Terlepas dari banyaknya informasi yang tersedia tentang keamanan dunia maya dan ransomware, bersama dengan penyedia teknologi yang semakin liris tentang pencegahan pelanggaran, pandangan bahwa “itu tidak akan pernah terjadi pada kami” masih lazim — tidak hanya di antara bisnis kecil, tetapi secara mengejutkan di organisasi yang lebih besar juga.
Jadi, ketika pelanggaran benar-benar terjadi, dan pelaku jahat menuntut uang tebusan, sering kali reaksi refleks organisasi adalah melakukan pembayaran uang tebusan sebagai cara untuk “menyingkirkannya”.
Teknologi bot yang canggih
Penjahat keamanan dunia maya saat ini tidak melakukan polling port sekali dalam beberapa hari, minggu, atau bulan jika mereka mungkin berhasil — mereka melakukan polling “pada skala”, secara harfiah 1000 dan 1000 kali per detik di 10 dari 1000 organisasi untuk mengeksploitasi kerentanan terkecil. Selain itu, para penjahat ini adalah penyerang keamanan dunia maya profesional, dengan keterampilan dan alat paling canggih, di samping komitmen yang kuat untuk menerobos pertahanan keamanan. Terlebih lagi, teknologi bot yang berkembang pesat terkadang membuat sulit untuk membedakan apakah interaksi yang terjadi adalah dengan bot atau manusia.
Biasanya, hanya setelah pelanggaran, organisasi mulai memberikan tingkat perhatian yang seharusnya mereka berikan sejak awal. Sangat mudah untuk menjadi bijaksana setelah fakta! Namun, pada saat itu kerusakan sudah baik dan benar-benar terjadi.
Organisasi selalu dijaga untuk mengetahui apa yang menyebabkan pelanggaran dan mengapa mereka tidak mengambil tindakan yang diperlukan untuk mencegah serangan tersebut. Tetapi dampak dari pelanggaran pasti terlihat jelas dan tahan lama, jika tidak mematikan.
Beberapa bulan yang lalu, sebuah perusahaan kota besar mengalami pelanggaran keamanan yang sangat signifikan. Sementara pada saat itu tidak ada liputan tentang serangan itu, sekarang beberapa bulan kemudian, ada berita tentang kesengsaraan dan kerugian finansial mereka, perintah hukum, PHK karyawan, penundaan pembayaran kepada pemasok, dan sebagainya – pada suatu waktu ketika kelompok rekan mereka mengumumkan rekor pendapatan. Dampak pelanggaran keamanan melumpuhkan secara finansial dan reputasi. Sebagian besar organisasi kecil hingga menengah bahkan tidak bertahan setelah insiden semacam itu.
Karyawan cenderung menjadi mata rantai terlemah dalam organisasi yang sering mengarah pada pelanggaran keamanan. Satu klik yang tidak disengaja dan permata mahkota organisasi dapat dilanggar. Jadi, di samping proses yang aman dan teknologi yang terkonfigurasi dengan benar — didukung oleh pengujian penetrasi etis — mantranya harus “pendidikan, pendidikan, pendidikan”. Dan ini tidak bisa sekali saja, harus sering dan terus ditingkatkan.
Aposematisme perusahaan
Dengan adanya hal di atas, jalan ke depan mungkin adalah aposematisme korporat. Di dunia hewan, beberapa spesies menggunakan pertahanan dalam bentuk perubahan fisik — seperti warna atau munculnya duri secara tiba-tiba — dan sinyal dalam bentuk meludahkan racun, mengeluarkan suara peringatan, atau mengeluarkan bau busuk — sebagai cara untuk menangkal predator dengan pesan bahwa mereka tidak boleh menyerang mereka karena mereka tidak sepadan dengan usaha atau bahwa penyerang itu sendiri dapat ditangkap.
Mengambil contoh dari buku hewan ini, organisasi juga perlu menampilkan tanda peringatan yang besar dan berani, dan mengirimkan sinyal kepada penjahat dunia maya bahwa upaya mereka tidak sepadan. Ada unsur “survival of the fittest”, dan fakta bahwa penjahat dunia maya ingin sukses dengan cepat. Jadi, biasanya, penjahat mengeksploitasi kerentanan yang seringkali berada di bawah radar profesional keamanan dalam organisasi. Selain langkah-langkah keamanan yang lebih terbuka, menutup apa yang mungkin tampak sebagai celah yang paling tidak relevan, akan mengirimkan sinyal yang jelas kepada para penjahat bahwa perusahaan tersebut canggih dalam pendekatannya dan bahwa keamanan dunia maya kedap air.
Idenya di sini bukan untuk menyombongkan keamanan, tetapi menunjukkan tanda-tanda yang menggambarkan bahwa upaya signifikan telah dilakukan untuk menutupi jebakan keamanan, dan oleh karena itu penghargaan kepada pelaku kejahatan tidak mungkin sepadan dengan usaha mereka. Tujuannya adalah pencegahan, bukan tantangan.
Diakui dengan baik bahwa pelanggaran keamanan adalah masalah kapan, bukan jika – tetapi keamanan yang kuat dan menyeluruh dalam banyak hal akan mengurangi pelanggaran – dan jika itu benar-benar terjadi, dampaknya akan terkandung dan diminimalkan. Seperti yang disarankan oleh Gartner, setiap organisasi perlu membangun budaya ketahanan perusahaan, terutama saat adopsi cloud, undang-undang privasi data, dan inisiatif transformasi digital berkembang, menciptakan kerumitan yang lebih besar lagi dari sudut pandang keamanan siber.
Kredit gambar: Rawpixel.com / Shutterstock
Roy Russell adalah CEO, Ascertus Limited.
