JAKARTA (IndoTelko) Banyak usaha kecil atau menengah (UMKM) berpikir bahwa bisnisnya dapat bertahan tanpa solusi keamanan siber karena anggapan bahwa kecil kemungkinan mereka menjadi target para penjahat siber. Namun, studi terbaru melaporkan bahwa hampir 46% dari seluruh serangan siber menargetkan sektor UMKM. Dan, menurut data dari Forum Ekonomi Dunia, 95% pelanggaran keamanan siber disebabkan oleh kesalahan manusia.
Statistik ini mengklaim bahwa UMKM mungkin tidak menyadari bahwa karyawan mereka dapat secara tidak sengaja atau bahkan dengan sengaja membahayakan “kesejahteraan” perusahaan. Beberapa kecerobohan dapat menyebabkan kerugian finansial, reputasi, atau penurunan produktivitas seluruh bisnis.
Menurut survei Kaspersky 2022 IT Security Economics, yang melakukan wawancara dengan lebih dari 3.000 manajer keamanan TI di 26 negara, sekitar 22 persen kebocoran data di sektor UMKM disebabkan oleh karyawan. Proporsi yang hampir sama sebagai penyebab serangan siber, menjadikan karyawan pada titik tertentu sama berbahayanya dengan peretas. Tentu saja, dalam banyak kasus, hal ini terjadi karena kelalaian atau kurangnya kesadaran karyawan.
Ada berbagai tindakan karyawan yang secara tidak sengaja dapat menyebabkan pelanggaran keamanan serius dan membahayakan keamanan sektor UMKM. Di antara yang paling utama adalah:
1. Lemahnya kata sandi: Karyawan mungkin menggunakan kata sandi sederhana yang dapat dengan mudah diretas oleh penjahat siber, hingga pada akhirnya mengakibatkan akses tidak sah ke data sensitif. Bahkan terdapat daftar kata sandi yang paling banyak diretas dan tersedia secara umum - periksa untuk memastikan kata sandi Anda tidak termasuk di dalamnya.
2. Penipuan Phishing: Karyawan mungkin secara tidak sengaja atau tidak sadar mengeklik tautan phishing di email, yang menyebabkan infeksi malware dan akses tidak sah ke jaringan. Sebagian besar scammer dapat meniru alamat email yang diduga milik perusahaan yang sah, dan saat mengirim email dengan lampiran dokumen atau arsip, ternyata itu adalah sampel malware.
3. Kebijakan Bring Your Own Device (BYOD): BYOD mendapatkan momentum lebih besar sebagai akibat dari penguncian sosial berturut-turut selama puncak pandemi. Saat ini, staf di sektor non-esensial terpaksa bekerja dari rumah dan alih-alih keamanan, keberlangsungan bisnis masih menjadi priotitas utama bagi para manajer perusahaan.
Karyawan sering kali menggunakan perangkat pribadi untuk terhubung ke jaringan perusahaan, yang dapat menimbulkan ancaman keamanan serius jika perangkat tersebut tidak memiliki perlindungan memadai terhadap serangan siber. Mengingat fakta bahwa ada lebih dari 400.000 program berbahaya baru yang muncul setiap hari, dan jumlah serangan yang menargetkan perusahaan terus bertambah, bisnis berada dalam situasi genting. Pada saat yang sama, sebagian besar perusahaan tidak berencana (atau merasa tidak mungkin) untuk sepenuhnya memblokir perangkat pribadi agar tidak dapat mengakses data perusahaan.
“Sejumlah perusahaan mengizinkan karyawan untuk bekerja di kantor hanya dengan PC yang disetujui dengan kemampuan pengiriman data sangat terbatas dan larangan menggunakan flash drive USB. Pendekatan ini, pada kenyataannya, tidak akan berhasil di perusahaan yang digerakkan oleh BYOD. Pertama, karyawan menggunakan komputer mereka sendiri untuk fleksibilitas lebih besar; tetapi ini tidak berarti bahwa keamanan terganggu. Solusi ideal untuk masalah kehilangan perangkat adalah enkripsi data perusahaan sebagian atau secara penuh, yang didukung oleh sebuah kebijakan. Melalui cara ini, meskipun laptop atau Drive USB telah dicuri, data di dalamnya tidak akan dapat diakses tanpa kata sandi,” komentar Managing Director untuk Asia Pasifik, di Kaspersky Adrian Hia.
