Bisnis.com, JAKARTA -- Karyawan dari 40% bisnis di seluruh dunia menyembunyikan insiden keamanan TI, hal ini berdasarkan laporan terbaru dari Kaspersky Lab dan B2B International yang berjudul "Human Factor in IT Security: How Employees are Making Businesses Vulnerable from Within".
Dalam laporan ini mencatat, sebanyak 46% insiden keamanan TI disebabkan oleh karyawan di setiap tahunnya, kerentanan dalam bisnis ini harus ditangani dalam berbagai tingkatan, tidak hanya melalui departemen keamanan TI.
Karyawan yang tidak paham atau ceroboh menjadi salah satu penyebab insiden keamanan siber terjadi, menempati posisi kedua setelah malware. Sementara malware akan terus berkembang dan semakin canggih, tetapi fakta membuktikan bahwa selalu saja faktor manusia yang menimbulkan bahaya lebih besar lagi.
Secara khusus, kecerobohan karyawan adalah salah satu celah terbesar dalam pertahanan keamanan siber saat menghadapi serangan yang ditargetkan.
Sementara hacker yang berpengalaman kemungkinan selalu menggunakan malware buatan sendiri dan teknik tingkat tinggi untuk merencanakan serangan, kemungkinan besar mereka akan mulai dengan memanfaatkan titik masuk termudah yaitu kelemahan manusia.
Menurut penelitian, setiap tiga (28%) serangan yang ditargetkan pada bisnis di tahun lalu menggunakan phishing atau social engineering sebagai bentuk serangan. Sebagai contoh, seorang akuntan yangceroboh dapat dengan mudah diperdaya untuk membuka file berbahaya yang disamarkan sebagai faktur dari salah satu kontraktor perusahaan. Hal ini dapat mengganggu seluruh infrastruktur organisasi, dan menjadikan akuntan tersebut kaki tangan yang tidak disengaja bagi penyerang.
David Jacoby, Security Researcher di Kaspersky Lab mengatakan penjahat siber seringkali menggunakan karyawan sebagai pintu masuk untuk masuk ke dalam infrastruktur perusahaan.
"Email phishing, kata sandi yang lemah, panggilan palsu dari layanan teknis - kami telah melihat semuanya. Bahkan USB biasa yang sengaja dijatuhkan di parkir kantor atau dekat meja sekretaris bisa membahayakan keseluruhan jaringan - yang Anda butuhkan adalah seseorang di dalam, yang tidak paham, atau memperhatikan keamanan, dan perangkat itu dapat dengan mudah dihubungkan ke jaringan yang mana bisa menuai malapetaka," ujarnya dalam keterangan resmi yang dirilis, Kamis (10/8/2017).
Serangan ditargetkan yang canggih tidak terjadi pada organisasi setiap hari namun malware konvensional dipastikan menyerang secara massal. Sayangnya, penelitian tersebut juga menunjukkan bahwa walaupun ada masalah yang disebabkan oleh malware, karyawan yang tidak sadar dan ceroboh juga sering terlibat, menyebabkan infeksi malware di sebanyak 53% insiden.
Laporan tersebut mengatakan karyawan yang menyembunyikan insiden keamanan dapat menyebabkan konsekuensi yang dramatis, sehingga dapat meningkatkan total kerusakan yang ditimbulkan. Bahkan satu peristiwa yang tidak dilaporkan dapat mengindikasikan peretasan yang jauh lebih besar, dan tim keamanan harus dapat dengan cepat mengidentifikasi ancaman yang akan mereka hadapi untuk memilih taktik mitigasi yang tepat.
Tetapi karyawan lebih suka menempatkan organisasi pada posisi berisiko daripada melaporkan permasalahan karena mereka takut dihukum, atau merasa malu karena harus bertanggung jawab atas sesuatu yang tidak beres.
Beberapa bisnis telah menerapkan peraturan yang ketat dan memberlakukan tanggung jawab ekstra terhadap karyawan, alih-alih mendorong mereka untuk sekadar waspada dan kooperatif. Ini berarti bahwa perlindungan siber tidak hanya terletak pada ranah teknologi, tapi juga dalam budaya dan pelatihan organisasi. Di situlah manajemen puncak dan SDM perlu dilibatkan.
Slava Borilin, Security Education Program Manager di Kaspersky Lab mengatakan masalah menyembunyikan insiden keamanan harus dikomunikasikan tidak hanya kepada karyawan, tapi juga kepada manajemen puncak dan departemen SDM. Jika karyawan menyembunyikan kejadian, pasti ada alasannya. Dalam beberapa kasus, perusahaan mengenalkan kebijakan yang ketat namun tidak jelas dan terlalu menekan karyawan, memperingatkan mereka untuk tidak melakukan ini atau itu, atau mereka akan bertanggung jawab jika ada yang tidak beres. Kebijakan semacam itu mendorong ketakutan, dan membiarkan karyawan hanya memiliki satu pilihan – melakukan apapun yang diperlukan supaya terhindar dari hukuman.
"Jika budaya keamanan siber Anda positif, berbasis pendekatan pendidikan dan bukan peraturan yang terlalu membatasi, dari atas ke bawah, hasilnya akan jelas," katanya.
Borilin juga mengingatkan model keamanan industri, di mana pendekatan pelaporan dan belajar dari kesalahan merupakan inti dari bisnis.
Dari lapkran ini juga mengungkapkan 52% bisnis yang disurvei mengakui bahwa karyawan merupakan kelemahan terbesar dalam keamanan TI mereka. Kebutuhan untuk menerapkan langkah-langkah yang berfokus pada personil menjadi semakin nyata, 35% bisnis berusaha memperbaiki keamanan melalui memberikan pelatihan kepada staf, menjadikan metode ini sebagai metode kedua yang paling populer dalam pertahanan siber, berada di posisi kedua setelah penerapan perangkat lunak yang lebih canggih sebesar 43%.
Kaspersky Lab menyarankan cara terbaik untuk melindungi organisasi dari ancaman siber terkait dengan manusia adalah dengan menggabungkan alat yang tepat dengan praktik yang benar. Ini berarti harus melibatkan upaya dari SDM dan manajemen, untuk memotivasi dan mendorong karyawan untuk waspada dan mencari pertolongan jika terjadi insiden.
Selain itu, oelatihan kesadaran keamanan bagi karyawan, memberikan panduan yang jelas, bukan dokumen tebal, membangun keterampilan dan motivasi yang kuat dan mendorong suasana kerja yang tepat, merupakan langkah awal yang harus diambil organisasi.
Dalam hal teknologi keamanan, sebagian besar ancaman yang ditujukan untuk menargetkan karyawan yang tidak paham atau ceroboh termasuk phishing, dapat ditangani dengan solusi keamanan endpoint. Solusi ini dapat memenuhi kebutuhan khusus dari UMKM dan perusahaan dalam hal fungsionalitas, perlindungan pra-konfigurasi atau pengaturan keamanan tingkat lanjut, untuk meminimalkan risiko.