Ransomware kini menjadi salah satu ancaman siber paling berbahaya di dunia. Serangan ini mengenkripsi data korban dan menuntut tebusan agar akses dapat dikembalikan. Dampaknya tidak hanya berupa kerugian finansial, tetapi juga lumpuhnya layanan publik, gangguan operasional bisnis, dan hilangnya kepercayaan masyarakat. Bahkan, hingga saat ini, serangan ransomware kian meningkat dan menyerang berbagai industri. Padahal, di era data dan AI, kita dapat melangkah lebih jauh: memprediksi kapan dan di mana serangan mungkin terjadi. Salah satu pendekatan yang menjanjikan adalah Time-Series Modeling, metode statistik yang mampu membaca pola serangan berdasarkan data historis.
Kebanyakan strategi keamanan siber masih berfokus pada deteksi dan pencegahan. Sistem seperti anti-malware, firewall, dan endpoint protection memang efektif melawan ancaman yang sudah dikenal. Namun, serangan modern bersifat polimorfik — berubah bentuk dan beradaptasi cepat untuk menghindari deteksi. Akibatnya, pendekatan tradisional sering kali gagal menghadapi variasi ransomware baru yang terus bermunculan. Menurut penelitian “Predicting Ransomware Incidents with Time-Series Modeling” oleh Roumani & Roumani (2025), sebagian besar pendekatan keamanan masih reaktif, padahal data historis insiden dapat dimanfaatkan untuk memprediksi pola serangan masa depan.
Dengan analisis deret waktu (time-series modeling), organisasi bisa memantau tren, mengenali pola musiman, dan memperkirakan lonjakan serangan ransomware sebelum terjadi. Pendekatan prediktif ini terbukti efektif juga dalam riset Raptor: Ransomware Attack Predictor (Quinkert et al., 2018) dan Predictive Analysis of Ransomware Attacks Using Context-Aware AI (Mathane & Lakshmi, 2021). Hasilnya konsisten: model prediksi membantu organisasi berpindah dari deteksi ke pencegahan proaktif. Dengan model seperti ini, tim keamanan dapat:
Lebih jauh, konsep prediksi ransomware bukan hanya sebatas teknologi, tetapi juga strategi bisnis dan keberlanjutan operasional. Dalam konteks cyber resilience, kemampuan untuk memprediksi risiko dan mempersiapkan mitigasi menjadi faktor pembeda antara organisasi yang tangguh dan yang rentan. Roumani & Roumani (2025) menegaskan bahwa integrasi time-series forecasting ke dalam kebijakan keamanan siber dapat meningkatkan ketahanan organisasi dengan cara memperkuat fungsi Identify dan Protect dalam kerangka NIST Cybersecurity Framework (CSF). Seiring meningkatnya kompleksitas serangan dan perluasan permukaan digital, pendekatan prediktif menjadi langkah logis berikutnya dalam strategi pertahanan siber modern. Ransomware tidak akan berhenti berevolusi, tetapi organisasi yang mampu membaca dan memahami polanya akan selalu selangkah lebih siap menghadapi gelombang berikutnya.
Baca juga: Tantangan Stegomalware IoT dan Solusi Deep Learning
Time-Series Modeling adalah metode analisis data yang berfokus pada urutan waktu untuk menemukan pola dan memprediksi kejadian di masa depan. Dalam konteks keamanan siber, teknik ini memungkinkan kita memahami bagaimana jumlah serangan berubah dari waktu ke waktu — apakah meningkat, menurun, atau mengikuti pola musiman tertentu. Berbeda dari model statistik tradisional yang mengasumsikan setiap data berdiri sendiri, time-series memperhitungkan ketergantungan antar waktu. Artinya, nilai serangan bulan ini sangat mungkin dipengaruhi oleh tren dan fluktuasi serangan di bulan-bulan sebelumnya. Dengan demikian, model ini dapat menangkap dinamika ancaman yang sering kali tidak terlihat dalam analisis konvensional. Pendekatan ini telah digunakan dalam berbagai penelitian keamanan, seperti:
Dalam studi terbaru Predicting Ransomware Incidents with Time-Series Modeling oleh Roumani & Roumani (2025), pendekatan ini diterapkan untuk memprediksi insiden ransomware global antara 2016–2024. Dengan menguraikan data ke dalam tiga komponen utama — tren, pola musiman, dan noise — model ini membantu mengidentifikasi arah perkembangan ransomware di berbagai sektor seperti kesehatan, pemerintahan, dan manufaktur. Hasilnya menunjukkan bahwa time-series modeling bukan sekadar alat analisis statistik, tetapi juga instrumen strategis yang dapat memberikan peringatan dini bagi organisasi. Dengan memahami pola waktu dari serangan, tim keamanan dapat memperkirakan kapan risiko meningkat dan merencanakan langkah mitigasi sebelum serangan benar-benar terjadi.