4. Kurangnya Patching: Jika karyawan menggunakan perangkat pribadi, staf TI mungkin tidak dapat memantau keamanan perangkat atau memecahkan masalah keamanan apa pun. Selain itu, karyawan mungkin tidak menerapkan tambalan atau pembaruan ke sistem dan perangkat lunak mereka secara teratur, sehingga meninggalkan kerentanan yang dapat dieksploitasi oleh penjahat siber.
5. Ransomware: Jika terjadi serangan ransomware, penting untuk menyiapkan cadangan data untuk memiliki akses ke informasi terenkripsi bahkan jika penjahat siber telah berhasil mengambil alih sistem perusahaan.
6. Rekayasa Sosial: Karyawan mungkin secara tidak sengaja memberikan informasi sensitif seperti detail login, kata sandi, atau data rahasia lainnya sebagai tanggapan terhadap taktik rekayasa sosial atau penipuan phishing. Mereka yang lebih mudah ditipu adalah karyawan baru yang tidak mengetahui “kebiasaan” perusahaan. Misalnya, penipu mungkin berpura-pura menjadi "bos" pendatang baru, lalu mencoba mencuri beberapa informasi penting tentang perusahaan atau melakukan pemerasan uang.
Salah satu contoh cara scammers beroperasi adalah dengan mengirimkan email yang menyamar sebagai atasan atau seseorang yang lebih senior (menggunakan alamat tidak resmi) meminta karyawan tersebut untuk melakukan tugas "segera". Pemula akan dengan senang hati membantu. Tugasnya mungkin, seperti, mentransfer dana ke kontraktor atau melakukan pembelian sertifikat hadiah dengan nilai tertentu. Dan pesan tersebut memperjelas bahwa "harus dilakukan secara cepat" dan "Anda akan dibayar kembali pada penghujung hari". Penipu berusaha idak memberikan waktu kepada karyawan untuk berpikir atau memeriksa ulang dengan orang lain.
Di atas merupakan kesalahan yang dapat dilakukan karyawan karena kelalaian. Tapi apa yang terjadi jika seorang karyawan dengan sengaja berusaha merusak keamanan perusahaan saat bekerja atau tepat setelah meninggalkan pekerjaannya? Lebih banyak masalah yang mungkin akan muncul kemudian.
Keinginan untuk membalas dendam
Meskipun kesalahan yang tidak disengaja atau pengabaian kebijakan keamanan siber menjadi penyebab sebagian besar kebocoran, manajer keamanan melaporkan bahwa sekitar sepertiga (36 persen) dari kebocoran yang dipicu karyawan merupakan tindakan sabotase atau spionase yang disengaja.
Kaspersky melaporkan beberapa masalah terkait sabotase yang disengaja. Salah satu contoh terjadi ketika mantan pemasok perangkat medis menyabotase pengiriman ke pelanggan: setelah dipecat dari entitas mereka, eksekutif layanan kesehatan menggunakan akun rahasia untuk menunda proses pengiriman. Karena perusahaan layanan kesehatan tidak dapat mengirimkan persediaan tepat waktu, mereka terpaksa menutup semua proses bisnis untuk sementara, dan interupsi terus berlanjut bahkan berbulan-bulan kemudian. Pada akhirnya, perusahaan terpaksa menghubungi lembaga penegak hukum.
Contoh kasus lainnya adalah ketika seorang mantan karyawan TI mengajukan keluhan diskriminasi rasial terhadap suatu organisasi. Setelah ditawarkan untuk relokasi, dia menolak; bekerja dari jarak jauh adalah salah satu syarat utamanya. Akibatnya, dia dipecat dan memutuskan untuk membalas dendam. Yang bersangkutan mengubah kata sandi akun Google perusahaan, menolak akses email mantan rekannya, dan memblokir lebih dari 2.000 siswa untuk menerima materi pelajaran.
Tingginya jumlah insiden dunia maya yang berasal dari karyawan menunjukkan bahwa semua organisasi memerlukan pelatihan kesadaran keamanan dunia maya yang menyeluruh untuk mengajari staf cara menghindari kesalahan keamanan umum.(wn)