Seringkali “Faktor H” yang ilusif – elemen manusia – yang akhirnya menjadi mata rantai terlemah yang memungkinkan serangan dunia maya dan pelanggaran data, terkadang bahkan lebih dari peretas yang mengeksploitasi kerentanan sistem zero-day atau menggunakan malware baru.
Menurut DBIR Verizon 2016, kesalahan manusia merupakan faktor utama dalam sebagian besar pelanggaran data. “Human touch” ini terutama dengan semakin berkembangnya mobilitas karyawan dan kebijakan BYOD (Bring Your Own Device) yang semakin meluas. Oleh karena itu, meskipun solusi keamanan siber teknologi menjadi pusat perhatian dalam banyak rencana keamanan siber bisnis, menangani elemen manusia sama pentingnya dengan elemen teknologi.
“Apa” dari Faktor H
“Faktor H” dapat dikaitkan dengan dua aspek: Penyerang dan saluran untuk serangan. Di satu sisi, bisnis di semua industri, terutama yang menguntungkan, dihadapkan pada penyerang yang terus berkembang dalam kecanggihan, kemampuan, dan keberaniannya. Mereka terus menemukan cara kreatif untuk menyerang organisasi dengan menemukan kerentanan baru dalam sistem dan perangkat lunak dan dengan menipu orang yang tidak bersalah agar jatuh ke dalam perangkap mereka.
Di sisi lain, manusia dianggap sebagai mata rantai terlemah dan dapat mengekspos organisasi terhadap ancaman dunia maya melalui tiga jenis risiko utama: kesalahan manusia, ketidaktahuan, dan bahaya yang disengaja.
Berbuat salah adalah manusiawi
Kecelakaan tidak dapat dihindari: secara tidak sengaja mengirimkan informasi sensitif ke penerima email yang salah, menghapus file secara tidak sengaja, atau mengklik tautan atau iklan jahat dan secara tidak sengaja mengunduh malware ke dalam organisasi. Menurut sebuah studi oleh Forrester, 36 persen pelanggaran berasal dari penyalahgunaan data yang tidak disengaja oleh karyawan. Sayangnya, solusi untuk masalah ini harus diatasi dengan solusi teknologi yang dapat menangguhkan atau setidaknya mengekang bahaya.
Ketidaktahuan bukanlah kebahagiaan
Tanpa pelatihan yang tepat, risiko keamanan siber tidak terlintas di benak kebanyakan orang di luar tim keamanan siber. Sebagian besar karyawan yang menjadi korban rekayasa sosial dan mengeklik tautan berbahaya melakukannya karena ketidaktahuan atau karena mereka menjadi korban manipulasi psikologis dalam phishing.
Juga tidak mungkin mereka akan berhenti memikirkan risiko serangan man-in-the-middle saat menggunakan Wi-Fi publik sambil memeriksa akun email perusahaan di perangkat mereka sendiri; atau berhenti untuk memeriksa alamat email dari email yang tidak biasa, bahkan dari manajer mereka, meminta bantuan atau detail pribadi.
Kebanyakan orang tidak terlalu memikirkan untuk membuat kata sandi yang canggih atau berbeda untuk perangkat dan akun mereka. Sebenarnya, penelitian tentang kata sandi menunjukkan bahwa masih banyak orang yang menggunakan kata sandi umum seperti nama mereka atau “kata sandi” atau “123” yang terlalu mudah diakses. Meskipun meningkatnya laporan tentang peretasan perusahaan mulai membuat orang lebih sadar akan bahaya keamanan siber, pelatihan diperlukan untuk mengubah kesadaran menjadi ketekunan, dan membantu karyawan mengadopsi kebiasaan aman.
Spear-phishing
Lebih dari 95 persen serangan terhadap organisasi menggunakan phishing tombak yang ditargetkan. Peretas membuat email canggih yang dapat dengan mudah mengelabui orang agar percaya bahwa email tersebut asli dari bos atau bank mereka, membajak akun, mengunduh malware, atau menipu karyawan agar melakukan tindakan curang. Solusi utama untuk mengatasi hal ini adalah ketekunan melalui kesadaran dan pelatihan keamanan siber.
