Celah keamanan siber yang dapat dieksploitasi pelaku dapat bermula dari kelalaian internal. Untuk itu, diperlukan pelatihan rutin terhadap karyawan dan manajemen perusahaan.
Oleh
SATRIO PANGARSO WISANGGENI
·4 menit baca
JAKARTA, KOMPAS — Celah keamanan siber dapat bermula dari kelalaian internal. Untuk itu, diperlukan pelatihan rutin di internal perusahaan agar tidak terkena berbagai modus kejahatan siber, khususnya social engineering. Social engineering merujuk pada metode kejahatan siber melalui memanipulasi psikologis target.
Social engineering dapat berdiri sendiri menjadi sebuah kejahatan, misalnya dalam bentuk penipuan siber meminta kode sandi OTP. Namun, dampak yang lebih besar dapat muncul jika social engineering digunakan sebagai pintu masuk untuk menginfiltrasi sebuah sistem teknologi informasi (TI), misalnya sebuah perusahaan atau lembaga pemerintahan.
Head of IT Governance, Risk and Compliance, Information Security dari layanan dompet digital Gopay, Genesha Saputra, mengatakan, jika menelusuri sejumlah kasus pembobolan data (data breach), social engineering bisa disebut sebagai initial point atau pintu masuk.
Setelah mendapatkan akses masuk, si pelaku dapat berbuat lebih leluasa begitu berada di dalam infrastruktur teknologi informasi lembaga tersebut.
”Modus operandi social engineering ini memang celah pertama untuk masuk, misalnya pada kasus data breach. Ini menjadi initial point para penipu dan pelaku untuk masuk ke akun customer ataupun infrastruktur TI suatu perusahaan,” kata Genesha dalam diskusi media yang digelar pada Jumat (18/9/2020) secara virtual.
Salah satu bentuk social engineering yang paling lumrah digunakan adalah phishing; menipu si target sehingga ia memasukkan informasi penting, seperti kredensial log in hingga data pribadi. Jika si target berhasil tertipu, si pelaku akan mendapatkan informasi yang dapat digunakan untuk mengakses akun pelaku.
Ini menjadi kian penting di masa pandemi Covid-19 yang memaksa banyak perusahaan untuk melakukan pekerjaan sehari-hari secara jarak jauh. Komunikasi digital menjadi semakin krusial. Untuk itu, Genesha mengatakan, pihaknya secara khusus memberikan perhatian pada peningkatan kesadaran terhadap phishing yang mungkin ditemui oleh para karyawannya.
Salah satu wujud kampanye peningkatan kesadaran akan phishing ini dilakukan dengan mengirimkan phishing kepada karyawan. ”Kalau ternyata ada karyawan yang terpancing itu, kami tidak akan segan-segan memberikan training tambahan. Juga ada sistem punishment dan reward juga bagi mereka,” kata Genesha.
Genesha berharap masyarakat perseorangan dan perusahaan di Indonesia semakin menyadari betapa berbahayanya social engineering sebagai ancaman paling membahayakan di ranah siber.
Pendapat senada disampaikan oleh peneliti Center for Digital Society (CfDS) Universitas Gadjah Mada, Tony Seno Hartono. Menurut dia, pandemi Covid-19 telah memaksa banyak sekali orang bertumpu pada berbagai platform digital.
Peningkatan penggunaan platform digital, seperti surel, konferensi video, jual-beli daring, hingga pesan antar makanan, juga mendorong meningkatnya jumlah serangan siber. ”Penipuan ini sebelum pandemi juga sudah terjadi. Tetapi, selama pandemi ini, penggunakan platform digital ini melonjak. Jadi, frekuensi serangannya juga melonjak,” kata Tony.
Menurut hasil riset firma keamanan siber Kaspersky, pada kuartal I-2020, terdapat 192.591 serangan phishing di Indonesia, khususnya pada sektor usaha mikro kecil dan menengah. Jumlah ini meningkat lebih dari 20 persen daripada periode yang sama pada 2019, yakni 158.492 serangan phishing.
Pelatihan keamanan siber juga menjadi salah satu poin yang diharapkan dilakukan oleh berbagai perusahaan kecil, menengah, dan besar untuk menghadapi serangan phishing yang terus meningkat di masa pandemi ini.
Partner perusahaan konsultan McKinsey Venky Anant, beberapa waktu lalu, menyampaikan bahwa kerja dari rumah (work from home/WFH) akibat pandemi Covid-19 adalah peluang bagi manajemen perusahaan untuk meningkatkan kesadaran siber karyawannya. ”Pelatihan keamanan siber akan perlu dilakukan untuk mengatasi kegiatan WFH,” kata Anant.
Kelalaian keamanan siber dari sisi internal dan berdampak besar sudah terbukti dengan terjadinya peretasan sejumlah akun Twitter figur publik pada akhir Juli 2020.
Saat itu, sejumlah akun Twitter milik Presiden ke-44 Amerika Serikat Barack Obama, CEO Tesla Elon Musk, pendiri Amazon Jeff Bezos, pendiri Microsoft Bill Gates, akun resmi milik raksasa teknologi Apple, hingga musisi Kanye West diambil alih.
Akses terhadap aplikasi internal Twitter yang digunakan untuk mengolah akun-akun tersebut diduga berasal dari peretas yang berhasil mendapat kredensial log in salah satu karyawan Twitter. Dari situ ia mendapat informasi cara mengakses aplikasi internal tersebut.