Track: Keduanya (K); untuk pembaca yang ingin memeriksa silang pola risiko, standar, dan sumber publik yang menjadi latar bacaan buku ini.
Lampiran ini disusun untuk satu tujuan: memberi pembaca jalur pemeriksaan silang yang sehat tanpa membuka identitas organisasi, orang, vendor, atau pihak internal yang memang harus dilindungi.
Sebagian narasi dalam buku ini merujuk pada kejadian publik yang disebut eksplisit. Sebagian lain adalah komposit pembelajaran dari pengalaman profesional, pola berulang, standar, dan sumber publik. Daftar berikut bukan pemetaan satu-satu antara bab, organisasi, tokoh, vendor, regulator, lokasi, atau kejadian tertentu.
Dengan kata lain, sumber di bawah ini tidak boleh dibaca sebagai petunjuk identitas Organisasi X. Sumber ini dicantumkan agar pembaca dapat melihat bahwa pola risikonya nyata: sistem layanan publik bisa lumpuh, keputusan TI bisa gagal tanpa pemilik, proyek digital bisa tidak menghasilkan manfaat, dan kelemahan data bisa berubah menjadi risiko hukum serta reputasi.
Cara Membaca Lampiran Ini
Gunakan lampiran ini dengan tiga prinsip.
Baca sebagai pembanding pola. Satu sumber dapat mendukung pola umum seperti pentingnya backup, tata kelola risiko, keamanan SCADA, atau project governance. Ia tidak otomatis menjadi asal-usul narasi komposit tertentu.
Jangan melakukan identifikasi balik. Jika sebuah narasi di buku sengaja memakai Organisasi X, Unit A-E, atau skenario komposit, pilihan itu dibuat untuk menjaga kerahasiaan pihak yang terlibat. Pembaca tidak perlu dan tidak dianjurkan menebak identitasnya.
Utamakan dokumen resmi. Jika tautan media berubah, gunakan nama insiden, nama standar, nomor regulasi, atau judul dokumen resmi untuk melakukan pencarian ulang melalui portal lembaga terkait.
Kasus Publik yang Disebut Eksplisit
Bagian ini berisi kejadian yang memang disebut sebagai kejadian nyata di dalam buku. Sumbernya boleh dibaca sebagai rujukan langsung atas kejadian publik tersebut.
Pusat Data Nasional Sementara 2024
Serangan ransomware terhadap Pusat Data Nasional Sementara pada Juni 2024 dipakai untuk menunjukkan bagaimana satu gangguan sistem dapat berubah menjadi krisis layanan publik, krisis kepatuhan, dan krisis keputusan eksekutif.
- ANTARA News, “Disruption at National Data Center caused by Brain Cipher ransomware”
- ANTARA News, “BSSN sebut 98 persen data PDNS yang terkena serangan belum di-backup”
Maersk dan NotPetya 2017
Kasus Maersk dipakai sebagai contoh krisis TI lintas operasi global. Pelajaran yang diambil dalam buku ini bukan bahwa Maersk memakai kerangka tertentu, melainkan bahwa pemulihan krisis membutuhkan bahasa keputusan lintas teknologi, operasi, risiko, dan komunikasi.
- A.P. Moller - Maersk, Interim Report Q2 2017
- CISA, Petya Ransomware alert
- Wired, “The Untold Story of NotPetya”
- BleepingComputer, “Maersk Reinstalled 45,000 PCs and 4,000 Servers”
Oldsmar dan Risiko SCADA Air
Kasus Oldsmar dipakai untuk menunjukkan pentingnya bukti, log, akses, eskalasi, dan pemilik keputusan saat sistem teknologi operasional berubah status. Buku ini juga mencatat bahwa laporan lanjutan menyebut FBI tidak dapat mengonfirmasi insiden tersebut sebagai intrusi siber yang ditargetkan.
- FBI, CISA, EPA, dan MS-ISAC, Compromise of U.S. Water Treatment Facility
- FBI Vault, Attempted Hacking of Oldsmar Water Treatment Plant
- CISA, Water and Wastewater Cybersecurity
Kerangka Tata Kelola dan Keamanan
Sumber berikut menjadi pembanding untuk pola tata kelola, manajemen risiko, keamanan informasi, dan pengambilan keputusan TI. Ia mendukung argumen umum buku, bukan satu cerita komposit tertentu.