Penelitian yang dilakukan oleh Yaman Roumani dan Yazan F. Roumani (2025) dalam jurnal “Predicting Ransomware Incidents with Time-Series Modeling” menggunakan dataset Critical Infrastructure Ransomware Attacks (CIRA) yang dikembangkan oleh Temple University. Dataset ini menjadi salah satu sumber terbuka paling komprehensif yang merekam insiden ransomware yang dilaporkan secara publik. CIRA mencatat 1.880 insiden ransomware yang terjadi antara Januari 2016 hingga Agustus 2024, mencakup berbagai sektor infrastruktur penting seperti:
Data dikumpulkan dan diolah secara bulanan agar dapat dianalisis menggunakan model time-series secara konsisten. Pendekatan ini memungkinkan para peneliti melihat dinamika serangan dalam jangka panjang sekaligus mengidentifikasi periode lonjakan aktivitas ransomware di tiap sektor. Hasil analisis Roumani & Roumani (2025) menunjukkan bahwa sektor pemerintah dan kesehatan menempati posisi teratas dalam jumlah serangan, dengan tren peningkatan signifikan setelah tahun 2019 — periode yang bertepatan dengan transformasi digital masif selama pandemi COVID-19. Khusus di sektor kesehatan, peningkatan insiden ini bahkan terus berlanjut hingga 2024, yang menurut peneliti disebabkan oleh tingginya nilai data medis dan tekanan operasional yang membuat organisasi kesehatan lebih rentan terhadap gangguan sistem.
Fenomena ini sejalan dengan meluasnya penggunaan teknologi digital selama pandemi yang memperluas attack surface, serta meningkatnya ketergantungan terhadap layanan daring dan sistem terhubung. Roumani & Roumani (2025) menegaskan bahwa perubahan lingkungan kerja—seperti percepatan adopsi cloud dan sistem kesehatan elektronik—secara tidak langsung meningkatkan peluang eksploitasi bagi pelaku ransomware. Secara umum, analisis 1.880 insiden ini memperlihatkan bahwa ancaman ransomware bukan lagi fenomena acak, melainkan memiliki pola yang dapat diukur dan diproyeksikan. Inilah dasar kuat mengapa pendekatan time-series modeling menjadi relevan: ia memberikan kemampuan prediktif untuk membaca pola serangan lintas waktu dan lintas sektor, sehingga organisasi dapat mempersiapkan diri sebelum ancaman berikutnya datang.
Dalam penelitian Roumani & Roumani (2025), digunakan tiga pendekatan utama untuk memahami pola tersembunyi dalam data serangan ransomware, yaitu STL decomposition, ARIMA, dan Exponential Smoothing (ETS). Ketiganya dikombinasikan untuk menghasilkan model prediksi yang mampu menangkap dinamika jangka panjang, fluktuasi jangka pendek, serta variasi musiman dari insiden ransomware di berbagai sektor. Pendekatan pertama, STL (Seasonal and Trend Decomposition using LOESS), memecah data menjadi tiga komponen: trend, seasonal, dan residual noise. Dengan cara ini, peneliti dapat melihat arah umum perkembangan serangan, mengenali pola berulang, dan memisahkan gangguan acak dari sinyal utama. Hasil penelitian menunjukkan bahwa komponen trend memiliki kontribusi terbesar—lebih dari 70% dari total variasi data—yang berarti peningkatan insiden ransomware sebagian besar dipengaruhi oleh tren jangka panjang, bukan fluktuasi sementara.
