Securities and Exchange Commission (SEC) pada Juni 2024 mengumumkan bahwa R.R. Donnelley & Sons Company (RRD), penyedia global layanan komunikasi bisnis dan pemasaran, telah setuju untuk membayar lebih dari $2,1 juta karena kegagalan perusahaan mengelola pengendalian internal terkait insiden dan peringatan siber yang terjadi pada akhir tahun 2021.
Menurut SEC, integritas dan kerahasiaan data merupakan aspek yang sangat penting bagi bisnis RRD. Karena data klien disimpan dalam jaringan RRD, maka personel keamanan informasi RRD dan penyedia layanan pihak ketiga yang disewa RRD bertanggung jawab untuk memantau keamanan jaringan tersebut. Namun, RRD gagal merancang pengendalian dan prosedur pengungkapan yang efektif untuk melaporkan informasi siber yang relevan kepada manajemen yang bertanggung jawab atas pengambilan keputusan pengungkapan, serta gagal menilai dan merespons peringatan aktivitas mencurigakan secara tepat waktu. Lebih lanjut, RRD juga gagal merancang dan memelihara sistem pengendalian akuntansi internal yang memadai terkait keamanan siber, yang dapat memberikan keyakinan memadai bahwa akses ke aset RRD — yaitu sistem dan jaringan teknologi informasinya — hanya diizinkan dengan otorisasi dari manajemen.
Ringkasan atas praktik keamanan siber yang diterapkan RRD selama periode akhir 2021 adalah sebagai berikut:
- Antara 29 November 2021 hingga 23 Desember 2021, sistem internal deteksi intrusi perusahaan mengeluarkan sejumlah besar peringatan, yang selanjutnya ditinjau oleh penyedia layanan keamanan terkelola pihak ketiga (Managed Security Services Provider/MSSP), meskipun peringatan tersebut juga tersedia untuk ditinjau oleh personel internal perusahaan.
- Setelah tinjauan awal, MSSP meneruskan beberapa peringatan ke tim keamanan siber internal perusahaan.
- Penanganan dan pemulihan atas insiden aktivitas tidak terotorisasi tersebut seharusnya dilaksanakan oleh personel internal perusahaan bersama MSSP.
- Namun, meskipun ada eskalasi peringatan, perusahaan tidak segera memutus perangkat yang terinfeksi dari jaringan, tidak melakukan investigasi atas aktivitas tersebut, dan tidak mengambil langkah tambahan apa pun untuk mencegah pelanggaran lebih lanjut hingga 23 Desember 2021. Diduga kuat bahwa personel keamanan internal perusahaan terlalu bergantung pada MSSP dan gagal bertindak tepat waktu.
- Hanya setelah perusahaan lain yang memiliki akses bersama ke jaringan perusahaan memberi tahu Chief Information Security Officer perusahaan, barulah dilakukan operasi tanggap darurat secara cepat, dengan personel keamanan internal perusahaan mematikan server dan memberi pemberitahuan kepada klien serta lembaga pemerintah federal dan negara bagian.
- Penyerang berhasil mengekstrak 70 Gigabyte data, termasuk data milik 29 klien perusahaan yang berisi informasi identitas pribadi dan data keuangan.
SEC menyimpulkan bahwa RRD telah melanggar Pasal 13(b)(2)(B) dari Securities Exchange Act tahun 1934 dan Aturan 13a-15a berdasarkan undang-undang tersebut. Tanpa mengakui atau menyangkal temuan SEC, RRD setuju untuk menghentikan dan tidak mengulangi pelanggaran atas ketentuan tersebut, serta membayar denda perdata sebesar $2.125.000.
Sumber: SEC (2024), ACA Global (2024)
Abdiansyah Prahasto 
Leave a comment