- ISACA, COBIT resources
- NIST, Cybersecurity Framework
- ISO, katalog standar internasional
- PeopleCert, PRINCE2
- PMI, standar dan praktik manajemen proyek
Regulasi Indonesia dan Rujukan Pemerintah
Bagian ini membantu pembaca mengecek dasar regulasi yang berulang muncul dalam buku: pelindungan data pribadi, penyelenggaraan sistem elektronik, SPBE, dan kewajiban tata kelola layanan publik.
- UU No. 27 Tahun 2022 tentang Pelindungan Data Pribadi
- UU No. 1 Tahun 2024 tentang Perubahan Kedua atas UU ITE
- PP No. 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik
- Perpres No. 95 Tahun 2018 tentang Sistem Pemerintahan Berbasis Elektronik
- Portal SPBE
Pola Risiko, Biaya, dan Transformasi Layanan
Sumber berikut berguna untuk membaca pola yang lebih luas: biaya pelanggaran data, transformasi digital utilitas, ketahanan layanan, dan manajemen risiko di organisasi yang melayani publik.
- IBM, Cost of a Data Breach Report
- World Bank, topik air
- World Bank Documents and Reports
- World Economic Forum, laporan keamanan siber
Catatan tentang Narasi Komposit
Narasi komposit bukan cara untuk mengaburkan fakta agar bebas mengarang. Narasi komposit dipakai untuk melindungi pihak yang terlibat sambil tetap menjaga pelajaran yang relevan bagi pembaca.
Dalam praktiknya, anonimisasi yang buruk dapat gagal jika detail kecil dikombinasikan: tahun, lokasi, angka investasi, jabatan, vendor, jenis organisasi, dan kronologi. Karena itu, beberapa cerita dalam buku ini sengaja menghapus atau menggeneralisasi detail yang tidak diperlukan untuk pelajaran tata kelola.
Untuk pembaca yang ingin memahami prinsip ini lebih jauh, dua rujukan berikut berguna:
- ICO, How do we ensure anonymisation is effective?
- European Data Protection Board, Secure personal data
Cara Menggunakan Lampiran Ini di Organisasi Anda
Lampiran ini paling berguna bila dipakai sebagai bahan diskusi internal, bukan sebagai daftar tautan pasif. Pilih satu tema yang paling dekat dengan masalah organisasi Anda saat ini.
Jika masalahnya insiden berulang, mulai dari sumber ransomware, SCADA, dan NIST. Jika masalahnya proyek TI tidak menghasilkan manfaat, mulai dari sumber COBIT, PRINCE2, dan PMI. Jika masalahnya data pelanggan, mulai dari UU PDP, PP PSTE, dan laporan biaya pelanggaran data. Jika masalahnya transformasi digital tanpa tata kelola, mulai dari World Bank, WEF, dan kerangka tata kelola ISACA.
Pertanyaan yang perlu dibawa ke rapat bukan “kasus ini mirip siapa?”, melainkan “pola risiko mana yang sedang kita ulangi, dan keputusan apa yang harus berubah minggu ini?”
Catatan Akses Sumber
Tautan di atas mengarah ke portal resmi pemerintah, lembaga standar, organisasi internasional, lembaga keamanan siber, atau media publik yang dipakai sebagai rujukan kejadian eksplisit. Sebagian dokumen tersedia bebas; sebagian standar, laporan, dan dokumen profesional dapat berubah lokasi atau memerlukan pendaftaran. Apabila tautan berubah, gunakan judul resmi, nomor regulasi, nama lembaga, dan kata kunci utama sebagai dasar pencarian ulang.
Catatan batas penggunaan: Tulisan ini adalah pandangan pribadi penulis berdasarkan pengalaman praktis dan studi independen. Lampiran ini bukan daftar identitas kasus, bukan tuduhan terhadap organisasi tertentu, dan bukan pemetaan satu-satu antara narasi komposit dalam buku dengan pihak nyata mana pun. Pembaca diharapkan melakukan verifikasi independen dan menjaga etika kerahasiaan ketika menggunakan sumber publik untuk pembelajaran internal.