Selanjutnya, ARIMA (Autoregressive Integrated Moving Average) digunakan untuk memprediksi sektor yang tidak menunjukkan pola musiman yang jelas. Model ini mengombinasikan ketergantungan historis, penyesuaian tren, dan koreksi kesalahan prediksi masa lalu untuk menghasilkan proyeksi yang lebih stabil. Misalnya, model ARIMA mampu menangkap peningkatan tajam serangan di sektor kesehatan setelah 2022, yang tidak mengikuti pola musiman tertentu.
Terakhir, Exponential Smoothing (ETS) berfokus pada data terbaru dengan memberikan bobot lebih besar pada kejadian terkini. Salah satu variasi yang digunakan dalam studi ini adalah ETS (A,N,N), yang memprediksi jumlah serangan berdasarkan kesalahan sebelumnya tanpa mempertimbangkan tren atau pola musiman eksplisit. Ketika dikombinasikan, STL berperan dalam menangani variasi musiman yang tidak konstan, sementara ARIMA atau ETS memperkuat kemampuan prediksi pada bagian residual data. Pendekatan hibrida ini menjadikan model Roumani & Roumani (2025) salah satu yang paling komprehensif dalam memahami dinamika serangan ransomware secara temporal.
Penelitian Roumani & Roumani (2025) menunjukkan bahwa tingkat akurasi model prediksi sangat bervariasi antar sektor. Berdasarkan pengukuran menggunakan Symmetric Mean Absolute Percentage Error (SMAPE), model terbaik untuk keseluruhan dataset ransomware adalah STL–ARIMA(0,1,1) dengan tingkat kesalahan 26,6%, yang menunjukkan tren umum serangan cenderung stabil hingga sedikit menurun. Untuk sektor pemerintahan dan kesehatan, model STL–ETS(A,N,N) dan STL–ARIMA(0,1,2) memberikan hasil terbaik dengan akurasi sekitar 60–70%, mencerminkan pola serangan yang lebih teratur dan dapat diprediksi. Sebaliknya, sektor teknologi informasi dan manufaktur memiliki tingkat kesalahan lebih tinggi (SMAPE >75%), menandakan pola yang fluktuatif dan dipengaruhi banyak faktor eksternal seperti keterlibatan vendor pihak ketiga serta sistem warisan (legacy systems) yang rentan.
Dari hasil ini, peneliti menemukan bahwa sektor kesehatan dan pemerintahan merupakan dua sektor dengan pola paling konsisten dan data historis yang lebih mudah dimodelkan. Serangan di kedua sektor tersebut memiliki tren jelas dan volume insiden yang cukup besar untuk menghasilkan prediksi yang stabil. Hal ini berbanding terbalik dengan sektor IT dan manufaktur, yang menunjukkan tingkat “noise” tinggi akibat kompleksitas rantai pasok dan keragaman infrastruktur digital. Dengan kata lain, semakin terstruktur dan transparan pola pelaporan insiden suatu sektor, semakin tinggi pula akurasi model prediksinya.
Temuan penting lainnya adalah bahwa serangan ransomware tidak menunjukkan pola musiman yang jelas. Artinya, serangan dapat terjadi kapan saja tanpa mengikuti siklus tertentu seperti bulan atau kuartal tertentu. Model STL–ARIMA terbukti paling efektif dalam menangkap tren umum dan menghasilkan proyeksi yang memadai (SMAPE <30%) untuk gambaran global. Berdasarkan wawasan ini, Roumani & Roumani (2025) menyimpulkan bahwa hasil prediksi dapat menjadi dasar kebijakan yang lebih proaktif—mendorong organisasi untuk mempersiapkan sumber daya keamanan pada periode risiko tinggi, bukan sekadar bereaksi setelah serangan terjadi.
