem internal. Kami telah mengisolasi sistem terdampak dan investigasi sedang berlangsung.

Yang perlu Anda lakukan:

• JANGAN login ke [sistem terdampak] dulu.
• JANGAN membuka attachment atau link dari email yang mencurigakan.
• Jika ada media menghubungi Anda, arahkan ke [nama PR, kontak].
• Pantau channel komunikasi internal untuk update.

Kami akan terus memberikan update. Terima kasih atas kerja samanya.

Tim CSIRT

Penutup

Komunikasi krisis adalah skill yang bisa dipelajari — sama seperti lo belajar Wireshark atau Volatility. Bedanya: nggak ada lab virtual untuk simulasi wawancara media. Tapi lo bisa latihan dengan tabletop exercise yang melibatkan skenario komunikasi.

Ingat prinsip kuncinya:

• Jujur — trust is hard to gain, easy to lose.
• Cepat tapi akurat — jangan nunggu informasi sempurna baru ngomong.
• Satu suara — tunjuk juru bicara dan disiplinkan yang lain.
• Empati — di balik setiap data breach ada manusia yang khawatir.

Di artikel berikutnya, kita bakal bahas post-incident review — gimana caranya ngambil pelajaran dari insiden, bikin laporan yang bermakna, dan memastikan kejadian yang sama nggak terulang lagi. Stay tuned!

Butuh diskusi lebih lanjut? Kontak gue. Artikel terkait di kategori Respons Insiden.

Ingat: dalam krisis, komunikasi lo bisa jadi penyelamat — atau justru jadi bensin yang memperbesar api.

Satu cerita penutup dari pengalaman nyata. Ada sebuah perusahaan fintech di Indonesia yang kena data breach tahun lalu. Data 100 ribuan nasabah bocor. Tapi mereka nggak panik. Kenapa? Karena mereka udah siap. Mereka punya Communications Lead yang terlatih. Mereka punya template notifikasi yang udah direview legal. Mereka punya kontak regulator yang udah dijalin sebelum insiden. Dalam 36 jam setelah insiden, semua pelanggan udah dinotifikasi dengan jelas — bukan dengan bahasa korporat yang bikin tambah bingung, tapi dengan bahasa manusia. Hasilnya? Media malah muji transparansi mereka. Pelanggan kecewa? Iya. Tapi nggak sampai marah-marah di medsos. Trust mereka justru pulih dalam hitungan bulan karena perusahaan menunjukkan tanggung jawab. Bandingin sama perusahaan lain yang nutup-nutupin — yang ujungnya malah dihajar netizen setelah kebongkaran. Pilihan ada di tangan lo: jadi perusahaan pertama atau perusahaan kedua.

Jadi, mulai sekarang, jangan anggap komunikasi krisis sebagai "nanti aja dipikirin kalau udah kejadian". Itu sudah terlambat. Mulai siapkan dari sekarang: tunjuk Communications Lead di tim CSIRT lo, draft template notifikasi untuk 3 skenario insiden paling mungkin, jalin hubungan dengan media dan regulator sebelum insiden terjadi, dan latih juru bicara lo. Karena di era digital, persepsi publik sama pentingnya dengan realitas teknis. Lo bisa saja hebat dalam memberantas malware, tapi kalau komunikasi lo buruk — di mata dunia, lo tetap "perusahaan yang kecolongan dan tidak transparan". Komunikasi yang baik adalah tameng kedua setelah teknologi — jangan pernah meremehkannya. Ingat selalu: dalam insiden siber, lo bertempur di tiga front sekaligus — teknis, hukum, dan komunikasi. Dan front komunikasi seringkali yang paling menentukan siapa pemenangnya di mata publik. Jadi persiapkan dengan serius, latih dengan disiplin, dan eksekusi dengan tenang. Good luck, Communications Lead!