Ancaman orang dalam yang berbahaya
Selain risiko di atas, faktor H mengandung sisi yang lebih gelap. Menurut laporan baru-baru ini oleh Kaspersky, 28 persen dari semua serangan dunia maya dan 38 persen dari semua serangan yang ditargetkan melibatkan aktivitas jahat oleh orang dalam perusahaan. Dilaporkan bahwa 59 persen mantan karyawan mengaku mencuri informasi rahasia perusahaan dengan 61 persen dari mereka menyatakan bahwa mereka memiliki pandangan yang tidak baik terhadap majikan mereka.
Namun, tidak semua orang yang terlibat dalam memberikan kredensial perusahaan dan informasi orang dalam lainnya kepada peretas bersedia menjadi peserta dalam skema kriminal. Beberapa mungkin melakukannya secara tidak sengaja atau di bawah tekanan pemerasan jika peretas memegang informasi rahasia atau sensitif tentang orang tersebut, seperti setelah peretasan Ashley Madison.
Bagaimana mengekang risiko yang ditimbulkan oleh Faktor H
Karena ini adalah masalah manusia, bukan masalah teknis, karyawan yang benar-benar membutuhkan pelatihan keamanan mungkin memahaminya dengan lebih baik dari orang-orang, seperti SDM dan manajemen tingkat atas. Meskipun tim keamanan Anda mungkin sangat mahir dan ahli dalam masalah keamanan, mereka mungkin bukan orang terbaik yang dapat menyampaikan informasi dengan cara yang dapat diterima dan dipahami oleh karyawan.
Selain itu, pelatihan tidak bisa menjadi kotak centang untuk dicentang. Itu membutuhkan alokasi anggaran, waktu dan sumber daya manusia dan lokakarya, pelatihan online, pengujian dan lainnya, harus berkelanjutan.
Last but not least, pelatihan harus disesuaikan dengan peran karyawan dan tingkat pengetahuan teknologi masing-masing, serta tingkat informasi sensitif yang dia hadapi.
Prosedur manajemen risiko keamanan siber dapat mencakup penyediaan VPN bagi karyawan untuk menghindari risiko mereka menggunakan Wi-Fi publik saat mereka bekerja di luar kantor; melarang penggunaan saluran media sosial pribadi untuk berkomunikasi dengan kolega atau klien tentang korespondensi terkait pekerjaan atau berbagi informasi; perubahan kata sandi berkala wajib; melacak aplikasi di perangkat untuk melindungi dari kehilangan atau pencurian fisik; prosedur hotline pencurian dengan alat penghapusan jarak jauh, dan banyak lagi.
Batasi akses ke data sensitif sesuai dengan peran karyawan. Pada posisi yang memiliki akses ke data yang sangat sensitif, Anda mungkin ingin mempertimbangkan pengaturan yang lebih ketat, seperti hanya menggunakan perangkat milik perusahaan dan memblokir akses ke penjelajahan web. Anda juga harus mempertimbangkan untuk membatasi akses ke penginstalan perangkat lunak gratis.
Pastikan sistem operasi, perangkat lunak aplikasi, dan perangkat lunak anti-malware Anda mutakhir.
Berinvestasi dalam teknologi, seperti NBA (Network Behavioral Analysis), manajemen identitas dan kata sandi, enkripsi, DLP (Pencegahan Kebocoran Data), firewall aplikasi web (WAF), Pemantauan Aktivitas Database (DAM), Sistem Deteksi Intrusi (IDS), dan keamanan gateway web untuk memantau aktivitas manusia dan memberi tahu tim keamanan ketika ada aktivitas yang tidak biasa, seperti setelah jam kerja atau login mencurigakan ke direktori data yang tidak terkait dengan posisi karyawan.
Selain solusi yang disebutkan di atas, solusi keamanan siber baru yang dapat mendeteksi dan memblokir file mencurigakan secara waktu nyata, dapat memberikan perlindungan menyeluruh terhadap serangan siber dan upaya pelanggaran data.
Persepsi yang salah bahwa keamanan dunia maya dapat sepenuhnya didasarkan pada solusi teknologi harus memberi jalan kepada kenyataan bahwa manusia adalah faktor kunci dari strategi keamanan dunia maya perusahaan. Penelitian telah menunjukkan bahwa mengubah perilaku karyawan dapat mengurangi risiko pelanggaran keamanan hingga 45 hingga 70 persen. Dengan demikian, organisasi harus berinvestasi dalam Faktor H dan membangun “firewall manusia” bersamaan dengan solusi teknologi.
Guy Caspi, CEO, Naluri yang dalam (terbuka di tab baru)