Mendalami Penyebab Kebocoran Data Perusahaan dan Cara Mencegahnya
Mayoritas disebabkan kelalaian karyawan
Berkembangnya teknologi internet ke dalam seluruh aspek kehidupan turut mendorong merajalelanya serangan siber dari berbagai bentuk. Apalagi Indonesia dinobatkan sebagai salah satu negara di dunia yang rentan dengan serangan dunia maya.
Berdasarkan laporan, Indonesia menjadi "hotspot global" untuk aktivitas web yang mencurigakan, lebih dari 150 juta dari 255 juta pengguna rentan terhadap serangan siber.
Sebagai contoh, serangan perusakan web domain go[dot]id mencapai 22.780 situs dari 2008 sampai Juni 2017. Sementara situs domain [dot]id serangannya lebih besar mencapai 84.005 situs untuk periode waktu yang sama. Serangan fireball malware menginfeksi 13,1 juta komputer orang Indonesia.
Kendati demikian, mirisnya masih banyak perusahaan konvensional yang masih menganggap keamanan siber sebagai pengeluaran yang paling dihindari. Alasan utamanya kebanyakan tidak bisa mengomunikasikan ke level C, kurangnya data yang bisa ditindaklanjuti dan ketidakmampuan untuk memproyeksikan ROI.
Salah satu diskusi panel yang diadakan Indonesia Security Summit 2018 di Jakarta, menghadirkan Faisal Yahya (IBS Broking Service), Mike Stephens (Senetas), Sterry Yulius Kosasih (IPay88), dan dimoderatori Setiaji (Jakarta Smart City). Diskusi banyak memfokuskan soal kebocoran data dalam perusahaan dan bagaimana cara menanggulanginya.
Peretasan disebabkan internal perusahaan
Faisal Yahya menekankan meski perusahaan sudah menerapkan berbagai perlindungan keamanan data, menggunakan internal domain, membatasi akses, dan bentuk lainnya justru akan sia-sia karena biasanya kebocoran itu terjadi karena kelalaian dari karyawan perusahaan itu sendiri.
Karyawan banyak yang tidak sadar, ketika mendapat email phising sebaiknya jangan di buka sama sekali. Karena ketika di-klik, hacker bisa masuk pada saat itu juga.
"Hacker itu selalu mencari segala cara untuk bisa meretas. Umumnya karyawan sudah tahu email phishing, tapi sayangnya masih ada yang sengaja meng-klik karena sekadar ingin memastikan apakah itu benar phishing atau tidak. Padahal cukup dengan cara seperti itu saja, data perusahaan sudah bisa diretas," terang Faisal.
Pernyataan Faisal diamini Sterry Yulius. Menurutnya, justru hacker itu paling senang meretas internal domain karena itulah sumber yang paling rapuh. Karyawan banyak yang tidak sadar, memakai internal domain dirasa paling aman. Justru anggapan mereka salah, sebab dilihat dari situs konten yang mereka jelajahi hacker bisa masuk dari situ.
Makanya, sebut Sterry, IPay88 memulai proteksi sistem keamanan mulai dari internal, apalagi di perusahaan yang notabene adalah perusahaan fintech yang bergerak di payment gateway. Mereka harus benar-benar peduli dengan data keamanan pelanggan, tidak boleh ada kebocoran, dan karyawan tidak boleh lengah sama sekali terhadap segala risikonya.
"Tiap tahun kami diaudit Mastercard dan Visa untuk memeriksa integritas kita dalam menjaga data konsumen, dan disaster recovery plan-nya bagaimana."
IPay 88 juga menerapkan cara membatasi akses terhadap suatu akses data hanya berlaku buat tim-tim tertentu saja. Cara tersebut diklaim bisa meminimalisir potensinya terjadinya kebocoran data.
Memahami tahapan perusahaan sebelum melindungi data
Sterry menyarankan, sebelum mengambil sejumlah langkah dalam melindungi perusahaan dari kebocoran data, pemilik perusahaan harus paham betul sudah ada di tahapan mana internal organisasi perusahaan. Apakah sudah matang dengan teknologi atau belum.
Menanggapi hal tersebut, Faisal menambahkan cara melindungi keamanan data perusahaan itu sangat bergantung pada karakteristik data seperti apa yang ingin di lindungi, sebab tidak bisa disamaratakan. Data apa yang mau dilindungi, apakah data pribadi atau lainnya.
Faisal melanjutkan, ketika perusahaan sudah menerapkan perlindungan sistem, maka secara berlaku diperlukan tes simulasi (drill test) untuk melihat seberapa besar awareness karyawan terhadap kebocoran data dengan mengirim email phishing berisi topik yang random. Dari sekian banyak email yang dikirim, apabila ada karyawan yang meng-klik-nya segera jadikan mereka sebagai "murid" untuk dilatih soal awareness serangan siber.
- Disclosure: DailySocial adalah media partner Indonesia Security Summit 2018