Hasil penelitian dalam jurnal Roumani & Roumani (2025) tidak hanya menawarkan pendekatan teknis, tetapi juga panduan praktis agar model prediksi benar-benar memberi dampak nyata bagi organisasi. Peneliti menekankan bahwa hasil prediksi hanya akan bernilai jika diintegrasikan secara strategis ke dalam proses manajemen risiko dan pengambilan keputusan sehari-hari. Berikut empat langkah implementasi utama yang direkomendasikan agar prediksi berbasis time-series dapat dimanfaatkan secara efektif:
Pendekatan ini sejalan dengan NIST Cybersecurity Framework (CSF), khususnya pada fungsi Identify dan Protect. Dengan cara ini, organisasi dapat berpindah dari strategi reaktif menjadi proaktif, menjadikan prediksi insiden ransomware bukan sekadar alat analisis, tetapi bagian integral dari budaya ketahanan siber yang berkelanjutan.
Meskipun memberikan kontribusi penting terhadap literatur prediksi serangan siber, penelitian “Predicting Ransomware Incidents with Time-Series Modeling” oleh Roumani & Roumani (2025) juga mengakui sejumlah keterbatasan yang menjadi peluang untuk pengembangan riset ke depan. Pertama, data yang digunakan terbatas pada database Critical Infrastructure Ransomware Attacks (CIRA), yang hanya mencakup insiden ransomware yang dilaporkan secara publik. Artinya, hasil penelitian ini mungkin belum sepenuhnya menggambarkan skala sebenarnya dari serangan ransomware global, mengingat banyak organisasi memilih untuk tidak melaporkan insiden demi menjaga reputasi. Dengan adanya kebijakan pelaporan wajib dari Cybersecurity and Infrastructure Security Agency (CISA) di masa depan, studi lanjutan diharapkan dapat menggunakan dataset yang lebih representatif dan komprehensif.
Keterbatasan berikutnya terletak pada variabel yang digunakan dalam pemodelan. Studi ini hanya menggunakan jumlah serangan ransomware bulanan sebagai satu-satunya variabel independen, tanpa memperhitungkan faktor eksternal seperti kondisi ekonomi, politik, atau sosial. Model lanjutan seperti ARIMAX (Autoregressive Integrated Moving Average with Exogenous Inputs) disarankan untuk mengatasi hal ini dengan menambahkan variabel eksternal seperti tingkat pengangguran, sanksi geopolitik, atau regulasi keamanan data yang dapat memengaruhi dinamika serangan ransomware secara lebih akurat. Pendekatan semacam ini berpotensi meningkatkan kemampuan prediksi dan memberikan wawasan yang lebih kontekstual bagi pengambil kebijakan.
Selain itu, penelitian ini hanya menganalisis lima sektor utama yaitu pemerintah, kesehatan, pendidikan, IT, dan manufaktur — sementara sektor lain seperti energi, transportasi, dan keuangan belum termasuk karena keterbatasan jumlah data. Ketika dataset CIRA semakin diperbarui, riset lanjutan dapat memperluas cakupan analisis lintas sektor untuk memahami karakteristik unik tiap industri. Ke depan, peneliti juga merekomendasikan penggabungan pendekatan hybrid, yaitu mengombinasikan model time-series tradisional dengan metode deep learning seperti LSTM (Long Short-Term Memory) atau GRU (Gated Recurrent Unit). Dengan cara ini, model prediktif dapat menangkap pola non-linear dan hubungan kompleks antar faktor risiko, meningkatkan akurasi dan relevansi dalam memproyeksikan ancaman ransomware masa depan.
Baca juga: Bagaimana Algoritma Machine Learning Mengenali Trojan
Pendekatan prediktif berbasis time-series modeling membuka cara baru bagi organisasi untuk menghadapi ancaman ransomware secara lebih cerdas dan terukur. Alih-alih hanya bereaksi terhadap serangan, organisasi kini dapat membaca pola, memproyeksikan lonjakan insiden, serta mengintegrasikan hasil prediksi ke dalam strategi keamanan yang lebih proaktif. Ransomware bukanlah ancaman acak, melainkan fenomena yang memiliki pola temporal dan tren yang dapat dipelajari. Ke depan, dengan berkembangnya analitik prediktif, integrasi AI forecasting, dan pembelajaran berkelanjutan, dunia keamanan siber dapat bergerak dari sekadar bertahan menuju kesiapsiagaan adaptif—membangun ketahanan digital yang tangguh menghadapi ancaman di masa depan.